Это милое фото вашего пушистого лаготто-романьоло (порода собак – прим. пер.) в Instagram. Видео в TikTok о вашей команде, которая, наконец, снова вместе вышла в офис. Указанная альма-матер на вашей странице в LinkedIn (американская социальная сеть для делового общения, заблокирована на территории РФ – прим. пер.).
Вооружившись всей этой общедоступной информацией, киберпреступник может составить ваш социальный портрет и использовать его в бесчисленных попытках проникнуть во внутреннюю сеть вашей компании.
Они могут составить электронное письмо с учетом ваших интересов («Привет, собачник!»), которое заставит вас кликнуть на сомнительную ссылку, непреднамеренно предоставив им доступ к сети, или закрытую информацию о поставщиках услуг, например, о вашей страховой компании, чтобы запустить в ваш компьютер программы-вымогатели. Или они могут притвориться вами, чтобы заманить в ловушку кого-то другого в своем бизнесе («Эй, на следующей неделе у Синди день рождения, нажми на эту ссылку, чтобы принять приглашение на ее вечеринку»). И так далее.
«Около 60% информации, необходимой мне для создания действительно хорошего фишинга (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям – прим. пер.), можно спокойно найти, используя только Instagram», - говорит Рэйчел Тобак, главный исполнительный директор SocialProof Security, фирмы, занимающейся оценкой уязвимостей и обучением под руководством хакеров. Изучая чьи-то аккаунты в социальных сетях, она говорит: «Обычно я могу найти все, что мне нужно, в течение первых 30 минут или около того».
Это не просто вещи, которые вы публикуете. «Все лайки, которые вы делаете на Facebook и сердечки, которые вы нажимаете в Instagram, можно собрать воедино, чтобы составить довольно четкую картину того, кто вы и чем занимаетесь», - говорит Кэрри Гарднер, инженер по кибербезопасности и руководитель группы Insider Risk в Институте программной инженерии Университета Карнеги-Меллона.
Угроза атаки еще выше, учитывая постоянные утечки данных, такие как недавние взломы Facebook и LinkedIn, в результате которых была раскрыта личная информация сотен миллионов пользователей. Кроме того, существует тот факт, что большая часть этого незаконного слежения осуществляется автоматически: хакеры могут использовать мощный искусственный интеллект и различные программы для сканирования аккаунтов в социальных сетях с невероятной скоростью в поисках необходимой информации.
«Мы действительно можем автоматизировать всю эту разведку с помощью ИИ, который преступники все чаще используют в надежде найти прибыльную жертву», - говорит Аарон Барр, технический директор PiiQ Media, компании, занимающейся анализом угроз и рисков в социальных сетях.
Мы спросили экспертов по безопасности, что могут сделать пользователи социальных сетей, как и что публиковать, чтобы не подвергать риску внутренние сети своих компаний. Вот что они сказали.
Дважды подумайте о том, что вы публикуете. И еще раз подумайте
Это классический совет для вашей онлайн-безопасности, но его стоит повторить. Не публикуйте личную информацию на общедоступных платформах – например, планы поездок, личные интересы, сведения о членах семьи или конкретные сведения о рабочем продукте. Всю эту информацию можно использовать, чтобы завоевать ваше доверие или обмануть ваших коллег. Например, хакер может узнать личные данные из ваших социальных сетей, а затем отправить фишинговое электронное письмо, в котором говорится примерно следующее: «Мне очень жаль, что ваши родители умерли». Кажется, я помню, что ты в школе носил свитера, которые шила твоя мама».
Даже мельчайшие детали, которые злоумышленники собирают с нескольких платформ, могут непреднамеренно раскрыть информацию о вас. Снимайте свой рабочий ID, чтобы он не попал на фотографии, таким образом хакеры не смогут использовать его как образец для создания подделки, говорит г-жа Тобак. Не помечайте изображения: геолокации рассказывают злоумышленникам о том, где вы недавно были, что является именно тем элементом, который используется для отправки встроенного вредоносным ПО опроса о пребывании в отеле на прошлой неделе, и они могут искать в Twitter такие теги, как «#LifeAtCompany», чтобы получить информацию о вас или вашем бизнесе.
«А на фотографиях отойдите немного подальше от рабочего места», — говорит г-жа Тобак, так как это легко показывает, какое программное обеспечение вы используете, что могут использовать злоумышленники для попыток фишинга. Кроме того, она добавляет: «Вы будете удивлены, как часто я вижу стикеры с именем пользователя и паролем, прикрепленные к рабочему месту. Таким образом я в деле».
Прекратите делиться своей рабочей электронной почтой
Один из самых простых способов для злоумышленников нанести вред корпоративной сети – это взломать вашу электронную почту для отправки фишинговых сообщений. И один из самых простых способов остановить этих мошенников – убедиться, что они вообще не получат ваш адрес.
Это означает, что вы должны использовать свой рабочий e-mail адрес только для работы и никогда не публиковать его открыто в социальных сетях. Теоретически это просто: на таких сайтах, как LinkedIn и Facebook, пользователи могут выбрать опцию скрыть свою электронную почту от всех. Но большинство людей продолжают делать личную контактную информацию открытой для всех, в том числе фирм, занимающихся интеллектуальным анализом данных, или злоумышленников.
Последствия могут быть опасными. Получив вашу электронную почту, злоумышленник может использовать целевой фишинг для атаки на других сотрудников, использовать защиту компании и потенциально получить доступ к другим сотрудникам, или следить за внутренними коммуникациями компании. В одном из распространенных типов атак, называемых мошенничеством с переадресацией платежей, преступники получают доступ к электронной почте руководителя, который одобряет счета, а затем следит за его или ее трафиком сообщений, говорит Дерек Мэнки, руководитель отдела безопасности и альянсов глобальных угроз в FortiGuard Labs, исследовательском подразделение компании Fortinet, занимающейся разработкой решений для кибербезопасности.
«Когда приходит счет-фактура, они могут изменить инструкции по переводу, чтобы деньги ушли на оффшорный счет. И социальные сети играют в этом главную роль,» - говорит он.
Г-н Барр предлагает пользователем иметь как минимум четыре адреса электронной почты – один для личных сообщений, один для работы, один для спама и один только для социальных сетей – и, кроме того, они свой рабочий адрес электронной почты нельзя использовать для других целей, помимо работы. (Конечно, вы не должны использовать один и тот же пароль для всех из них и часто менять эти пароли – желательно, используя двухфакторную аутентификацию, чтобы сделать ее взлом более сложным для мошенников.)
Используйте разные изображения профиля на разных платформах
По словам г-на Барра, искусственный интеллект и мощное программное обеспечение могут быстро искать учетные записи в социальных сетях через совпадения изображений в профиле, а также другие общие характеристики (имя пользователя, друзья, интересы) в учетных записях.
Например, если кто-то использует одно и то же изображение профиля в Instagram и Pinterest, ИИ может определить, что учетные записи принадлежат одному и тому же человеку, даже если имена пользователей разные. Затем хакеры могут собрать огромное количество информации о вас, чтобы более эффективно выдавать себя за вас перед коллегами.
К счастью, есть одна простая линия защиты: по возможности не используйте в профилях фотографии вас или ваших знакомых.
«Если ваше изображение в профиле не является фотографией ваших детей, супруга (-и) или вас, то злоумышленнику сложно установить положительную корреляцию между платформами», - говорит г-н Барр.
Сохраняйте хладнокровие на сайтах знакомств
Это вполне нормально, и даже ожидаемо, что вы делитесь интимными подробностями через приложения для знакомств. И пользователи обычно не задумываются о том, что может произойти, если эта информация попадет в руки злоумышленников.
Хорошая идея – ограничить свою группу общего доступа и поверить интуиции, чтобы решить, может ли то, что вы публикуете сегодня, быть использовано против вас позже – скажем, с помощью шантажа, чтобы вынудить вас раскрыть конфиденциальную информацию, такую как данные вашей рабочей учетной записи.
Кибер-злоумышленники терпеливы и настойчивы, говорит г-жа Табак из SocialProof Security: «Они могут выжидать, спокойно продолжать попытки получить все больший доступ и месяцами ждать подходящего времени атаковать».
Если вы опубликовали что-то, что может быть использовано против вас, удалите это, но лучше не публиковать это в первую очередь, поскольку все в Интернете живет вечно. И как только вы установили связь, подумайте о том, чтобы проверить своего поклонника с помощью нескольких поисковых запросов в Интернете, а затем продолжить разговор по другому каналу связи.
«Фотографии, которыми мы делимся, описания, которые мы даем, разговоры, которые мы ведем, когда думаем, что нас только двое ... стоит подумать, когда подходящий момент - переместить все это в более безопасное место, такое как Signal или даже телефонный звонок,» - говорит г-жа Гарднер.
Очистите свое онлайн-резюме
Сведения, которые вы публикуете на сайте для поиска работы, могут быть ценны для преступников, которые хотят получить информацию о вас или компании. Так что, если вы можете, то не называйте бывшего работодателя или учебное заведение, где вы учились, - говорит г-н Барр. «Если только я не пытаюсь найти работу, я не уверен, что важно, чтобы люди знали, что я учился в Университете Старого Доминиона, поэтому я просто делаю эту информацию более общей и указываю «Крупный университет», годы, которые я учился, и свою специальность». Наряду с этим вам следует удалить номера телефонов и адреса электронной почты, однако оставив навыки и описание сути занимаемых вами должностей.
Если вы находитесь в поисках новой работы, мистер Барр предлагает опубликовать на некоторое время полностью загруженное резюме, а затем удалить его, когда поиск работы будет завершен. Более того, не отправляйте информацию людям, которые ее запрашивают, если вы не подтвердите их личность.
Г-н Мэнки советует соискателям работать по так называемой «модели нулевого доверия». Это включает в себя поиск человека, который связался с вами, переход на веб-сайт его компании, чтобы убедиться, что он законный представитель и ссылается на правильный домен, и пытаться не быть падким на лесть.
«Киберпреступник попытается обрадовать кандидата, заявив, что он идеально подходит», - говорит г-н Мэнки. «Часто подобный рекрутер настойчив или предлагает работу без собеседования. Это точно первые звоночки».
Проверяйте людей перед тем, как принимать запросы
Точно так же не все, кто пытается добавится к вам в друзья или приглашает в социальные сети, являются теми, кем они себя называют. Запрос может исходить от кого-то, кто хочет проникнуть в вашу профессиональную сеть, чтобы украсть коммерческую тайну, нарушить работу ваших систем, украсть вашу личность или просто навредить вашей общественной репутации или бренду. Вот почему стоит проявить к этому человеку должную осмотрительность.
Г-н Барр из PiiQ вспоминает, как проводил проверку безопасности для главного технического директора технологической компании. Сделав небольшую домашнюю работу, он выяснил, в какой школе учился руководитель.
«Затем я зашел на Classmates.com и нашел одного или двух сверстников, у которых не было аккаунтов в Facebook», - говорит г-н Барр. Он представился одним из тех одноклассников, создал фальшивую учетную запись и отправил жертве запрос о дружбе, который тот принял.
После этого г-н Барр получил доступ ко всем элементам навигации, доступным в профиле технического директора в Facebook. Все это могло помочь ему получить достаточно информации и доверия, чтобы начать хорошо продуманную целевую фишинговую атаку.
«Уязвимости могут появиться откуда угодно, - говорит г-н Барр, - «Социальные сети по-прежнему остаются Диким Западом».
Источник: https://www.wsj.com/articles/what-hackers-can-learn-about-you-from-your-social-media-profile-1162315...
