Iată cum postările tale de pe rețelele sociale ajută un hacker să intre în compania ta

Iată cum postările tale de pe rețelele sociale ajută un hacker să intre în compania ta

Stephanie „Snow” Carruthers, principalul hacker de la IBM X-Force Red, arată cât de ușor acțiunile tale nevinovate din social media pot oferi hackerilor cheia la regatul de date al companiei tale.

Gândește-te de două ori înainte de a face și distribui în social media acel selfie de la birou sau fotografia de grup cu colegii la locul de muncă. Hackerii urmăresc postările de pe rețelele sociale pentru fotografii, videoclipuri și alte indicii care îi pot ajuta să-și orienteze mai bine atacul într-o companie.

Snow face parte dintr-o echipă de elită de hackeri din IBM cunoscută sub numele de X-Force Red. Companiile angajează persoane ca Snow pentru a găsi lacune în securitatea lor – înainte să le găsească băieții răi. Pentru ea, spune Stephanie, acest lucru înseamnă căutarea informațiilor pe internet, înșelarea angajaților să dezvăluie lucruri prin telefon și chiar folosirea deghizărilor pentru a intra în birou.

Postările de pe rețelele de socializare sunt o mină de aur pentru detalii care ajută la „atacurile” acestea. Ceea ce găsești în fundalul fotografiilor este deosebit de revelator – de la ecusoane de securitate la ecrane pentru laptop sau chiar post-it-uri cu parole. Nimeni nu vrea să fie sursa unui eșec neintenționat de securitate în social media. Așadar, hackerul ne explică cum postările aparent inofensive o pot ajuta – sau pe un hacker rău intenționat – să îți vizeze compania.

Cum reușește un hacker să obțină informații care să-l ajute să intre în firma ta

Primul lucru care s-ar putea să te surprindă este că 75% din timp, informațiile pe care le găsește un hacker provin de la stagiari sau angajați noi. Generațiile mai tinere care intră astăzi în piața muncii au crescut pe rețelele de socializare, iar stagiile sau noile locuri de muncă sunt actualizări interesante de distribuit pe Facebook sau Instagram. Unde mai pui aptul că firmele întârzie adesea instruirea în materie de securitate pentru noii angajați, până la săptămâni sau luni după ce au început lucrul acolo.

“Cunoașterea acestui punct slab, împreună cu câteva hashtag-uri la îndemână, îmi permite să găsesc tone de informații de care am nevoie în doar câteva ore. Dacă arunci o privire în aplicațiile tale de social media preferate, o să vezi postări etichetate cu #primazi, #newjob sau #intern + [#numelecompaniei]”, spune Stephanie.

Deci, ce anume caută Stephanie, spre exemplu, în aceste postări? Există patru tipuri specifice de postări riscante în social media pe care un hacker le poate folosi în avantajul lui.

Postarea unei fotografii cu tine și cu cei mai buni colegi de la birou, indiferent dacă este într-o pauză de prânz, dacă faceți un fel de activitate socială sau altceva, poate să dezvăluie mai mult decât îți imaginezi.

Gândește-te la toate tipurile de afișe care se află în spațiile comune ale biroului. Un afiș despre „Echipa Softball League începe curând” înseamnă că nu va fi suspicios dacă primești un e-mail cu un link către cel mai recent program al echipei. Iar linkul pe care îl primești nu va fi unul pe care vrei să dai click.

Ai grijă la ce postezi în social media data viitoare

De asemenea, acest lucru poate părea evident, dar ai fi șocat să știi de câte ori noii angajați postează imagini de aproape ale insignelor de securitate ale companiei, în special în prima zi sau în ultima zi la birou. Știind ce arată insigna unui angajat al companiei, poți să recreezi rapid una.

“Pot să copiez, să lipesc și să tipăresc unul identic cu propriul meu chip schimbat în doar câteva minute. Deși este posibil ca această insignă să nu funcționeze pentru acces, ai fi surprins cât de ușor îmi este să aranjez pur și simplu o insignă și un zâmbet încrezător pentru a trece printre ușile unei companii”, explică Snow.

Mai mult, când un angajat decide să-și filmele întreaga zi la o companie, hackerii au obținut jackpot-ul. De la cunoașterea aspectului clădirii și a zonelor protejate, la ecusoane până la afișe care dezvăluie planurile companiei, acest tip de video este aproape la fel de folositor la fel ca pătrunderea în companie în viața reală.

Nu numai asta, dar ecranele laptopurilor dezvăluie tipurile de instrumente și software de securitate utilizate, pe care le pot folosi pentru a adapta un atac prin crearea de programe malware personalizate deghizate ca o actualizare software falsă.

“În cultura actuală bazată pe recenzii, este foarte simplu. Indiferent dacă este vorba de Glassdoor, forumuri de locuri de muncă sau site-uri de socializare, învățarea problemelor care îi determină pe angajați să scrie mă poate ajuta să creez un e-mail de phishing care să răspundă plângerilor și dorințelor lor”, spune hackerul Snow.

„Ce este în această postare ce nu aș vrea să știe Snow?”

De exemplu, povestește ea, o companie pe care a testat-o ​​avea mulți angajați care se plângeau online de lipsa locurilor de parcare, așa că a elaborat un e-mail explicând o politică de parcare nou alocată și a avertizat că toți cei care parchează în afara locului atribuit vor fi tractați. Emoția de a avea în sfârșit un loc de parcare atribuit, plus frica de a fi remorcat, a dus la tone de clickuri pe fișierul atașat fals (rău intenționat) al hărții de parcare inclus în e-mail.

După ce ai luat la cunoștință câteva dintre aceste exemple, s-ar putea să te întrebi de ce un hacker ar dori să intre în biroul tău, în primul rând. Pe scurt, a fi în cei patru pereți ai unui birou îți oferă cheile regatului pentru a câștiga încredere și acces.

De la acreditări puse pe tablele albe, la parole Wi-Fi postate la vedere, a fi la fața locului sparge zidurile care îi separă pe hackeri de datele și secretele companiei. Postările de pe rețelele sociale pot chiar să dezvăluie suficient încât să nu aibă nevoie să viziteze compania, pentru a obține informații.

Deci, înainte de a da click ca să distribui următoarea postare legată de muncă, gândește-te „Ce este în această postare ce nu aș vrea să știe Snow?”.

Citește și: