Ресурсы

Как полностью обезопасить себя от хакерских действий

Основным способом противодействия является инструктаж и обучение персонала

Очевидно, что любая новая технология влечет за собой и новые угрозы. В то же время отказаться от естественного технологического прогресса нельзя. Поэтому неудивительно, что сегодня пользователи все чаще задаются вопросом, как полностью обезопасить себя от хакерских действий.

Инструменты мошенников

Социальная инженерия – это мощный инструмент, основанный на социологии и психологии, который помогает добиваться необходимых действий от человека или группы людей и получать ожидаемый результат. Разумеется, с ее помощью, в принципе, можно совершать и безобидные, или даже полезные для общества действия, но все же, как правило, такими методами пользуются мошенники. 

Одним из самых распространенных типов является претекстинг. Это ряд действий, которые осуществляются по предварительно разработанному сценарию. Результатом претекстинга становится получение от жертвы необходимых данных или совершение ею определенных действий, которые в конечном итоге приводят к утечке информации. Зачастую этот вид социальной инженерии предполагает использование средств связи, таких как телефон, Skype, голосовая связь в мессенджерах. Для осуществления претекстинга злоумышленнику необходимо располагать некоторой информацией о жертве: имя, должность, дата рождения, работодатель и другое. Таким образом мошенники втираются в доверие, усыпляют бдительность, а затем получают необходимую информацию.  

О таком методе, как фишинг, многие наверняка слышали – это техника мошенничества в интернете, направленная на получение конфиденциальной информации пользователей. Как правило, это логины и пароли для авторизации в различных системах, таких как онлайн-банкинг. Главным видом фишинговой атаки является электронное письмо, отправленное жертве, которое представляет собой поддельное сообщение от платежной системы или банка. В таком письме содержится форма для ввода персональных данных: логина, пароля, кода CVV и другой информации или ссылка на web-страницу, где располагается такая форма. 

Еще один излюбленный хакерами вид социальной инженерии – троянский конь. Эта техника основана на психологии человека и таких природных качествах, как любопытство, страх или другие непреодолимые чувства и эмоции. Так же, как и в случае с фишингом, чаще всего злоумышленники отправляют жертве мошенничества электронное письмо. Однако в этом случае это письмо с обновлением программного обеспечения, антивируса, подтверждением денежного выигрыша, компроматом на коллегу и т. п. В действительности к письму прилагается вредоносный вирус, который после запуска на компьютере занимается сбором персональных данных и другой необходимой для мошенничества информации. 

Следующий вид социальной инженерии – quid pro quo, то есть «услуга за услугу». Используя данную технику, мошенники связываются с жертвой по электронной почте или корпоративному телефону. Они могут, выдавая себя за специалиста технического отдела компании, сообщить о неполадках в работе корпоративной системы. Затем злоумышленники удаленно инструктируют жертву, тем самым побуждая ее совершать ряд действий, направленных на установку вредоносного программного обеспечения на компьютер, чтобы опять же получить доступ к необходимой для мошеннических действий информации. 

Метод «дорожное яблоко» представляет собой адаптацию того же троянского коня, но предполагает установку вредоносного ПО через использование съемных носителей, таких как флэш-накопители. Как правило, злоумышленники подбрасывают такую флэшку в общедоступных местах на территории компании: на парковке, в наиболее посещаемых местах общепита. Все это делается для того, чтобы спровоцировать жертву на использование устройства. На него может быть нанесена интригующая надпись, например «данные о продажах» или «зарплата сотрудников».

Как защититься?

Если говорить о корпоративных угрозах, то основным способом противодействия является инструктаж и обучение персонала. Все сотрудники компании должны быть осведомлены об угрозах в случае раскрытия персональной и конфиденциальной информации о компании и о способах предотвращения утечки данных. У каждого работника, обладающего доступом к информации, должны быть инструкции о том, как и на какие темы можно общаться с любым собеседником, какую информацию можно предоставлять для службы технической поддержки, как и что должен сообщить коллега для получения тех или иных данных.

Весь персонал должен знать, что пользовательские учетные данные являются собственностью компании и не могут разглашаться, даже если сотрудники думают, что сообщают информацию коллеге. В обязательном порядке при приеме на работу с сотрудниками должна проводиться работа по повышению знаний об информационной безопасности. Должны быть прописаны все соответствующие регламенты и инструкции по поведению в той или иной ситуации, связанной с потенциальной утечкой информации.

Крайне важно, чтобы на всех компьютерах сотрудников компании было установлено лицензионное программное обеспечение и актуальные антивирусные программы. Это позволит снизить риск утечки данных при возможных фишинговых и других хакерских атаках. На этом я бы хотел акцентировать внимание, так как использование нелицензированного ПО с целью сомнительной экономии является одной из главных особенностей казахстанского малого, а зачастую и среднего бизнеса. На сегодняшний день это можно считать одной из главных уязвимостей.

Причем проблема касается не только корпоративного сегмента, но и пользователей в целом.

Что же касается личной защиты и риска потерять денежные средства с персональных банковских счетов, то опять же не обязательно отказываться от удобных сервисов, блокировать банковские карты для совершения онлайн-платежей или предпринимать другие радикальные меры. Существует возможность установления лимитов на онлайн-операции или открытия дополнительной карты для подобных платежей, на которую опять же можно переводить необходимую сумму денег без риска потерять всю зарплату.

Помимо этого, стоит обращать пристальное внимание на авторитет компании, онлайн-сервисом которой вы пользуетесь. 

Развивая свою финансовую онлайн-платформу, мы хорошо понимаем, что уважающая себя компания придает огромное значение защищенности системы и всех совершаемых операций от действий злоумышленников, обращает на это самое пристальное внимание и постоянно совершенствует.