Czym jest Blagging w cyberbezpieczeństwie?
Chociaż blagging może wydawać się bardzo skomplikowaną formą hakowania, w rzeczywistości jest znacznie prostszy. Niemniej jednak, pomimo swojej względnej prostoty, krytykowanie może wyrządzić znaczne szkody organizacjom, gdy są one nieprzygotowane.
Blagging, potoczne określenie praktyki uzyskiwania czegoś poprzez oszustwo lub perswazję, a nie zapłatę, staje się coraz bardziej powszechne we współczesnym społeczeństwie. Ta koncepcja polega na stosowaniu różnych taktyk, takich jak urok, manipulacja lub pochlebstwo, aby przekonać kogoś do dostarczenia towarów lub usług bez wynagrodzenia. Powodzenie oblewania często zależy od zdolności danej osoby do nawiązania kontaktu z celem, oceny jej potrzeb lub pragnień oraz przedstawienia przekonującego argumentu, dlaczego powinna się zastosować. Podczas gdy niektórzy mogą postrzegać to zachowanie jako nieetyczne lub niemoralne, inni twierdzą, że stanowi ono nieszkodliwą formę interakcji społecznych, a nawet niezbędną umiejętność przetrwania w pewnych sytuacjach. Ostatecznie legalność i dopuszczalność blaggingu różnią się w zależności od norm kulturowych i systemów prawnych
Co to jest blagging i jak to działa?
Źródło zdjęcia: freepik
Blagging, nikczemna taktyka stosowana przez osoby pozbawione skrupułów, polega na próbie oszukania lub zmuszenia niczego niepodejrzewających ofiar do ujawnienia poufnych informacji, które powinny pozostać poufne.
Osoby o złych zamiarach mogą fabrykować narracje, aby przekonać swoje ofiary do ujawnienia poufnych informacji, które następnie można wykorzystać do niecnych celów, takich jak oszustwo tożsamości, szpiegostwo korporacyjne lub wymuszenia.
Z pewnością chętnie przedstawię bardziej wyrafinowane wyjaśnienie tego procesu i opiszę kilka typowych taktyk stosowanych w tej praktyce. Technika ta polega na manipulowaniu lub oszukiwaniu jednostek za pomocą różnych środków, takich jak pochlebstwa, odwoływanie się do ich emocji lub po prostu kłamanie na temat swoich kwalifikacji lub osiągnięć. W ten sposób jednostka może uzyskać dostęp do zasobów, informacji lub możliwości, których nie byłaby w stanie uzyskać w inny sposób. Należy jednak pamiętać, że działania te są w wielu przypadkach nieetyczne i niezgodne z prawem oraz mogą skutkować poważnymi konsekwencjami dla tych, którzy w nich uczestniczą.
Podszywanie się pod inną osobę za pomocą oszukańczych środków jest znane jako podszywanie się pod inne osoby. Oszuści często wykorzystują tę taktykę, podszywając się pod osoby posiadające władzę, takie jak współpracownik, przedstawiciel banku, a nawet funkcjonariusz organów ścigania. W ten sposób starają się zdobyć zaufanie swojej ofiary, zwiększając w ten sposób prawdopodobieństwo ujawnienia poufnych informacji. Typowym tego przykładem może być oszust dzwoniący do niczego niepodejrzewającej osoby, podający się za technika IT, który wymaga dostępu do swojego komputera w celu rozwiązania problemu technicznego.
Manipulując fałszywym wrażeniem bezpośredniości, oszukańcza osoba wywiera presję na zamierzoną ofiarę poprzez insynuacje, że czas ucieka i że jeśli nie zostaną podjęte szybkie działania, nastąpią tragiczne konsekwencje. Może to obejmować ostrzeżenia o zamknięciu konta lub wszczęciu postępowania sądowego, a wszystko to w celu zmuszenia ofiary do ujawnienia poufnych informacji bez zapewnienia jej wystarczającej możliwości oceny zasadności żądania.
Ataki typu phishing, przeprowadzane za pośrednictwem oszukańczych wiadomości e-mail lub złośliwych hiperłączy, są wykorzystywane przez cyberprzestępców do infiltracji systemów docelowych i eksfiltracji poufnych informacji. Te oszukańcze wiadomości często wykorzystują taktyki inżynierii społecznej, aby stworzyć atmosferę legalności, zachęcając w ten sposób niczego niepodejrzewających użytkowników do interakcji z nimi.
Atak z upuszczeniem dysku USB to technika wykorzystywana przez cyberprzestępców do dystrybucji złośliwego oprogramowania za pośrednictwem zainfekowanych dysków USB, które są pozostawiane w miejscach publicznych, aby niczego niepodejrzewające osoby mogły wykryć i połączyć się z własnymi urządzeniami. Lokalizacje te mogą obejmować parkingi lub windy, ponieważ stwarzają przestępcom okazję do atakowania ofiar, które mogą nie być świadome potencjalnych zagrożeń związanych z podłączaniem do ich komputerów nieznanych nośników pamięci.
Osoby dopuszczające się oszukańczych programów mogą wykorzystywać taktykę odwoływania się do dobrze znanego personelu w firmie, aby sprawiać wrażenie, że są należycie upoważnione do dostępu do danych wrażliwych. W ten sposób te oszukańcze osoby mają na celu zwiększenie wiarygodności swoich wątpliwych próśb.
Oszust może stosować empatyczne taktyki, wymyślając przejmujące narracje mające na celu wywołanie współczucia u zamierzonej ofiary. Na przykład mogą twierdzić, że są jedynymi opiekunami, którzy walczą o utrzymanie rodziny i potrzebują pomocy finansowej. Takie emocjonalne apele mogą okazać się bardzo skuteczne w manipulowaniu niczego niepodejrzewającymi osobami.
W zamian za podanie danych osobowych, takich jak dane karty kredytowej lub dane logowania, danej osobie można obiecać pewne korzyści, takie jak premie lub zwolnienie z pracy. Jednak obietnice te są często puste i służą jedynie jako środek do uzyskania pożądanych informacji bez zamiaru ich spełnienia.
Podążanie za osobą, która jest uważana za upoważniony personel, w celu uzyskania nieautoryzowanego wejścia do określonej lokalizacji poprzez wykorzystanie zwykłej uprzejmości polegającej na przytrzymywaniu otwartych drzwi i założeniu, że osoba towarzysząca ma prawo wejść, mieści się w kategorii chodzenia po ogonie. Ta metoda opiera się na założeniu, że jednostki nie będą analizować działań osób wchodzących na obszary o ograniczonym dostępie i zamiast tego polegać na normach społecznych, które dyktują zachowanie.
Podczas swobodnej rozmowy osoby o złych intencjach mogą próbować budować relacje i angażować się w pogawędki w celu wydobycia poufnych informacji od niczego niepodejrzewających ofiar. Takie podejście jest zwodnicze ze względu na pozornie nieszkodliwą naturę, co czyni je szczególnie niebezpiecznym.
Należy mieć na uwadze, że sprawcy wykazują się wyjątkową biegłością w fortelowaniu, sięgając po wszelkie środki niezbędne do osiągnięcia zamierzonych celów.
Jak bronić się przed atakami Blagging
Aby chronić siebie i swoją organizację przed oszukańczymi planami oszustów, konieczne jest wdrożenie pewnych środków obrony przed takimi niecnymi działaniami.
Zweryfikuj roszczenia
Istotne jest, aby nie opierać się wyłącznie na czyichś wypowiedziach, a zamiast tego zweryfikować ich twierdzenia dodatkowymi dowodami lub informacjami z wiarygodnego źródła.
W przypadkach, gdy dana osoba podaje się za przedstawiciela pomocy technicznej ubiegającego się o dostęp lub gdy inny współpracownik prosi o informacje, zaleca się przerwanie komunikacji i ponowne nawiązanie kontaktu, korzystając z autoryzowanego numeru telefonu, w celu zweryfikowania autentyczności takich twierdzeń.
Dokładnie przejrzyj wszystkie adresy e-mail, nazwiska i informacje kontaktowe pod kątem dokładności, aby potwierdzić ich wzajemną korespondencję.
Zweryfikuj żądania
Jako cenny członek naszej organizacji, prosimy o zachowanie ostrożności w przypadku niekonwencjonalnych zapytań, które mogą wydawać się naglące lub przedstawiać przekonujące narracje. Konieczne jest przekazanie takich spraw wyznaczonemu przełożonemu lub przestrzeganie ustalonych protokołów poprzez złożenie formalnego wniosku odpowiednimi kanałami.
Znacznie spowolnij wymianę informacji, aby umożliwić dokładniejsze zbadanie przed ujawnieniem wrażliwych szczegółów.
Ogranicz dostęp do konta
Aby ograniczyć potencjalne zagrożenia dla bezpieczeństwa, firmy powinny zapewniać swoim pracownikom tylko te najbardziej niezbędne zasoby, które są im niezbędne do skutecznego wykonywania swoich obowiązków. W tym względzie nierozsądne byłoby udzielanie dostępu do poufnych informacji finansowych, takich jak systemy finansowe, personelowi, który nie jest bezpośrednio zaangażowany w te operacje, w szczególności przedstawicielom obsługi klienta, których główna funkcja obejmuje inną dziedzinę wiedzy specjalistycznej. Przyjmując tak rygorystyczne środki, organizacje mogą zapewnić, że powstrzymają one wszelkie nieprzewidziane naruszenia lub ataki cybernetyczne, które mogą wystąpić w wyniku nieautoryzowanego dostępu, chroniąc w ten sposób swoje cenne aktywa i reputację przed podważeniem.
Aby zminimalizować potencjalne szkody, które mogą wynikać z wykorzystania przez osobę fizyczną luki w zabezpieczeniach, ważne jest przestrzeganie zasady najmniejszych uprawnień. Zasada ta ogranicza prawa dostępu i uprawnienia tylko do tych, które są niezbędne do wykonywania niezbędnych zadań, ograniczając tym samym zakres ewentualnych nieupoważnionych działań. Wdrażając to podejście, nawet w przypadku udanego ataku socjotechnicznego wymierzonego w pojedynczą osobę, wpływ na cały system lub sieć zostanie znacznie zmniejszony.
Zgłoś podejrzenia
Zachęcamy do zgłaszania wszelkich wątpliwości dotyczących nietypowych próśb i kwestionowania niespójności w narracjach, które mogą wydawać się podejrzane. W razie wątpliwości niezwłocznie informuj nasz zespół ds. bezpieczeństwa lub przełożonych o potencjalnych próbach oszustwa ze strony osób nieupoważnionych.
Ponadto konieczne jest uważne obserwowanie działania systemu i zachowań użytkowników w celu wykrycia podejrzanych działań, które mogą sugerować próbę naruszenia bezpieczeństwa. Niektóre wskaźniki takich prób obejmują:
Podejmowana jest próba uzyskania nieautoryzowanego dostępu zarówno do systemów, jak i poufnych informacji.
Oznaki prób zdalnego dostępu pochodzące z nieznanych adresów protokołu internetowego (IP) lub regionów geograficznych mogą sugerować potencjalne zagrożenia bezpieczeństwa, skłaniając do dalszych badań i podjęcia środków ostrożności w celu ochrony poufnych informacji i systemów.
Znaczna ilość informacji jest przekazywana do źródeł zewnętrznych.
Normalność zwyczajowych zachowań użytkowników, takich jak inicjowanie nowych operacji i przestrzeganie standardowych godzin pracy, może wykazywać aberracje, na które warto zwrócić uwagę.
Oprogramowanie antywirusowe i monity logowania należą do wyłączonych środków bezpieczeństwa stosowanych przez ten system, co może potencjalnie zwiększyć podatność na cyberzagrożenia.
Identyfikacja i reagowanie na nieprawidłowe zachowania w odpowiednim czasie pozwala specjalistom ds. cyberbezpieczeństwa na szybkie zbadanie i zminimalizowanie wpływu możliwego naruszenia bezpieczeństwa.
Szkolenie w zakresie świadomości bezpieczeństwa
Wysoko wykwalifikowany personel jest mniej podatny na oszustwa ze strony cyberprzestępców, ponieważ ciągłe szkolenia zwiększają jego zdolność do identyfikowania i udaremniania takich prób z dużym stopniem pewności.
Zwiększanie świadomości pracowników w zakresie oszukańczych strategii ma zasadnicze znaczenie dla wzmacniania interesów korporacyjnych. Włączenie praktycznych ćwiczeń i winiet do programów szkoleniowych umożliwia personelowi skuteczne doskonalenie swoich reakcji. Poddając ich fałszywym wiadomościom phishingowym i improwizowanym wizytom, można ocenić ich umiejętności radzenia sobie w takich sytuacjach. Ponadto niezwykle ważne jest, aby zagłębić się w szeroko rozpowszechnione sztuczki, w tym preteksty, wyprawy na ryby i propozycje quid pro quo. W miarę pogłębiania się wiedzy na temat tych schematów personel będzie lepiej przygotowany do ich identyfikowania i przeciwdziałania im.
Upewnij się, że Twój personel jest odpowiednio przeszkolony w zakresie sprawdzania poprawności wniosków, weryfikacji tożsamości, zgłaszania incydentów i przestrzegania poufności danych zgodnie z zasadami firmy. Wykorzystaj urzekające treści wideo, dynamiczne moduły szkoleniowe i wyzwania związane z konkurencją, aby utrzymać stymulującą tematykę, jednocześnie wzmacniając ważne praktyki bezpieczeństwa. Regularnie aktualizuj i przeglądaj program szkoleniowy, aby zapewnić jego przydatność i skuteczność.
Niezbędne jest, aby kadra kierownicza najwyższego szczebla aktywnie uczestniczyła w tych sesjach szkoleniowych, aby pokazać swoje zaangażowanie w promowanie świadomości cyberbezpieczeństwa w organizacji.
Użyj zabezpieczeń warstwowych
Wykorzystanie wielu blokujących się środków bezpieczeństwa jest bardziej niezawodne niż poleganie na pojedynczym wrażliwym punkcie.
Oto niektóre warstwy, które możesz zaimplementować:
W celu wzmocnienia środków bezpieczeństwa fizycznego w celu ochrony tylnej klapy ważne jest wdrożenie różnych mechanizmów kontrolnych, takich jak obowiązkowe karty identyfikacyjne, ograniczony dostęp do obiektów i systemy ciągłego nadzoru wideo. Te środki ostrożności mogą skutecznie zniechęcić osoby nieupoważnione do uzyskania dostępu do wrażliwych obszarów, zapewniając jednocześnie bezpieczeństwo personelu i mienia na terenie obiektu.
Zaawansowane środki bezpieczeństwa obwodowego, takie jak zapory ogniowe, systemy zapobiegania włamaniom (IPS) i filtry sieciowe są stosowane w celu blokowania dostępu do sieci rozpoznanym zagrożeniom i potencjalnie niebezpiecznym witrynom internetowym.
Bezpieczeństwo punktów końcowych obejmuje szereg środków zaprojektowanych w celu ochrony urządzeń przed cyberzagrożeniami, takimi jak wirusy, złośliwe oprogramowanie, nieautoryzowany dostęp i naruszenia danych. Środki te obejmują oprogramowanie antywirusowe, systemy wykrywania i reagowania na punkty końcowe (EDR) oraz technologie szyfrowania, które chronią poufne informacje. Wdrażając te rozwiązania, organizacje mogą znacznie zmniejszyć ryzyko wystąpienia kosztownych i szkodliwych cyberataków, zapewniając jednocześnie zgodność z przepisami branżowymi i najlepszymi praktykami.
Wykorzystanie środków bezpieczeństwa poczty elektronicznej, takich jak systemy filtrowania bramek w celu wykrywania i zapobiegania złośliwym wiadomościom, oprócz wdrożenia technologii piaskownicy w celu powstrzymania potencjalnych zagrożeń, zapewnia wyższy poziom ochrony wrażliwych informacji przesyłanych za pośrednictwem korespondencji elektronicznej.
Zaawansowane środki kontroli dostępu, takie jak uwierzytelnianie wieloskładnikowe i systemy uprawnień oparte na rolach, mogą skutecznie ograniczać nieautoryzowane korzystanie z kont, nawet w przypadkach naruszenia danych logowania.
Narzędzia zapobiegające utracie danych są wykorzystywane do utrudniania znacznej transmisji poufnych informacji w celu zabezpieczenia przed nieautoryzowanym dostępem i potencjalnym naruszeniem prywatności. Narzędzia te mają na celu ograniczenie przekazywania danych niejawnych, zapewniając dostęp do takich informacji wyłącznie upoważnionym pracownikom, minimalizując jednocześnie ryzyko zagrożeń bezpieczeństwa.
Zwiększenie przeszkód, które muszą pokonać osoby próbujące oszukać innych, spowoduje zwiększenie prawdopodobieństwa wykrycia ich oszustwa.
Miej się na baczności przed blagowaniem
Blagging, chociaż dotyczy głównie firm, może również nękać osoby fizyczne. Oszustwo stosowane przez oszustów może przybrać formę pozornie nieszkodliwego telefonu lub e-maila, rzekomo pochodzącego z wiarygodnego źródła, takiego jak pomoc techniczna, przedstawiciel instytucji finansowej, a nawet bliski krewny w trudnej sytuacji. W rezultacie konieczne stało się zapoznanie każdej osoby z taktykami chuligaństwa i rozpoznawanie znaków ostrzegawczych, aby uniknąć padnięcia ofiarą tych nikczemnych planów.
Jako przedsiębiorca lub szef korporacji ważne jest, aby nie bagatelizować potencjalnego zagrożenia stwarzanego przez cyberprzestępców. Zapewniając swoim pracownikom gruntowną edukację w zakresie bezpieczeństwa i wdrażając wiele warstw środków ochronnych, możesz skutecznie neutralizować wszelkie zagrożenia, które mogą wynikać z takich złośliwych aktorów.
Skuteczne środki mogą zapewnić, że osoby próbujące uzyskać nieautoryzowany dostęp lub informacje zostaną udaremnione poprzez wdrożenie solidnych protokołów bezpieczeństwa i systemów monitorowania.