В условиях, способствующих виртуальному общению и ведению онлайн-бизнеса, появляется больше целей для реализации мошеннических схем.
Почему необходимо помнить о безопасности при организации работы удалённых офисов?
Сотрудники, работающие в домашних условиях, представляют собой не только единый трудовой коллектив, но и единую коммерческую информационную систему. Информационная система управляет информационными процессами и производит информационные объекты (данные). Злоумышленники могут внедриться в информационные процессы, чтобы получить доступ к данным или к управлению процессами.
При неправильном управлении удалённым офисом в первую очередь нарушается организационная защита, а точнее отсутствует обеспечительный контур защиты рабочего пространства компании (коллектива).
Проще говоря, кроме возможных технических уязвимостей коммерческой системы появляется уязвимость персонала, к которому злоумышленники могут попробовать применить методы взлома с помощью социальной инженерии.
Что нужно сделать, чтобы снизить вероятность мошеннической атаки?
1. Нужно консультироваться со специалистами по компьютерной безопасности для настройки технического обеспечения работы удалённого офиса.
Правильная техническая настройка программ и оборудования делает невозможными или бессмысленными некоторые методы человеческого воздействия на персонал.
2. Нужно проводить квалифицированные инструктажи персонала компании по безопасности удалённого общения сотрудников между собой и безопасного оказания онлайн-услуг.
Специалисты по обеспечению коммерческой безопасности могут проводить такие инструктажи через видеоконференции, а также могут разрабатывать индивидуальные инструкции для сотрудников после проведения дистанционного тестирования.
В этой статье я напомню основные направления, в которых разрабатываются мошеннические схемы.
Методы атак с помощью социальной инженерии
Методы психологической манипуляции человеком направлены на определённые категории людей. Одной из самых многочисленных категорий являются недовольные сотрудники.
! Если воздействовать на сотрудника по специальной методике, то получение информации может быть практически гарантировано.
Часто атакуют поставщиков коммерческой информации, являющихся партнёрами по бизнесу.
! Наблюдение за такими "информационными поставщиками" может производиться скрытно на протяжении длительного времени. Не всегда компания взламывается для того, чтобы быть обворованной финансово.
Атака методами социальной инженерии может проходить стандартные стадии:
- Сбор информации - это один из самых незаметных этапов, для неспециалистов в области безопасности. Большая часть собираемой информации добывается посредством анализа легально доступных данных, без установления контакта с сотрудниками или с проведением легальных контактов.
- Доверительный контакт - непосредственно этап влияния, о котором сотрудники предупреждаются в инструкциях и, который наиболее насыщен методами воздействия.
- Получение информации (побуждение к действиям) - результативная часть для мошенников, в которой происходит само информационное преступление, получение результата мошеннических воздействий. На этом этапе сотрудник может совершить отказ от совершения подозрительных действий (выход из под влияния мошенников), если он обладает психологической подготовкой к нейтрализации таких атак. Не стесняйтесь проверять свои подозрения!
О безопасном поведении и психологической защите подробно рассказывают сотрудникам на инструктажах по безопасности.
Распространённые шаблоны манипулирования персоналом (сотрудниками)
Для успешного воздействия с целью получения нужных сведений существуют специальные условия, создаваемые манипуляторами:
- Дефицит времени - лжеклиент быстро задаёт вопросы мотивируя тем, что у него разряжен телефон, который вот-вот отключится. Цель этого шаблона заставить собеседника выдавать информацию в непривычном для него режиме, возможно, при сниженном уровне самоконтроля сотрудника.
- Просьба о помощи - если клиент просит помочь ему, то у сотрудника снижается степень тревожности и подозрительности, что может усыпить бдительность.
- Влияние на эго сотрудника - комментарии излишни: Какая лиса не знает, что ворону нужно захвалить? (вывод из басни "Ворона и Лисица").
- Обещание перспектив или вознаграждения - иногда мошенник может разыграть ложное собеседование с переманиванием сотрудника к себе в компанию. На таком собеседовании "выигрывают" те, кто сможет сообщить много сведений о недостатках работы в текущей компании.
- Правильные вопросы - использование правил ассоциативного мышления, которое может быть предсказуемым и может обозначить злоумышленнику существующие обстоятельства работы офиса.
Если сотрудники получают угрозы от мошенников, то нужно срочно обращаться в полицию и других советов в таких ситуациях нет.
Общие рекомендации для персонала компаний, рекомендации тем самым обычным сотрудникам, без которых не может быть бизнеса: Будьте бдительны, внимательны к деталям общения, соблюдайте цифровую гигиену своих компьютеров.
Рекомендации для руководителей: Обеспечивайте безопасность своего виртуального бизнеса с помощью специалистов.
Рекомендуется каналом к прочтению по теме статьи:
3 апреля 2020 года (редакция текста 24 апреля 2020 года).
Автор: юрист Демешин Сергей Владимирович.
Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).