Новости социальной инженерии: 21% паролей федеральных агентств США был взломан в ходе аудита

Внутреннее аудиторское агентство правительства США провело исследование и оказалось, что 21% госслужащих легко взломать, подобрав верный пароль.

Согласно требованиям, в пароле должно содержаться как минимум 12 символов, среди которых должны быть строчные и прописные буквы, цифры и т.п. Но, как оказалось, федеральные работники порой предпочитают использовать самые запоминающиеся пароли типа "Password1234", "Password1234!" и др.

В ходе аудита удалось подобрать пароль к 18 174 учетных записей из 85 944 возможных. Среди взломанных оказались и высокопоставленные лица.

Простые рекомендации для работников любой организации:

Придумывайте сложные пароли, состоящие из набора строчных и прописных букв, цифр и специальных символов;

На разных аккаунтах — используйте разные пароли;

Меняйте пароли хотя бы раз в квартал.

В США был арестован гражданин Италии Филиппо Бернардини, который на протяжении нескольких лет крал рукописи. Преступник уже признал себя виновным.

Бернардини, имитируя издателей, агентов и других лиц, связанных с индустрией, заполучил более тысячи предпубликационных рукописей. Мошенник проводил аферу через электронную почту. Как выяснилось, было зарегистрировано более 160 доменов, похожих на легитимные.

Оказалось, что преступник работал в издательской индустрии, а махинации начал проводить еще с 2016 года.

«Филиппо Бернардини использовал свои инсайдерские знания об издательской индустрии, чтобы создать схему, которая способна украсть драгоценные произведения у авторов» — Прокурор США Дамиан Уильямс.

Мошенников не всегда интересуют только деньги, порой им необходимо завладеть чужой интеллектуальной собственностью.

Реализуя фишинговые кампании, целью которых являются организации, мошенники не ограничиваются одной электронной почтой. Теперь все большую популярность обретают социальные сети.

Например, Teams и Slack, где сотрудники общаются, ставят задачи, делятся корпоративной информацией, — идеальный инструмент в руках злоумышленников. Представьте, какой хаос ждет организацию, если мошенник внедрится во внутреннюю переписку.

Но не стоит забывать и о LinkedIn — это платформа, которая нацелена на установление деловых контактов: здесь изначально подразумевается общение с незнакомцами. Мошенники могут не только прислать вредоносную ссылку в личные сообщения, но и собрать информацию о пользователе для дальнейшего целевого фишинга.

Те же разработчики программ-вымогателей порой собирают информацию о жертве, чтобы создать более персонализированную атаку. А если учесть, что злоумышленники начали прибегать к помощи искусственного интеллекта при разработке вредоносного ПО, то будущее может выглядеть плачевно. ИИ не только экономит время, но и позволяет сделать то, на что человек не способен: имитировать голос и внешность (дипфейк).

Подробнее на coresecurity.com