Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Ako to funguje:
1. Phishing E -mail: Používateľ dostane e -mail zamaskovaný, aby vyzeral legitímne. Môže to napodobňovať známeho odosielateľa (ako je kolegu, banka, doručovacia služba) alebo použiť všeobecný, ale lákavý predmet.
2. škodlivé pripojenie: Príloha je užitočné zaťaženie. Mohlo by to byť:
* spustiteľný súbor (.exe, .com, .bat, .vbs, .ps1): Tieto súbory môžu priamo vykonať kód na počítači používateľa. Toto je najpriamejšia a najnebezpečnejšia metóda.
* kancelársky dokument (napr. Doc, .xls, .ppt) s makrami: Tieto dokumenty obsahujú zabudované makra (malé programy). Ak sú povolené makrá (čo je často predvolené nastavenie na starších systémoch alebo systémoch so zlými konfiguráciami zabezpečenia), otvorenie dokumentu spustí makro vykonanie. Makro kód môže byť navrhnutý tak, aby odstránil súbory, sťahoval a nainštaloval škodlivý softvér atď.
* archív (.zip, .rar): Archív môže obsahovať jeden z vyššie uvedených typov súborov v nádeji, že používateľ extrahuje a vykoná škodlivý obsah.
* pdf (.pdf): Aj keď je vo všeobecnosti bezpečnejšie, PDF môžu byť niekedy vytvorené tak, aby využívali zraniteľné miesta v divákoch PDF a vykonali kód.
3. Akcia používateľa (kritická chyba): Používateľ, ktorý podviedol e -mail s phishingom, otvára prílohu. Toto je kritický krok, ktorý umožňuje spustenie škodlivého kódu.
4. Vykonanie kódu: Po otvorení prílohy sa vykoná škodlivý kód. V tomto konkrétnom scenári je kód navrhnutý tak, aby:
* Identifikujte systémy: Kód zacieľuje na kritické súbory požadované na správne fungovanie operačného systému. Tieto súbory sa zvyčajne nachádzajú v konkrétnych adresároch ako `C:\ Windows \ System32 \` alebo podobné.
* Odstrániť systémové súbory: Kód používa príkazy operačného systému na odstránenie týchto súborov.
Dôsledky:
* nestabilita systému: Vymazanie systémových súborov takmer určite povedie k nestabilite systému. Závažnosť závisí od toho, ktoré súbory sú odstránené.
* Zlyhanie zavádzania: Ak sa odstránia základné bootovacie súbory, počítač nemusí byť schopný spustiť. Počas spustenia pravdepodobne uvidíte chybové hlásenie.
* Korupcia operačného systému: Operačný systém sa môže stať nepoužiteľným a vyžaduje si preinštalovanie.
* Strata údajov: Zatiaľ čo primárnou akciou je odstránenie * systémových * súborov, útočník by mohol potenciálne pridať kód na zacielenie používateľských údajov (dokumenty, fotografie atď.).
* infekcia škodlivého softvéru: Útok nemusí * iba * odstrániť súbory. Môže tiež nainštalovať ďalší škodlivý softvér, napríklad:
* keyloggers: Záznamové klávesy.
* ransomware: Šifrujte údaje a dopyt po dešifrovaní.
* backdoors: Poskytnite útočníkovi pretrvávajúci prístup k systému.
* bočný pohyb: Ak má infikovaný užívateľ prístup k sieti, útočník by mohol použiť ohrozený systém na šírenie útoku do iných počítačov v sieti.
* Finančná strata: Vzhľadom na prestoje, náklady na obnovenie údajov, potenciálne platby výkupného a poškodenie reputácie.
* Právne a regulačné problémy: Ak sú zapojené citlivé údaje (napr. Osobné informácie, lekárske záznamy), organizácia by mohla čeliť právnym a regulačným sankciám v dôsledku porušenia údajov.
Prevencia a zmiernenie:
* vzdelávanie používateľov a povedomie: Toto je najdôležitejšia obrana. Vycvičte používateľov na:
* Rozpoznajte phishingové e -maily: Vyhľadajte podozrivé adresy odosielateľa, zlú gramatiku, naliehavé požiadavky a neočakávané prílohy.
* Nikdy neotvorte prílohy od neznámych alebo nedôveryhodných odosielateľov.
* Overte legitimitu e -mailov a príloh pred konaním. Ak chcete potvrdiť, kontaktujte údajného odosielateľa prostredníctvom samostatného kanála (napr. Telefónny hovor).
* Dajte si pozor na e -maily, ktoré ich žiadajú, aby povolili makrá.
* E -mailové bezpečnostné riešenia:
* Filtrovanie spamu: Filtruje nechcené e -maily vrátane mnohých pokusov o phishing.
* SKENIVIDING/ANTIMALWARE: Skenovanie e -mailov a príloh pre škodlivý obsah.
* analýza pieskoviska: Odbočuje prílohy v bezpečnom, izolovanom prostredí, aby analyzovali svoje správanie skôr, ako sa dostanú k používateľovi.
* filtrovanie URL: Bloky prístup k známym škodlivým webovým stránkam prepojeným v e -mailoch.
* Zabezpečenie koncového bodu:
* Antivírusový/antimalware softvér: Neustále monitoruje a blokuje škodlivý softvér.
* detekcia a odpoveď koncového bodu (EDR): Poskytuje pokročilé schopnosti detekcie hrozieb a reakcie vrátane analýzy správania a detekcie anomálie.
* systémy prevencie vniknutia založené na hostiteľovi (HIPS): Monitoruje správanie systému a blokuje podozrivú aktivitu.
* Aplikácia Whitelisting: Umožňuje iba spustenie schválených aplikácií, čím sa zabráni neoprávnenému vykonávaniu kódu.
* Aktualizácie operačného systému a softvéru: Pravidelne aktualizujte operačný systém, webové prehliadače a iný softvér na opravu zabezpečenia zabezpečenia.
* predvolene deaktivujte makry: Konfigurujte aplikácie Office na predvolene deaktiváciu makier a vyžadujte ich povolenie na ich povolenie. Zvážte použitie digitálne podpísaných makier na dôveryhodné pracovné toky.
* Princíp najmenších privilégií: Poskytnite používateľom iba minimálnu úroveň prístupu, ktorý potrebujú na vykonávanie svojich úloh. To obmedzuje škodu, ktorú môže útočník urobiť, ak je účet používateľa ohrozený.
* zálohovanie a zotavenie: Pravidelne zálohujte kritické údaje a obrazové obrázky. Otestujte proces obnovy, aby ste sa uistili, že funguje správne. Udržujte zálohy offline alebo izolované zo siete, aby ste im zabránili v šifrovaní spoločnosťou Ransomware.
* Segmentácia siete: Rozdeľte sieť na menšie izolované segmenty, aby ste obmedzili šírenie útoku.
* Plán odpovede na incidenty: Vyvíjajte a pravidelne otestujte plán reakcie na incidenty na načrtnutie krokov, ktoré treba podniknúť v prípade porušenia bezpečnosti.
Ak sa to stane:
1. Odpojte infikovaný počítač od siete okamžite Aby sa zabránilo ďalšiemu šíreniu.
2. Zistiť a odstrániť akýkoľvek zostávajúci škodlivý softvér.
3. Obnovte systém z nedávnej zálohy. Ak záloha nie je k dispozícii, možno budete musieť preinštalovať operačný systém.
4. Zmeňte heslá pre všetky účty, ktoré sa používali na infikovanom počítači.
5. Vyšetrte incident určiť zdroj útoku a identifikovať akékoľvek iné postihnuté systémy.
6. implementujte nápravné akcie zabrániť tomu, aby sa podobné incidenty odohrali v budúcnosti.
7. Nahláste incident príslušným orgánom, ako sú orgány činné v trestnom konaní alebo agentúry na ochranu údajov, ak to vyžadujú zákon.
Je to vážny bezpečnostný incident, ktorý je potrebné zaobchádzať s naliehavosťou a starostlivosťou. Správne plánovanie a príprava môžu výrazne znížiť riziko takéhoto útoku.