Et LinkedIn-indlæg om at få et nyt job blev til en potentiel phishing-fidus og lignende hændelser ses oftere og oftere.
Vi poster vores daglige liv på sociale medier og tænker ikke på at gøre vigtige detaljer om vores liv offentlige. Vi er nødt til at genoverveje, hvad vi deler online, og hvordan angribere kan bruge disse oplysninger til at målrette mod virksomheder. Din virksomheds sikkerhed kan være en sms væk fra et brud.
Hackere målretter deres angreb mod nye medarbejdere
Onboarder et firma for eksempel en ny praktikant og giver dem nøgler til kontorbygningen, logins til netværket og en e-mail-adresse. Det er normalt, at medarbejderne også har personlig e-mail og mobiltelefoner. Afhængigt af firmaets størrelse, hvis man bruger multifaktorautentifikation, implementerer du også tofaktortokens eller applikationer til deres mobiltelefoner eller giver dem en arbejdstelefon. De første par dage på jobbet kan være hektiske med en masse ny teknologi at håndtere. Det kan være overvældende såvel som stressende, da den ivrige nyansatte ønsker at finde sig til rette i jobbet og være imødekommende.
Det er også en tid, som angribere forsøger at drage fordel af. De leder efter ivrige arbejdere, der forsøger at behage deres nye chefer. Forleden oplevede mit firma på første hånd, hvordan disse angribere går efter nyansættelser, når de bosætter sig i virksomhedsmiljøet. E-mails startede uskyldigt nok. En e-mail fra en person, der beder praktikanten om at hjælpe dem med et projekt og en deadline. I mailen stod der, at de var til et lukket møde. Anmodningen var, at de havde brug for en opgave helt hurtigt. E-mailen sluttede med at bede praktikanten om at “Venligst videresende dit mobilcellenummer så hurtigt som muligt.” Fortæller Susanne Bradley.
Hackeres viden om nye medarbejdere
De starter med de værktøjer, vi bruger til at oprette forbindelse i erhvervslivet for at gøre phish mere personlig. Ved at overvåge forretningswebsteder som LinkedIn skabte angriberne forbindelsen mellem en nyansat regnskabspraktikant og en partner på mit kontor. De byggede e-mailen til at se ud som om den kom fra partneren, der bad praktikanten om at hjælpe dem. Endnu en gang bad de dem om at give et mobiltelefonnummer, så de kunne sende dem en sms.
Tre gange kom disse e-mails ind i vores forretnings-e-mail og blev ikke identificeret som uønsket e-mail eller identificeret af vores mailfiltreringsværktøjer som phishing-lokker. E-mailen havde ikke nok udløsere, og den gjorde det rent gennem al den beskyttelse af e-mail- og slutpunktsdetekterings- og responsforanstaltninger (EDR), vi har på plads.
Hackere er gået efter Uber, Twilio-medarbejdere
Det nylige Uber-brud blev tilsyneladende udløst, fordi en angriber narrede en administrator til at godkende en falsk multifaktorautentifikation (MFA) anmodning. Angriberen bad administratoren over WhatsApp om at give flere oplysninger for at vinde deres tillid og godkende MFA-anmodningen. Det er uklart, om angriberen brugte sociale medieværktøjer til at få mere information eller målrettede administratoren eller var heldig.
Twilio delte for nylig, at angribere målrettede sine medarbejdere og var i stand til at matche medarbejdernavne fra kilder med deres telefonnumre. Angriberne var i stand til at skabe et en-til-en-forhold ved hjælp af offentligt tilgængelige databaser til at målrette angrebene.
Sådan afbødes angreb på sociale medier
Rachel Tobac fra SocialProof Security bekræftede på Twitter, at angribere bruger forretningsværktøjer til at målrette mod både større enheder såvel som små og mellemstore virksomheder. Hun anbefalede, at virksomheder ikke længere lister eller opretter forbindelse til nyansatte på LinkedIn og bruger datafjernelsestjenester til at trække oplysninger ud af databaser, der vedligeholdes af LinkedIn og andre.
Efter at have været i den modtagende ende af anmodninger om fjernelse af data har jeg fundet ud af, at anmodninger om fjernelse kan afsløre flere oplysninger, end der var i databasen i første omgang. Et websted har muligvis kun e-mailadresser, men anmodningen om fjernelse af data viser også brugerens fulde navn. Overvej webstedets omdømme og deres track record for fjernelse af data. Så meget information er nu online og begravet på så mange steder, at jeg ikke er overbevist om, at vi virkelig kan skrubbe os fra internettet.
Når du onboarder nye medarbejdere, skal du gøre dem opmærksomme på disse typer angreb og risiciene for virksomheden. Opfordre nyansatte til ikke at skrive om deres nye job eller roller eller begrænse opslaget til kun at omfatte betroede forbindelser. Medarbejdere skal vide præcis, hvordan kommunikation fra firmaet vil se ud, og hvilke metoder der vil blive brugt. Få dit informationssikkerhedsteam til at forberede “hvad nu hvis”-bordøvelser for at sikre, at personalet ved, hvordan de skal reagere korrekt på sikkerhedsmeddelelser. Gør dem opmærksomme på, at angribere kan målrette mod alle i firmaet for at få adgang.
Hackere bruger også data, der deles i den virkelige verden
Deling af for mange personlige oplysninger er ikke kun et online problem. Selv når vi kører rundt i vores biler, udsætter vi en masse information. Har du et kofangerklistermærke på din bil, der viser, at dit barn er på æresrullen? Du sender bare, hvor dine børn går i skole. Har du en personlig plade? Det er lettere for nogen at huske, om de vil spore dig eller din bil. Har du et klistermærke på din bil, som du kan lide at stå på ski eller enhver anden dyr sport? Du viser måske, at du har dyrt udstyr i din bil eller i dit hjem samt at være væk fra dit hus ofte i weekenderne. Har du et parkeringskort eller et andet identifikationsmærkat på din bil, der identificerer, hvor du arbejder? Overvej, hvor meget din bil kan identificere, hvem du er, og hvad du gør ved nogen, der forsøger at målrette mod dit firma.
Alt for ofte er vi inden for teknologi betinget af at gå uden om barrierer så godt som muligt for at få arbejdet gjort. Dette sætter brugerne op til at falde for målrettede angreb. Hvis angribere ved nok om dig eller din adfærd, kan de målrette angrebet i overensstemmelse hermed. Tag dig tid til ikke blot at udrulle teknologiske barrierer, men tilbyde uddannelse og erhvervsuddannelse. Husk, at hvis hele din infrastruktur kan kompromitteres , fordi en tilfældig bruger træffer en dårlig beslutning, er problemet ikke nødvendigvis hos brugeren. Det er fordi du har konfigureret dine processer til at mislykkes og ikke har hjulpet dem med at lave den rigtige.
Kilde: CSO
Foto: Pexels