Какого вида интернет-мошенничества не существует?
Anonymous Quiz
13%
Vishing
7%
Smishing
13%
Whaling
10%
Pharming
58%
Dudeism
❤7🤔3
Интернет-мошенничеством является хищение или приобретение права на чужое имущество путем вмешательства в функционирование информационно-телекоммуникационных сетей (ст. 159.6 Уголовного кодекса РФ).
Одной из форм данного преступления является фишинг - обман с целью получить данные пользователя или побудить его к действиям (например, переходу по ссылке).
Помимо общего термина «фишинг», относящегося в основном к электронной почте, выделяют также следующие виды:
· Vishing – это голосовой фишинг, например выманивание конфиденциальной информации во время телефонного разговора;
· Smishing – направление злоумышленником смс-сообщения, в котором находится ссылка на вредоносное ПО или на фишинговый сайт;
· Whaling – целевая фишинговая атака на высокопоставленных лиц в компании, например, генерального или финансового директора;
· Pharming – перенаправление пользователей Интернет-ресурса на поддельный IP-адрес посредством вредоносного ПО или атаки на DNS-серверы.
#ИБ
Одной из форм данного преступления является фишинг - обман с целью получить данные пользователя или побудить его к действиям (например, переходу по ссылке).
Помимо общего термина «фишинг», относящегося в основном к электронной почте, выделяют также следующие виды:
· Vishing – это голосовой фишинг, например выманивание конфиденциальной информации во время телефонного разговора;
· Smishing – направление злоумышленником смс-сообщения, в котором находится ссылка на вредоносное ПО или на фишинговый сайт;
· Whaling – целевая фишинговая атака на высокопоставленных лиц в компании, например, генерального или финансового директора;
· Pharming – перенаправление пользователей Интернет-ресурса на поддельный IP-адрес посредством вредоносного ПО или атаки на DNS-серверы.
#ИБ
👍16
В продолжение темы о видах фишинга, приводим описание других способов атак:
· Business Email Compromise – это форма фишинга, где злоумышленник получает доступ к учетной записи эл. почты руководителя компании.
Пример подобного фишинга – атака на Toyota в 2019 г., в результате которой компания потеряла 37 млн. долларов. Атаке подверглись работники финансово-бухгалтерского отдела компании.
· Evil Twin Phishing – тип фишинговой атаки, при которой злоумышленник создает копии легитимных сетей Wi-Fi. При подключении к ним происходит переход на фишинговый сайт.
Пример - атака на Министерство внутренних дел США в сентябре 2020 г. Целью атаки была проверка безопасности сетей Wi-Fi со стороны Управления генерального инспектора МВД США.
· Clone Phishing – форма фишинга, где злоумышленник создает вредоносные копии сообщений от легитимных отправителей. Пример – масштабная атака, совершенная в январе 2022 г. на Министерство труда США. Целью атаки стало хищение учетных данных сервиса Office 365.
#ИБ
#ПолезноЗнать
· Business Email Compromise – это форма фишинга, где злоумышленник получает доступ к учетной записи эл. почты руководителя компании.
Пример подобного фишинга – атака на Toyota в 2019 г., в результате которой компания потеряла 37 млн. долларов. Атаке подверглись работники финансово-бухгалтерского отдела компании.
· Evil Twin Phishing – тип фишинговой атаки, при которой злоумышленник создает копии легитимных сетей Wi-Fi. При подключении к ним происходит переход на фишинговый сайт.
Пример - атака на Министерство внутренних дел США в сентябре 2020 г. Целью атаки была проверка безопасности сетей Wi-Fi со стороны Управления генерального инспектора МВД США.
· Clone Phishing – форма фишинга, где злоумышленник создает вредоносные копии сообщений от легитимных отправителей. Пример – масштабная атака, совершенная в январе 2022 г. на Министерство труда США. Целью атаки стало хищение учетных данных сервиса Office 365.
#ИБ
#ПолезноЗнать
👍8❤3
Вопрос:
Можно ли использовать результаты пентеста для оценки соответствия по ОУД4?
Ответ:
Проведение оценки соответствия по ОУД4 предусмотрено Положениями Банка России (821-П, 757-П, 683-П) и включает в себя множество этапов, в том числе оценку документации, тестирование, оценку уязвимостей.
Пентест (тестирование на проникновение) – важный инструмент оценки соответствия. Пентест позволяет выявить уязвимости и оценить уровень защищенности исследуемой системы.
Важно понимать, что пентест – это лишь один из инструментов оценки безопасности. Для оценки соответствия по ОУД4 требуется комплексный подход, включающий в себя и анализ исходного кода с помощью специальных статических анализаторов.
Проводить оценку соответствия вправе только специализированные компании, которые самостоятельно выполняют оценку уязвимостей. Однако, с помощью предварительных пентестов вы сможете выявить уязвимости заранее, успеете их исправить и сможете успешно пройти оценку соответствия по ОУД4.
#KeptОтвечает
#Пентест
Можно ли использовать результаты пентеста для оценки соответствия по ОУД4?
Ответ:
Проведение оценки соответствия по ОУД4 предусмотрено Положениями Банка России (821-П, 757-П, 683-П) и включает в себя множество этапов, в том числе оценку документации, тестирование, оценку уязвимостей.
Пентест (тестирование на проникновение) – важный инструмент оценки соответствия. Пентест позволяет выявить уязвимости и оценить уровень защищенности исследуемой системы.
Важно понимать, что пентест – это лишь один из инструментов оценки безопасности. Для оценки соответствия по ОУД4 требуется комплексный подход, включающий в себя и анализ исходного кода с помощью специальных статических анализаторов.
Проводить оценку соответствия вправе только специализированные компании, которые самостоятельно выполняют оценку уязвимостей. Однако, с помощью предварительных пентестов вы сможете выявить уязвимости заранее, успеете их исправить и сможете успешно пройти оценку соответствия по ОУД4.
#KeptОтвечает
#Пентест
👍6🔥3
CISO & DPO news #18 (1-5 апреля 2024 года)
1/8 Google ужесточила требования, предъявляемые к отправителям массовых рассылок.
2/8 В Госдуме готовится законопроект по легализации «белых хакеров».
3/8 В Linux обнаружен встроенный бэкдор.
4/8 Утверждена примерная программа повышения квалификации в области защиты ПДн.
5/8 Предложены поправки в законопроект по усилению ответственности за утечки.
6/8 Минцифры предложило создать центр безопасности искусственного интеллекта.
7/8 Опубликованы изменения в акты Правительства РФ в части использования ЕБС.
8/8 Стало известно об утечке данных 73 млн пользователей оператора связи AT&T.
1/8 Google ужесточила требования, предъявляемые к отправителям массовых рассылок.
2/8 В Госдуме готовится законопроект по легализации «белых хакеров».
3/8 В Linux обнаружен встроенный бэкдор.
4/8 Утверждена примерная программа повышения квалификации в области защиты ПДн.
5/8 Предложены поправки в законопроект по усилению ответственности за утечки.
6/8 Минцифры предложило создать центр безопасности искусственного интеллекта.
7/8 Опубликованы изменения в акты Правительства РФ в части использования ЕБС.
8/8 Стало известно об утечке данных 73 млн пользователей оператора связи AT&T.
👍12
Какой из методов социальной инженерии предполагает поиск информации о жертве и разработку сценария атаки?
Anonymous Quiz
33%
Baiting
20%
Tailgating
42%
Pretexting
5%
Quid pro quo («услуга за услугу»)
🤔4
Социальная инженерия направлена на самое уязвимое звено в безопасности компании – человека. К популярным методам социальной инженерии относятся:
• Phishing, о котором мы рассказывали ранее;
• Pretexting – атака по заранее продуманному сценарию, который адаптируется под жертву на основе собранной информации;
• Quid pro quo – предложение совершить действие, якобы для решения проблемы жертвы;
• Baiting – побуждение к совершению жертвой действия из любопытства;
• Tailgating – проникновение в зону с ограниченным доступом следом за кем-либо.
Развитие и распространение ИТ-технологий привело к использованию комбинированных методов, включая перечисленные выше.
Для защиты от социальной инженерии необходимо непрерывно обучать сотрудников вопросам безопасной работы, а также информировать о способах кибератак и мерах противодействия.
#ИБ
• Phishing, о котором мы рассказывали ранее;
• Pretexting – атака по заранее продуманному сценарию, который адаптируется под жертву на основе собранной информации;
• Quid pro quo – предложение совершить действие, якобы для решения проблемы жертвы;
• Baiting – побуждение к совершению жертвой действия из любопытства;
• Tailgating – проникновение в зону с ограниченным доступом следом за кем-либо.
Развитие и распространение ИТ-технологий привело к использованию комбинированных методов, включая перечисленные выше.
Для защиты от социальной инженерии необходимо непрерывно обучать сотрудников вопросам безопасной работы, а также информировать о способах кибератак и мерах противодействия.
#ИБ
👍10
Согласно п. 9 ст. 3 152-ФЗ, обезличиванием являются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных (далее – ПДн) конкретному субъекту ПДн. Важно отметить, что такие данные могут быть деобезличены, то есть их можно вернуть к первоначальной форме, позволяющей идентифицировать субъекта ПДн.
Анонимизация, напротив, не позволяет связать информацию об одном и том же лице, хранящуюся в разных базах данных или информационных системах, т.к. удаление или изменение идентифицирующих атрибутов данных носит необратимый характер. Следовательно, повторно идентифицировать субъекта ПДн невозможно.
Таким образом, основным критерием разграничения обезличенных и анонимизированных данных является возможность последующей идентификации субъекта ПДн. Поэтому к анонимизированным данным не могут применяются положения 152-ФЗ, так как в их отношении невозможно провести процедуру деобезличивания.
#Privacy
#ПолезноЗнать
Анонимизация, напротив, не позволяет связать информацию об одном и том же лице, хранящуюся в разных базах данных или информационных системах, т.к. удаление или изменение идентифицирующих атрибутов данных носит необратимый характер. Следовательно, повторно идентифицировать субъекта ПДн невозможно.
Таким образом, основным критерием разграничения обезличенных и анонимизированных данных является возможность последующей идентификации субъекта ПДн. Поэтому к анонимизированным данным не могут применяются положения 152-ФЗ, так как в их отношении невозможно провести процедуру деобезличивания.
#Privacy
#ПолезноЗнать
👍13❤1
29 марта завершился наш интенсив по персональным данным. За 2 дня мы провели экспресс-погружение слушателей в сферу правового регулирования и обеспечения безопасности персональных данных в России.
Наш курс разбит на модули, которые учитывают основные функции и задачи ответственного за организацию обработки ПДн в компании. Практические задания курса основаны на решении прикладных задач, с которыми работает ответственный за организацию обработки ПДн в ходе своей повседневной деятельности. Также участники решают кейсы, непосредственно связанные с их компаниями или сферой их деятельности.
Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.
🟣Содержание тренинга и регистрация на новый поток доступны по ссылке. Следующий интенсив пройдет 3-4 июня в нашем московском офисе.
#Privacy
Наш курс разбит на модули, которые учитывают основные функции и задачи ответственного за организацию обработки ПДн в компании. Практические задания курса основаны на решении прикладных задач, с которыми работает ответственный за организацию обработки ПДн в ходе своей повседневной деятельности. Также участники решают кейсы, непосредственно связанные с их компаниями или сферой их деятельности.
Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.
🟣Содержание тренинга и регистрация на новый поток доступны по ссылке. Следующий интенсив пройдет 3-4 июня в нашем московском офисе.
#Privacy
🔥13❤1
Сводка опубликованных и вступивших в силу нормативно-правовых актов
(01.01.2024 - 10.04.2024)
Вступило в силу 1 января 2024 г.:
• Положение ЦБ РФ № 833-П о требованиях ИБ для участников платформы цифрового рубля
• ПП РФ № 1429 и № 1430 об изменениях в использовании ЕБС
Вступило в силу 12 января 2024 г.:
• Приказ Минцифры о формах подтверждения соответствия информационных и технических средств, предназначенных для обработки биометрических персональных данных
• Перечни типовых отраслевых объектов КИИ в области химической промышленности
Вступило в силу 24 января 2024 г.:
• Методические рекомендации Минтранса РФ по категорированию объектов КИИ в сфере транспорта
• ПП РФ № 4 об утверждении Правил установки, эксплуатации и модернизации в точках обмена трафиком технических средств противодействия угрозам сети Интернет на территории РФ
Вступило в силу 25 января 2024 г.:
• Перечни типовых отраслевых объектов КИИ в области горнодобывающей, металлургической и оборонной промышленности
Вступило в силу 1 февраля 2024 г.:
• ПП РФ № 58 об утверждении правил переоформления и прекращения допуска к государственной тайне
Вступило в силу 6 февраля 2024 г.:
• Перечень национальных стандартов, разработанных ТК 362 и принятых Росстандартом
Вступило в силу 1 марта 2024 г.:
• Методические рекомендации Банка России № 4-МР по усилению контроля за отдельными операциями клиентов - физических лиц
Вступило в силу 27 марта 2024 г.:
• Методические рекомендации ЦБ РФ № 7-МР по управлению риском ИБ и обеспечению операционной надежности
Вступило в силу 1 апреля 2024 г.:
• Положение ЦБ РФ № 821-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств
• Положение Банка России № 822-П о требованиях к защите информации, содержащейся в автоматизированной информационной системе страхования
Вступило в силу 6 апреля 2024 г.:
• Приказ Роскомнадзора № 25 об утверждении условий установки техсредств противодействия угрозам, а также требований к сетям связи при использовании таких средств
#ДеЮре
#Privacy
#ИБ
(01.01.2024 - 10.04.2024)
Вступило в силу 1 января 2024 г.:
• Положение ЦБ РФ № 833-П о требованиях ИБ для участников платформы цифрового рубля
• ПП РФ № 1429 и № 1430 об изменениях в использовании ЕБС
Вступило в силу 12 января 2024 г.:
• Приказ Минцифры о формах подтверждения соответствия информационных и технических средств, предназначенных для обработки биометрических персональных данных
• Перечни типовых отраслевых объектов КИИ в области химической промышленности
Вступило в силу 24 января 2024 г.:
• Методические рекомендации Минтранса РФ по категорированию объектов КИИ в сфере транспорта
• ПП РФ № 4 об утверждении Правил установки, эксплуатации и модернизации в точках обмена трафиком технических средств противодействия угрозам сети Интернет на территории РФ
Вступило в силу 25 января 2024 г.:
• Перечни типовых отраслевых объектов КИИ в области горнодобывающей, металлургической и оборонной промышленности
Вступило в силу 1 февраля 2024 г.:
• ПП РФ № 58 об утверждении правил переоформления и прекращения допуска к государственной тайне
Вступило в силу 6 февраля 2024 г.:
• Перечень национальных стандартов, разработанных ТК 362 и принятых Росстандартом
Вступило в силу 1 марта 2024 г.:
• Методические рекомендации Банка России № 4-МР по усилению контроля за отдельными операциями клиентов - физических лиц
Вступило в силу 27 марта 2024 г.:
• Методические рекомендации ЦБ РФ № 7-МР по управлению риском ИБ и обеспечению операционной надежности
Вступило в силу 1 апреля 2024 г.:
• Положение ЦБ РФ № 821-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств
• Положение Банка России № 822-П о требованиях к защите информации, содержащейся в автоматизированной информационной системе страхования
Вступило в силу 6 апреля 2024 г.:
• Приказ Роскомнадзора № 25 об утверждении условий установки техсредств противодействия угрозам, а также требований к сетям связи при использовании таких средств
#ДеЮре
#Privacy
#ИБ
👍9🔥1