Давайте поговорим о социальной инженерии малого бизнеса.
Если вы работаете в небольших и средних компаниях или сотрудничаете с ними, вы можете подумать, что вы в безопасности и риск атак для вас намного ниже. . Вы знаете всех 40-100 человек в вашем офисе, незнакомец сразу будет на виду. Вы даже можете подумать, что никогда не получите неизвестное фишинговое письмо от отдела кадров или звонок из IT-отдела. В конце концов, вы хорошо знаете Макса из отдела кадров и Олю из отдела информационных технологий. Однако не позволяйте небольшому размеру организации создавать ложное ощущение безопасности. Малые предприятия социальной инженерии являются фаворитами среди злоумышленников и часто недооцениваются в СМИ. Кроме того, вы можете легко попасть в ловушку, если считаете, что ваша организация слишком мала для того, чтобы стать мишенью, когда есть гораздо более крупные компании с более крупными доходами.
Однако злоумышленник ищет самые низкие плоды, не обязательно самые прибыльные.
По-прежнему существует множество методов социальной инженерии, которые эффективно работают против малого и среднего бизнеса. Число нападений на организации такого масштаба растет, и они могут быть очень разрушительными.
Популярные методы социальной инженерии против малого и среднего бизнеса
Даже если вы знаете всех в организации, не стоит недооценивать способность злоумышленника "подстрелить" фишинговых сотрудников, даже тех, кто находится в C-suite. Многие финансовые директора (CFO) малых предприятий становятся объектами специальных фишинговых кампаний или очень специфических, индивидуализированных фишинговых электронных писем с просьбой к получателю принять меры, которые могут поставить под угрозу сеть или финансовое благополучие организации.
Злоумышленник может выдать себя за главного исполнительного директора или представителя власти, который принимает финансовые решения и просить директора перевести крупную сумму денег подрядчику, когда адрес электронной почты подделан, чтобы сделать мошеннический запрос, в итоге все деньги попадут прямо в руки злоумышленнику.
Кроме того, некоторые должности в организациях требуют взаимодействия с внешним миром, которое злоумышленник сможет быстро определить. Отделы продаж и маркетинга, в частности, должны взаимодействовать с неизвестными организациями и физическими лицами. Если отдел продаж получает новый заказ на покупку (PO) или запрос на продажу, эти сотрудники могут счесть вполне естественным щелкнуть по ссылке, загрузить документ и согласиться на любые запросы на предоставление этих документов. Однако к PO следует относиться с крайней осторожностью,так как они могут представлять получателю вредоносное ПО, направленное на компрометацию сети вашей организации.
Не стоит забывать, что организации регулярно взаимодействуют с внешними спонсорами. Если ваша организация арендует офисное помещение, то любой человек, выдающий себя за команду уборщиков, управляющую компанию, поставщика услуг, например, по борьбе с вредителями и доставке посылок может предоставить злоумышленнику возможность нарушить физическую безопасность вашей организации.
Малый бизнес в социальной инженерии - это прибыльное начинание с множеством вариантов для злоумышленника.
С учетом всех этих факторов, как малый и средний бизнес может эффективно защитить себя от угроз социальной инженерии?
Защита вашей компании от социальной инженерии
Хорошая безопасность требует защиты на различных фронтах. Попробуйте использовать как можно больше этих методов для защиты вашей организации от недобросовестных людей:
Инвестируйте в курсы повышения осведомленности о безопасности, которые включают в себя как обучение, так и тестирование ваших сотрудников. Чтобы ваши сотрудники понимали, откуда исходят угрозы, как они выглядят и как сообщать о них, они должны быть неотъемлемой частью надежной системы безопасности;
Наймите, по крайней мере, одного человека для управления отделом безопасности, а не просто полагайтесь на ИТ для решения как технических вопросов, так и вопросов безопасности. Поверьте, ответственный специалист по безопасности может сильно помочь вам в защите ваших данных и материальных средств.
Если ваши сотрудники когда-либо работали из дома или вне офиса, убедитесь, что они понимают опасности общественного WiFi и снабдите своих сотрудников мощными, полными туннелями виртуальными частными сетями и/или личными точками доступа; используйте мощный многофакторный инструмент аутентификации в своем бизнесе;
Убедитесь, что ваши сотрудники хорошо проверяют запросы, особенно те, которые просят их нажать на ссылку и/или запустить программу на своем компьютере или отправить деньги. Проверьте, понимают ли они всю серьезность последствий, которые могут возникнуть, если они бездумно будут открывать все ссылки подряд.
Подчеркните важность физической безопасности и недопущения прохода незнакомцев в здание, сделайте вход в особенно важные комнаты по специальным пропускам и убедитесь, что выдадите их только проверенным людям.
Представьтесь и подружитесь с уборщиками, поставщиками почты и посылок и другими известными подрядчиками, а также с лицами, работающими на других этажах (когда это применимо), и поработайте с ними. Знание того, какие люди работают в вашей организации, вы значительно снизите риски физического проникновения в вашу организацию.
