Що таке dumpster diving або занурення в смітник?

17 січня 2024 1 хвилина Автор: Cyber Witcher

Дайвінг у сміттєвих контейнерах у контексті кібербезпеки стосується пошуку викинутої конфіденційної інформації. Це може включати як паперові документи, так і цифрові пристрої. Особи, що займаються цим, можуть використовувати знайдені дані для крадіжки особистої інформації, шахрайства або несанкціонованого доступу до мереж. Це підкреслює важливість правильної утилізації та знищення конфіденційної інформації. Ми розглянемо, як занурення в сміття може призвести до витоку даних, та обговорюються методи запобігання таким інцидентам. Важливо розуміти необхідність безпечного видалення даних для захисту конфіденційної інформації.

Сміття чи скарб? Ризики занурення в сміттєві контейнери в інформаційній безпеці

Дайвінг на смітнику — це шукати скарби в чужому смітті. У світі інформаційних технологій (ІТ) занурення в смітник — це техніка, яка використовується для отримання інформації, яка може бути використана для здійснення атаки або отримання доступу до комп’ютерної мережі з утилізованих речей.

Дайвінг у смітник не обмежується пошуком у смітнику очевидних скарбів, таких як коди доступу чи паролі, записані на липких нотатках. Здавалося б, невинна інформація, така як список телефонів, календар або організаційна схема, може бути використана, щоб допомогти зловмиснику отримати доступ до мережі за допомогою методів соціальної інженерії.

Щоб запобігти тому, щоб любителі сміттєвих контейнерів дізналися щось цінне зі сміття, експерти рекомендують підприємствам встановити політику утилізації, згідно з якою весь папір, включаючи роздруківки, подрібнюється в поперечному шредері перед переробкою, усі носії інформації стираються, а весь персонал проходить навчання. про небезпеку невідстежуваного сміття.

Утилізоване комп’ютерне обладнання може стати золотою жилою для зловмисників. Інформацію можна відновити з носіїв інформації, включаючи диски, які були неправильно відформатовані або стерті. Це включає збережені паролі та надійні сертифікати. Навіть без носія даних обладнання може містити дані модуля довіреної платформи ( TPM ) або інші ідентифікатори апаратного забезпечення, яким організація довіряє. Зловмисник також може використовувати апаратне забезпечення для ідентифікації виробника обладнання для створення потенційних експлойтів.

Медичні та кадрові записи можуть мати правові наслідки, якщо їх не утилізувати належним чином. Документи, які містять персональну інформацію (PII), мають бути знищені, інакше організація може стати жертвою порушень та потенційних штрафів. Наприклад, у 2010 році медичний білінговий офіс у Массачусетсі був оштрафований на 140 000 доларів США, а в 2014 році медичний працівник у Канзас-Сіті, Міссурі, був оштрафований на 400 000 доларів США.

Занурення в смітник і атаки соціальної інженерії

Соціальна інженерія використовує взаємовідносини, щоб обманом змусити інших надати зловмиснику доступ або виконати певну дію. Основна мета соціальної інженерії – встановити довіру між зловмисником і жертвою. Dumpster diving – це метод отримання інформації, який зловмисники використовують для встановлення довіри. Зловмисник також може взяти будь-яке комп’ютерне обладнання, яке знайде, але основною метою атаки dumpster diving, як правило, є отримання інформації про організацію. Зловмисники можуть використовувати навіть нешкідливі документи.

Зловмисники можуть використовувати списки імен, такі як довідники та телефонні довідники, у різний спосіб. Імена співробітників можуть бути використані для вгадування імен користувачів комп’ютерів, атак на персональні веб-акаунти або викрадення особистих даних. Список імен також може бути використаний як частина загальної фішингової кампанії проти організації або як фішингова атака проти керівника.

Телефонні номери можуть бути використані разом з підробкою ідентифікатора абонента, щоб обманом змусити співробітників вимовити іншу інформацію під час голосового фішингу (вішингу). Зловмисник може зателефонувати співробітнику: “Привіт, це Джон з бухгалтерії. Біллу, нашому фінансовому менеджеру, потрібні цифри до вечора. Я попросив Деббі, і вона сказала мені поговорити з вами. Ви можете допомогти?”

Атаки соціальної інженерії використовують інформацію, зібрану під час занурення в сміттєвий бак. Якщо зловмисник знаходить у торговому автоматі квитанцію про поповнення рахунку, він може отримати доступ до місця, яке не працює, видавши себе за працівника сервісу з бейджем у той самий день і час, коли запланована доставка. Зловмисники можуть використати цей доступ для запуску плечової атаки або встановити кейлоггер, щоб отримати доступ до мережі.

Як запобігти пірнанню під час смітника

Хоча належний догляд за сміттям може здатися великою роботою, можна впровадити процеси, які допоможуть запобігти нападу пірнання в смітник. Це слід задокументувати та чітко пояснити працівникам.

  • Мати задокументований процес виведення обладнання з експлуатації. Переконайтеся, що всю ідентифікаційну інформацію видалено з комп’ютерного обладнання перед його утилізацією або продажем. Це включає безпечне видалення даних із жорстких дисків і очищення даних TPM. Видаліть будь-які фактори довіри в базах даних організації, наприклад довірчі відносини домену, автентифікацію адреси керування доступом до медіа (MAC) або термін дії сертифікатів довіри, що закінчується.

  • Використовуйте відповідний безпечний процес видалення носія. Це може включати безпечне стирання дисків, подрібнення компакт-дисків (CD) і розмагнічування магнітного накопичувача.

  • Майте політику збереження даних і використовуйте сертифікати знищення для конфіденційних даних. Політика зберігання даних має визначати, як довго документи та дані мають зберігатися та як їх слід викидати. Сертифікат про знищення має бути створений і поданий для юридичного відстеження.

  • Зробіть подрібнення зручним. Забезпечте легкий доступ до подрібнювачів поряд із сміттєвими баками або використовуйте безпечні урни для подрібнення біля кожного сміттєвого бака. Для працівників, які працюють вдома, надайте домашні знищувачі паперу.

  • Навчайте співробітників. Надайте інформацію про належну утилізацію та типові методи соціальної інженерії. Не дозволяйте працівникам брати додому роздруківки та не давайте працівникам старе комп’ютерне обладнання.

  • Безпечний кошик. Використовуйте замкнені сміттєві баки та урни для переробки або зберігайте сміття в безпечному місці, доки його не заберуть. Користуйтеся перевіреними переробниками обладнання.

Інші статті по темі
OSINT АкадеміяЗбір інформації про супротивникаКібервійна
Читати далі
Довідники з кібербезпеки (Бездротові атаки)
Зберіть знання про безпеку бездротових мереж з наших довідників. Дізнайтеся про типи атак та захист від них. Практичні поради для безпечного користування бездротовими технологіями.
696
ОсвітаХакерські мережі
Читати далі
Новини, блоги та публікації про OSINT та Кібербезпеку (Частина 1)
Поглиблене навчання OSINT та кібербезпеці через інструкції, посібники та відео. Розкрийте всі нюанси виявлення загроз та захисту даних за допомогою доступних джерел та практичних прикладів.
728
Новини
Читати далі
Кібербезпека в гіперз’єднаному світі: захист пристроїв Інтернету речей і розумних будинків
Захист пристроїв IoT та розумних будинків - ключ до кібербезпеки в гіперз’єднаному світі. Наші поради та рекомендації допоможуть вам забезпечити безпеку вашого розумного оточення. Дізнайтеся про загрози та захист від них на наших сторінках.
572
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.