Содержание статьи Лженаука против кибербезопасников Грабитель банков и предприятий предлагает стратегии их защиты Подробно о компрометации корпоративной электронной почты Ихтиология: фишинг как наука Часто самый простой способ проникновения в целевую систему — это не уязвимости в софте, а халатность сотрудников. Воспользоваться ей помогает социальная инженерия, узнать о последних веяниях в которой ты можешь из работ исследователей. Чтобы помочь тебе быть в курсе, мы собрали подборку из девяти наиболее занимательных докладов за последнее время. Как мотивировать персонал на внимательность к кибербезопасности Masha Sedova. Surfing the Motivation Wave to Create Security Behavior Change // Enigma. 2018 На протяжении десятилетий корпоративные тренинги по инфобезопасности, направленные на повышение осведомленности, были призваны решить одну-единственную задачу: развить у персонала компетенции, необходимые для поддержания корпоративной кибербезопасности. Предполагалось, что сотрудники не знают, как правильно вести себя, и что при достаточном количестве тренингов они станут вести себя более безопасно. Однако, как показала практика, чтобы обеспечить кибербезопасность, нужно в первую очередь решить другую, более насущную задачу: мотивировать сотрудников относиться к кибербезопасности внимательнее! Тому, как это сделать, и посвящен данный доклад. Лженаука против кибербезопасников Josiah Dykstra, PhD. She Blinded Me with Science: Understanding Misleading, Manipulative, and Deceptive Cybersecurity // LASER Workshop. 2017 Хорошо, когда повседневные задачи кибербезопасности решаются с опорой на научные изыскания, однако далеко не все из тех претензий на научность, которые мы слышим из новостей или от поставщиков-кибербезопасников, имеют под собой авторитетную основу. Людей, подыскивающих для себя решения и продукты безопасности, ежедневно вводят в заблуждение, манипулируют их мнением, обманывают — реальными и фиктивными исследованиями, громкими заявлениями и маркетинговыми уловками. Едва ли одна треть населения сможет адекватно объяснить, что значит «изучать что-то по-научному». Однако на научность претендуют все. Докладчик рассматривает опасность заказных исследований, опросов и логических рассуждений, спонсируемых заинтересованными лицами. Рассказывает, как псевдоученые, занимающиеся «научными» исследованиями, налаживают контакт с практикующими кибербезопасниками, ослепляя их правдоподобными графиками и другими, с позволения сказать, научными выкладками. Маркетинговый успех всех этих псевдонаучных ухищрений объясняется тем, что человеческий ум несовершенен, склонен впадать в иллюзию, а наше восприятие может нас обманывать. Именно на этих уязвимостях нашего ума и паразитируют псевдоученые. Как ограбить банк через телефон: личный опыт и демонстрационное аудио Joshua Crumbaugh. How to Rob a Bank Over the Phone – Lessons Learned and Real Audio from an Actual Social Enfineering Engagement // Black Hat. 2017 Презентация наполовину состоит из демонстрации аудиозаписи реального акта социальной инженерии. В комментариях докладчик делится своим опытом. На этой аудиозаписи докладчик разговаривает по телефону с вице-президентом банка, и тот за время беседы предоставил полный доступ к своему компьютеру. Практикующие социальные инженеры, а также кибербезопасники, которые хотят узнать, как распознавать атаки социальной инженерии, извлекут из разговора много ценных уроков. Источник новости - google.com