Kaj so lažne zahteve za podatke v sili?

Hekerji vedno iščejo nove načine za krajo zaupnih informacij. Včasih želijo ukrasti določene podatke. Toda tudi osebni podatki naključnih ljudi so potencialno dragoceni za nadaljnjo prodajo na temnem spletu.

Zaradi tega imajo skoraj vsa podjetja nekaj, kar bi hekerji radi dobili v roke. Ne glede na to, ali gre za nadaljnjo prodajo, nadlegovanje ali preprosto zabavo, so vsa podjetja zdaj potencialne tarče kraje podatkov.

V ta namen se pogosto uporabljajo lažne zahteve za podatke v sili. Torej, kaj so zahteve za podatke v sili in kako jih hekerji uporabljajo?

Kaj so zahteve za podatke v sili?

Zahteva za podatke v sili je tisto, kar vlada uporabi, ko želi pridobiti informacije od zasebnega podjetja. Te zahteve so zakonita pravna obvestila, ki jih pošiljajo policijske uprave po vsej državi.

Večina podjetij jih je prejela in so zakonsko dolžna nanje odgovoriti. Medtem ko zakoni o zasebnosti preprečujejo, da bi se osebni podatki razkrili v drugih okoliščinah, podjetja nimajo izbire, če jim je vročen nalog, zaradi česar je to privlačna tehnika za hekerje.

Kako hekerji uporabljajo lažne "zahteve za podatke v sili"?

Težava pri zahtevah za podatke v sili je, da jih ni nujno težko ponarediti. Večina podjetij tudi nima zaposlenih pravnih strokovnjakov.

Prejemnik bo preprosto pogledal, od kod prihaja zahteva. Če se zdi, da je s policijske uprave, bodo pogosto posredovali zahtevane podatke.

Zaradi tega hekerji zdaj pošiljajo lažne zahteve za podatke v sili vsem podjetjem, ki jim želijo ukrasti informacije.

E-poštne naslove je mogoče ponarediti, vendar je ta metoda tako učinkovita, da gre veliko hekerjev dlje. Vdirajo v policijske uprave in nato uporabljajo policijske strežnike za pošiljanje podatkovnih zahtev. Te zahteve so videti legitimne, ker so legitimne.

Težava se stopnjuje, ker mreže policijskih oddelkov niso vedno tako varne, kot bi si ljudje želeli. Hekerji lahko pošljejo zahteve za podatke iz katere koli policijske uprave, vključno z majhnimi oddelki z omejenimi viri IT.

Zakaj so lažne zahteve za podatke v sili tako učinkovite?

Lažne zahteve za podatke v sili so zelo učinkovite. Prav tako je enostavno razumeti, zakaj bi podjetje spoštovalo enega. Neupoštevanje veljavne zahteve ima resne pravne posledice. Večina podjetij se tudi ne zaveda prevare, zato nimajo razloga za sum, da se pogovarjajo s kom, razen s policijo.

Kot mnoge prevare, lažne zahteve za podatke v sili se zanašajo tudi na to, da žrtev čuti občutek nujnosti. Zahteve pogosto vključujejo opombo, ki navaja, da je oseba, ki jo preiskujejo, resna grožnja in lahko škodi drugim. To žrtev spodbuja, da ugodi zahtevi, tudi če sumi na njen izvor.

Kakšne so posledice teh prevar?

Ponavadi podjetja, ki so nasedla na te prevare, niso preganjana, saj zaupnih informacij niso objavila prostovoljno in so namesto tega ubogala tisto, za kar so menili, da je zakonita zahteva.

Vendar so glavne žrtve te prevare lastniki objavljenih osebnih podatkov. Odvisno od vrste objavljenih podatkov lahko utrpijo krajo identitete, spletno nadlegovanje in morebitno ugrabitev računa.

Ugled podjetja lahko trpi tudi, če se uspešen napad objavi. Osebi, čigar podatki so bili ukradeni, verjetno ni vseeno, kako se je to zgodilo.

Kaj počne vlada, da prepreči lažne EDR?

Ta vrsta napada postaja tako pogosta, da vlada poskuša sprejeti zakon, ki bi zahteval, da se vse zahteve za podatke v sili biti digitalno podpisan. Prevara je možna, ker je ta obvestila enostavno ponoviti. To bi lahko olajšalo preverjanje kakršne koli zahteve.

Poleg tega, da še ni uveljavljen, je težava tega pristopa v tem, da bi se morala podjetja še vedno zavedati novega zakona. Digitalni podpisi niso koristni, če jih nihče ne išče.

Druga možna rešitev je zahtevati, da vse zahteve za podatke v sili pošlje en sam upravni organ. Če bi vse ostalo v enem oddelku, bi bilo veliko lažje uveljaviti močne varnostne standarde in preprečiti nepooblaščen dostop.

Težava tega pristopa je v tem, da bi povzročil znatno zamudo, kadarkoli bi policist želel poslati takšno zahtevo z zakonitim namenom. Glede na pomen teh obvestil in dejstvo, da je nujnost pogosto resnično prisotna, tudi to morda ni sprejemljiva rešitev.

Kako se zaščititi pred lažnimi zahtevami za podatke v sili

Namesto da bi se zanašala na zakonodajo, ki še ni bila sprejeta, bi se morala podjetja potruditi, da se zaščitijo. Lahko ostanejo varni z upoštevanjem teh dveh preventivnih ukrepov:

Pozorno preberite vse zahteve

Ponarejene zahteve za podatke v sili se zelo razlikujejo po kakovosti. Če prejmete EDR, vedno poiščite napake. E-poštni naslov je očitno mesto. Preverite, ali so v črkovanju manjše spremembe, ki bi kazale na lažno e-pošto.

Če ste v preteklosti prejeli resnične zahteve za podatke v sili, jih primerjajte. Poiščite nenavadne fraze, ki lahko kažejo, da je e-poštno sporočilo napisal nekdo, ki ni materni govorec. Preverite tudi napake pri oblikovanju ali logotip slabe kakovosti, ki je lahko posledica Photoshopa.

Vsakdo, ki pošilja EDR, mora navesti svoje ime in kraj dela. Obrnite se neposredno na njihov oddelek in se prepričajte, da je nekdo tam dejansko vložil zahtevo. To nemudoma ustavi prevaro.

Težava je v tem, da veliko podjetij samodejno domneva, da je zahteva veljavna, in ne vidijo razloga za to. Pomembno je omeniti, da se napadalci zavedajo te možnosti in bodo vključili svoje kontaktne podatke. Zato morate iskati na spletu in sami poiskati kontaktne podatke.

Podjetja bi morala to grožnjo jemati resno

Številne spletne prevare ne pritegnejo pozornosti vlade. Dejstvo, da vladni uradniki zdaj razpravljajo o ponarejenih EDR, je močan pokazatelj njihove sposobnosti povzročanja škode.

Vsako podjetje, ki ima v posesti zasebne podatke, kar je zdaj skoraj vsa podjetja, bi se moralo zato zavedati težave in ustrezno ukrepati, ko prejme EDR. To zahteva potrpljenje in se morda zdi nepotrebno, vendar je to edini način, da se izognete tej prevari.

Vse, kar morate vedeti o operaciji Aurora

Preberite Naprej

O avtorju