Новости социальной инженерии: 21% паролей федеральных агентств США был взломан в ходе аудита
Внутреннее аудиторское агентство правительства США провело исследование и оказалось, что 21% госслужащих легко взломать, подобрав верный пароль.
Согласно требованиям, в пароле должно содержаться как минимум 12 символов, среди которых должны быть строчные и прописные буквы, цифры и т.п. Но, как оказалось, федеральные работники порой предпочитают использовать самые запоминающиеся пароли типа "Password1234", "Password1234!" и др.
В ходе аудита удалось подобрать пароль к 18 174 учетных записей из 85 944 возможных. Среди взломанных оказались и высокопоставленные лица.
Простые рекомендации для работников любой организации:
Придумывайте сложные пароли, состоящие из набора строчных и прописных букв, цифр и специальных символов;
На разных аккаунтах — используйте разные пароли;
Меняйте пароли хотя бы раз в квартал.
Прикоснуться к прекрасному
В США был арестован гражданин Италии Филиппо Бернардини, который на протяжении нескольких лет крал рукописи. Преступник уже признал себя виновным.
Бернардини, имитируя издателей, агентов и других лиц, связанных с индустрией, заполучил более тысячи предпубликационных рукописей. Мошенник проводил аферу через электронную почту. Как выяснилось, было зарегистрировано более 160 доменов, похожих на легитимные.
Оказалось, что преступник работал в издательской индустрии, а махинации начал проводить еще с 2016 года.
«Филиппо Бернардини использовал свои инсайдерские знания об издательской индустрии, чтобы создать схему, которая способна украсть драгоценные произведения у авторов» — Прокурор США Дамиан Уильямс.
Мошенников не всегда интересуют только деньги, порой им необходимо завладеть чужой интеллектуальной собственностью.
Социальные сети и "взлом" организаций
Реализуя фишинговые кампании, целью которых являются организации, мошенники не ограничиваются одной электронной почтой. Теперь все большую популярность обретают социальные сети.
Например, Teams и Slack, где сотрудники общаются, ставят задачи, делятся корпоративной информацией, — идеальный инструмент в руках злоумышленников. Представьте, какой хаос ждет организацию, если мошенник внедрится во внутреннюю переписку.
Но не стоит забывать и о LinkedIn — это платформа, которая нацелена на установление деловых контактов: здесь изначально подразумевается общение с незнакомцами. Мошенники могут не только прислать вредоносную ссылку в личные сообщения, но и собрать информацию о пользователе для дальнейшего целевого фишинга.
Те же разработчики программ-вымогателей порой собирают информацию о жертве, чтобы создать более персонализированную атаку. А если учесть, что злоумышленники начали прибегать к помощи искусственного интеллекта при разработке вредоносного ПО, то будущее может выглядеть плачевно. ИИ не только экономит время, но и позволяет сделать то, на что человек не способен: имитировать голос и внешность (дипфейк).
ИИ разрабатывает неплохие фишинговые письма, но логика сообщений начинает повторяться уже после 5 писем