bảo vệ sự riêng tư của bạn 3 8 Dấu chân kỹ thuật số của bạn có thể cung cấp cho tin tặc manh mối về bạn mà họ có thể sử dụng để lừa bạn. Ivan / Flickr, CC BY-SA

Khi bạn sử dụng Internet, bạn để lại dấu vết dữ liệu, một tập hợp các dấu chân kỹ thuật số. Chúng bao gồm các hoạt động trên mạng xã hội, hành vi duyệt web, thông tin sức khỏe, cách đi lại, bản đồ vị trí, thông tin về việc sử dụng thiết bị di động, ảnh, âm thanh và video của bạn. Dữ liệu này được thu thập, đối chiếu, lưu trữ và phân tích bởi các tổ chức khác nhau, từ các công ty truyền thông xã hội lớn đến các nhà sản xuất ứng dụng cho đến các nhà môi giới dữ liệu. Như bạn có thể tưởng tượng, dấu chân kỹ thuật số của bạn khiến quyền riêng tư của bạn gặp rủi ro, nhưng chúng cũng ảnh hưởng đến an ninh mạng.

Là một nhà nghiên cứu an ninh mạng, Tôi theo dõi mối đe dọa gây ra bởi dấu chân kỹ thuật số đối với an ninh mạng. Tin tặc có thể sử dụng thông tin cá nhân thu thập trực tuyến để đưa ra câu trả lời cho các câu hỏi thách thức bảo mật như "bạn đã gặp vợ / chồng của mình ở thành phố nào?" hoặc để xử lý các cuộc tấn công lừa đảo bằng cách đóng giả như một đồng nghiệp hoặc cộng sự làm việc. Khi các cuộc tấn công lừa đảo thành công, chúng cung cấp cho những kẻ tấn công quyền truy cập vào các mạng và hệ thống mà nạn nhân được phép sử dụng.

Theo dấu chân để có mồi ngon hơn

Các cuộc tấn công lừa đảo có tăng gấp đôi từ đầu năm 2020. Sự thành công của các cuộc tấn công lừa đảo phụ thuộc vào mức độ xác thực của nội dung thư xuất hiện với người nhận. Tất cả các cuộc tấn công lừa đảo đều yêu cầu thông tin nhất định về những người được nhắm mục tiêu và thông tin này có thể được lấy từ dấu chân kỹ thuật số của họ.

Tin tặc có thể sử dụng miễn phí có sẵn nguồn mở trí tuệ thu thập các công cụ để khám phá dấu chân kỹ thuật số của các mục tiêu của họ. Kẻ tấn công có thể khai thác dấu chân kỹ thuật số của mục tiêu, có thể bao gồm âm thanh và video, để trích xuất thông tin như địa chỉ liên hệ, mối quan hệ, nghề nghiệp, nghề nghiệp, thích, không thích, sở thích, sở thích, du lịch và các địa điểm thường lui tới.


đồ họa đăng ký nội tâm


 Các hoạt động trực tuyến của bạn có thể thoáng qua, nhưng chúng để lại dấu vết.

Sau đó, họ có thể sử dụng thông tin này để tạo tin nhắn lừa đảo trông giống như các tin nhắn hợp pháp đến từ một nguồn đáng tin cậy. Kẻ tấn công có thể gửi những tin nhắn được cá nhân hóa này, email lừa đảo giáo, với nạn nhân hoặc viết là nạn nhân và nhắm mục tiêu vào đồng nghiệp, bạn bè và gia đình của nạn nhân. Các cuộc tấn công lừa đảo bằng Spear có thể đánh lừa ngay cả những người được đào tạo để nhận ra các cuộc tấn công lừa đảo.

Một trong những hình thức tấn công lừa đảo thành công nhất là thỏa hiệp email kinh doanh các cuộc tấn công. Trong các cuộc tấn công này, những kẻ tấn công đóng giả là những người có mối quan hệ kinh doanh hợp pháp - đồng nghiệp, nhà cung cấp và khách hàng - để thực hiện các giao dịch tài chính gian lận.

Một ví dụ điển hình là cuộc tấn công nhắm vào công ty Ubiquity Networks Inc. vào năm 2015. Kẻ tấn công đã gửi các email, có vẻ như chúng được gửi từ các giám đốc điều hành hàng đầu đến nhân viên. Email yêu cầu các nhân viên thực hiện chuyển khoản ngân hàng, dẫn đến việc chuyển tiền gian lận là 46.7 triệu đô la.

Quyền truy cập vào máy tính của nạn nhân của một cuộc tấn công lừa đảo có thể cho phép kẻ tấn công truy cập vào các mạng và hệ thống của chủ nhân và khách hàng của nạn nhân. Ví dụ: một trong những nhân viên tại nhà cung cấp HVAC của nhà bán lẻ Target trở thành nạn nhân của cuộc tấn công lừa đảo. Những kẻ tấn công đã sử dụng máy trạm của anh ta để truy cập vào mạng nội bộ của Target, sau đó vào mạng thanh toán của chúng. Những kẻ tấn công đã tận dụng cơ hội để lây nhiễm hệ thống điểm bán hàng được Target sử dụng và đánh cắp dữ liệu trên 70 triệu thẻ tín dụng.

Một vấn đề lớn và phải làm gì với nó

Công ty bảo mật máy tính Trend Micro nhận thấy rằng 91% các cuộc tấn công trong đó những kẻ tấn công có được quyền truy cập không bị phát hiện vào mạng và sử dụng quyền truy cập đó theo thời gian bắt đầu với các tin nhắn lừa đảo. Báo cáo điều tra vi phạm dữ liệu của Verizon nhận thấy rằng 25% tất cả các sự cố vi phạm dữ liệu liên quan đến lừa đảo.

Với vai trò quan trọng của lừa đảo trong các cuộc tấn công mạng, tôi tin rằng điều quan trọng đối với các tổ chức là phải giáo dục nhân viên và thành viên của họ về việc quản lý dấu chân kỹ thuật số của họ. Khóa đào tạo này sẽ bao gồm cách tìm mức độ dấu chân kỹ thuật số của bạnLàm thế nào để duyệt một cách an toàn Và làm thế nào để sử dụng phương tiện truyền thông xã hội một cách có trách nhiệm.

Giới thiệu về Tác giả

Ravi Sen, Phó Giáo sư Quản lý Hoạt động và Thông tin, Đại học Texas A & M

Bài viết này được tái bản từ Conversation theo giấy phép Creative Commons. Đọc ban đầu bài viết.