اكتشف المستخدمون الخبثاء أن تكييف بعض الأساليب المتقدمة التي تستخدمها مجموعات التهديد المستمر (APTs) مع تقنياتهم يعمل بشكل جيد للغاية. هناك تهديد آخر يجب الانتباه إليه ، وفقًا لباحثي كاسبرسكي ، وهو التلاعب بالشركات ، وهي عملية لجمع معلومات سرية تهدف إلى إلحاق الضرر بالمنظمة وموظفيها وتحقيق الأرباح. إن انتشار المعلومات المتاحة للجمهور وتسريبات البيانات والتكنولوجيا يجعل من السهل أكثر من أي وقت مضى تسريب الأموال وكذلك المعلومات السرية من الموظفين.
تبرز إحدى الطرق الأكثر شيوعًا المستخدمة في هجمات doxing على أنها هجمات اختراق البريد الإلكتروني للأعمال (BEC). يتم تعريف هجمات BEC على أنها هجمات مستهدفة يبدأ فيها المجرمون سلاسل البريد الإلكتروني بين الموظفين كما لو كانوا من الشركة. اكتشف Kaspersky 2021 من هذه الهجمات في فبراير 1.646 وحذر الجمهور من هجمات التشهير التي تجعل معلومات المنظمات علنية. بشكل عام ، الغرض من هذه الهجمات هو سرقة المعلومات السرية أو سرقة الأموال من العملاء.
يحلل باحثو Kaspersky بانتظام الحالات التي يستخدم فيها المجرمون رسائل بريد إلكتروني تشبه إلى حد بعيد رسائل البريد الإلكتروني الحقيقية لجمع الأموال وانتحال شخصية موظفي المنظمات المستهدفة. ومع ذلك ، فإن هجمات BEC هي مجرد نوع واحد من الهجمات التي تستخدم المعلومات العامة لإلحاق الضرر بالمنظمة. بالإضافة إلى الأساليب المفتوحة نسبيًا مثل التصيد الاحتيالي أو تجميع الملفات الشخصية ، فإن الأساليب الأكثر إبداعًا والموجهة نحو التكنولوجيا شائعة. قبل مثل هذه الهجمات ، يقوم المجرمون بجمع وتحليل المعلومات العامة التي يمكنهم العثور عليها على وسائل التواصل الاجتماعي وأماكن أخرى ، مثل أسماء الموظفين والمواقع والمواقع وأوقات الإجازات والاتصالات.
تعد سرقة الهوية واحدة من أكثر هجمات التشهير بالشركات شيوعًا. بشكل عام ، يستخدم المهاجمون معلوماتهم لتوصيف موظفين معينين واستخدام هوياتهم. تسهل التقنيات الجديدة مثل deepfake تنفيذ مثل هذه المبادرات في وجود المعلومات المتاحة للجمهور. على سبيل المثال ، يمكن لمقطع فيديو واقعي عن طريق التزييف العميق في الصورة يُعتقد أنه موظف في المؤسسة أن يضر بشدة بسمعة الشركة. لهذا فإن صورة واضحة للموظف المستهدف وبعض المعلومات الشخصية التي يمكن العثور عليها على وسائل التواصل الاجتماعي تكفي للمهاجمين.
أيضا ، يمكن أن يتم إساءة استخدام الأصوات. من المحتمل أن يضع أحد كبار التنفيذيين الذي يقدم على الراديو أو في البودكاست الأساس لتسجيل صوته ومن ثم تقليده. بهذه الطريقة ، تصبح السيناريوهات مثل طلب تحويل مصرفي عاجل مع مكالمة للموظفين أو إرسال قاعدة بيانات العملاء إلى العنوان المطلوب.
يقول رومان ديدينوك ، الباحث الأمني في كاسبرسكي: "تشويه سمعة المؤسسات مسألة لا ينبغي تجاهلها ، وتشكل تهديدًا حقيقيًا للمعلومات السرية للمنظمة". يمكن منع تهديد Doxing وتقليل المخاطر من خلال إجراءات أمنية قوية داخل المنظمة. إذا لم يتم اتخاذ الاحتياطات اللازمة ، فقد تتسبب مثل هذه الهجمات في أضرار مالية خطيرة وفقدان السمعة. وكلما زادت حساسية المعلومات السرية التي تم الحصول عليها ، زاد الضرر ".
يمكنك معرفة المزيد حول الأساليب التي تستخدمها هجمات doxing لاستهداف المنظمات في Securelist.
لتجنب مخاطر التشهير أو تقليلها ، توصي Kaspersky بما يلي: وضع قواعد صارمة والتأكد من التزام موظفيك الصارم بهذه القواعد حتى لا تناقش أبدًا مسائل العمل خارج ممارسات المراسلة الرسمية للشركة.
ساعد الموظفين على أن يصبحوا أكثر دراية بأساليب الهجوم وأن يصبحوا على دراية بقضايا الأمن السيبراني. هذه هي الطريقة الوحيدة لمواجهة تقنيات الهندسة الاجتماعية التي يستخدمها مجرمو الإنترنت بقوة. للقيام بذلك ، يمكنك استخدام منصة تدريب عبر الإنترنت مثل Kaspersky Automated Security Awareness Platform.
توعية الموظفين بشأن التهديدات الإلكترونية الأساسية. يمكن للعامل المتمرس في قضايا الأمن السيبراني منع الهجوم. على سبيل المثال ، عندما يتلقى بريدًا إلكترونيًا يطلب معلومات من زميله ، سيعرف أنه سيتصل بزملائه أولاً للتحقق من أنهم أرسلوا الرسالة بالفعل.
كن أول من يعلق