TM_124

6 7|9|2022 #124 Τα τελευταία χρόνια υπάρχει μια αυξα- νόμενη τάση για τους εγκληματίες του κυβερνοχώρου να στοχεύουν τμήματα ανθρώπινου δυναμικού προκειμένου να εκμεταλλευτούν τα ευαίσθητα δεδομέ- να που χειρίζονται. Οι hacker μπορούν να κάνουν μεγάλη ζημιά και να κερδί- σουν πολλά χρήματα, μόλις αποκτήσουν πρόσβαση σε πληροφορίες Κοινωνικής Ασφάλισης, ημερομηνίες γέννησης, ιστο- ρικό εργασίας ή αριθμούς τραπεζικών λογαριασμών υπαλλήλων και εταιρείας. Τα τμήματα ανθρώπινου δυναμικού είναι ένας ελκυστικός στόχος δεδομένου του όγκου των δεδομένων που χειρίζονται, αλλά είναι επίσης καλά τοποθετημένοι ώστε να λειτουργούν ως εμπόδιο εισό- δου και να αποτρέπουν πιθανές επιθέσεις στον κυβερνοχώρο. Ποιοι είναι οι πιο συνηθισμένοι τρόποι επίθεσης στα τμήματα ανθρώπινου δυναμικού; Σύμφωνα με δεδομένα από την τελευ- ταία Data Breach Investigations Report της Verizon, το 85% των παραβιάσεων δεδομένων οφείλεται σε ανθρώπινο λά- θος, επομένως είναι εξαιρετικά σημα- ντικό αυτό το τμήμα να είναι έτοιμο να μετριάσει τους κινδύνους κυβερνοεπιθέ- σεων και να διασφαλίσει ότι τα δεδομένα προστατεύονται. Ποιες απειλές πρέπει να προσέχουν οι υπάλληλοι HR; Phising: Σύμφωνα με έρευνα που διεξή- χθη από τη Statista το 2021, η οποία συμ- μετείχε σε 3.500 οργανισμούς παγκοσμί- ως, το 3% των εργαζομένων που έλαβαν κακόβουλο email έκαναν κλικ στον σύν- δεσμο που παρέχεται, εκθέτοντας τον ορ- γανισμό σε εισβολείς. Αυτά τα ευρήματα δείχνουν ότι παρόλο που αυτή η τεχνική είναι μία από τις πιο ευρέως χρησιμοποι- ούμενες και πολλοί χρήστες γνωρίζουν ήδη τους κινδύνους, δεν πρέπει ποτέ να επαναπαυόμαστε. Απάτη μισθοδοσίας: Αυτή η νέα απάτη στοχεύει ειδικά τα τμήματα ανθρώπινου δυναμικού, καθώς οι hacker χρησιμοποι- ούν την κοινωνική μηχανική για να κάνουν την εταιρεία να εκτρέψει τη μισθοδοσία ενός υπαλλήλου σε έναν λογαριασμό που κατέχουν. Οι μεγάλοι οργανισμοί στοχοποι- ούνται συνήθως, καθώς η επικοινωνία με- ταξύ των τμημάτων είναι συχνά αδύναμη. Malware: Οι hacker στέλνουν ψεύτικες εφαρμογές εργασίας με συνημμένα, σχε- διασμένα να μοιάζουν με νόμιμα βιογρα- φικά, που περιέχουν κακόβουλο λογισμι- κό που μολύνει τη συσκευή κατά τη λήψη. Κλοπή ταυτότητας, το πρώτο βήμα για μια παραβίαση εταιρικής ασφάλειας Η Εταιρεία Διαχείρισης Ανθρώπινου Δυ- ναμικού (SHRM) αναφέρει ότι το ποσοστό κλοπής ταυτότητας που προέρχεται από την εργασία εκτιμάται ότι κυμαίνεται από 30% έως 50%. Η πλαστογράφηση ηλεκτρονικού ταχυ- δρομείου επιτρέπει στον hacker να υπο- δύεται τον αποστολέα χρησιμοποιώντας την ταυτότητα ενός υπαλλήλου της εται- ρείας για να επικοινωνήσει με το τμήμα ανθρώπινουδυναμικού. Αυτόδίνει τηδυ- νατότητα στον hacker να αποκτήσει ευ- αίσθητες πληροφορίες που μπορούν να χρησιμοποιηθούν για να εξαπολύσουν μια άλλη πιο ισχυρή επίθεση ή, όπως εξηγήσαμε προηγουμένως, για τη δι- εξαγωγή απάτης που σχετίζεται με τη μισθοδοσία. Πώς το κάνουν αυτό οι χάκερ; • Με την παραβίαση του εταιρικού λογα- ριασμού email ενός υπαλλήλου. • Χρησιμοποιώντας μια τεχνική cybersquatting, όπου μιμούνται τον νόμιμο τομέα του αποστολέα κάνοντας μια μικρή αλλαγή που είναι πολύ δύ- σκολο να παρατηρηθεί. Για παράδειγμα, αλλαγή ενός γράμματος στη διεύθυνση email που είναι απίθανο να εντοπίσει ο παραλήπτης. Ποια μέτρα πρέπει να ληφθούν για να αποτραπεί αυτό το είδος περιστατικού; • Το τμήμα ανθρώπινου δυναμικού πρέ- πει να είναι πολύ προσεκτικό κατά τις διαδικασίες πρόσληψης, καθώς και κατά την παραλαβή εγγράφων από παρόχους. Είναι σημαντικό να βεβαιωθείτε ότι ο αποστολέας και το έγγραφο είναι νόμιμα πριν ανοίξετε τυχόν συνημμένα. • Κατά τη διάρκεια των απομακρυσμέ- νων συνεντεύξεων, παρατηρήστε εάν οι ενέργειες και οι κινήσεις των χειλιών του ατόμου που ερωτάται στην κάμερα δεν συντονίζονται πλήρως με τον ήχο του ατόμου που μιλάει, καθώς αυτό είναι σα- φές σημάδι Deepfake. • Χρησιμοποιήστε προηγμένες λύσεις διαχείρισης ταυτότητας που αποτρέ- πουν τη μη εξουσιοδοτημένη πρόσβα- ση σε συστήματα και πόρους, καθώς και την κλοπή εταιρικών ή προστατευ- μένων δεδομένων. • Βεβαιωθείτε ότι οι πολιτικές και οι διαδι- κασίες της εταιρείας είναι ενημερωμένες, συμπεριλαμβανομένων των διαδικασιών για απομακρυσμένη εργασία. Όλοι οι ερ- γαζόμενοι πρέπει να γνωρίζουν τους ρό- λους και τις ευθύνες τους. • Ελέγξτε και ανακαλέστε την πρόσβα- ση των εργαζομένων για να διασφα- λίσετε ότι οι εργαζόμενοι έχουν πρό- σβαση μόνο σε ό,τι χρειάζονται για να κάνουν τη δουλειά τους. Αυτό καθιστά πιο δύσκολο για τους hacker να περι- φέρονται ελεύθεροι στα συστήματα ενός οργανισμού. Data Ally: Γιατί το HR είναι το κλειδί για την ασφάλεια στον κυβερνοχώρο