Michael Fisher
0 
3517
872
Prošli tjedan pogledali smo neke od glavnih prijetnji socijalnim inženjeringom Što je socijalni inženjering? [MakeUseOf objašnjava] Što je socijalni inženjering? [MakeUseOf Explains] Možete instalirati najjači i najskuplji firewall u industriji. Možete educirati zaposlenike o osnovnim sigurnosnim postupcima i važnosti odabira jakih lozinki. Možete čak i zaključati poslužiteljsku sobu - ali kako ... na to bi trebali paziti vi, vaša tvrtka ili zaposlenici. Ukratko, socijalni inženjering sličan je triku s povjerenjem kojim napadač stječe povjerenje žrtve u pristup, informacije ili novac..
Ove se tehnike mogu kretati u rasponu od krađe identiteta putem e-pošte do razrade telefonskih trikova i invazivnih napada. Iako ne postoji definitivan način zaustavljanja socijalnih inženjera, treba zapamtiti nekoliko stvari koje sprečavaju takve napade da postanu previše ozbiljni. Kao i uvijek, vaša je najbolja obrana znanje i stalna budnost.
Zaštita od fizičkih napada
Mnoge tvrtke educiraju svoj mrežni sigurnosni tim o opasnostima od fizičkih napada. Metoda poznata kao “tailgating” koristi se u mnogim fizičkim napadima za pristup područjima koja su ograničena bez autorizacije. Ovaj napad plijeni osnovnom ljudskom ljubaznošću - držanjem vrata za nekoga - ali jednom kad napadač dobije fizički pristup narušavanje sigurnosti postaje vrlo ozbiljno.
Iako se to u stvarnom slučaju ne primjenjuje u kućnom scenariju (malo je vjerojatno da ćete sada neznanca držati otvorena ulazna vrata, zar ne?), Možete učiniti nekoliko stvari koje možete učiniti da smanjite šansu da postanete žrtvom društvenog inženjerstva napad koji ovisi o fizičkim materijalima ili lokaciji.
Predtekst je tehnika koju koriste napadači koji prvo pronađu informacije o svojoj žrtvi (npr. S računa ili izjave s kreditne kartice) koje zatim mogu upotrijebiti protiv svoje žrtve uvjeravanjem da imaju osjećaj autoriteta. Najosnovnija zaštita od ove vrste napada (koja se ponekad naziva i “ronjenje smećem”) uništavanjem bilo kojeg materijala koji sadrži važne, osobne podatke.
To vrijedi i za digitalne podatke, tako da stari tvrdi diskovi trebaju biti adekvatno uništeni (fizički), a optički medij također se može uništiti. Neke tvrtke čak uzimaju to u tolikoj mjeri da zaključavaju svoj otpad i imaju nadzor nad sigurnošću. Razmotrite nehlađenu papirologiju koju bacate - kalendare, primanja, fakture i čak osobne dopise - i razmislite mogu li se te informacije upotrijebiti protiv vas.
Pomisao na provaljivanje nije osobito zgodna, ali ako vam je ukraden prijenosni računal i pronađite svoj ukradeni prijenosnik pomoću plijena za pronalaženjem i vraćanje ukradenog prijenosnog računala s plijenom sutra, hoćete li ga sutra zatvoriti? Prijenosni računari, pametni telefoni i drugi uređaji koji pristupaju vašim osobnim podacima, e-pošti i računima na društvenim mrežama trebaju uvijek biti zaštićeni sigurnim zaporkama Kako stvoriti jaku lozinku koju nećete zaboraviti Kako stvoriti jaku lozinku koju nećete zaboraviti Znate kako stvoriti i zapamtiti dobru lozinku? Evo nekoliko savjeta i trikova za održavanje čvrstih, zasebnih lozinki za sve vaše mrežne račune. i kodova. Ako ste stvarno paranoični zbog krađe, možda želite čak i šifrirati podatke na tvrdom disku koristeći nešto poput TrueCrypt Kako napraviti šifrirane mape koje drugi ne mogu vidjeti Truecryptom 7 Kako napraviti šifrirane mape koje drugi ne mogu vidjeti s Truecryptom 7 ili BitLocker.
Zapamtite - bilo koji podatak koji lopov može izvući protiv vas može upotrijebiti u budućim napadima, mjesecima ili godinama nakon incidenta.
Baitinga - ostavljanje zlonamernog uređaja kao što je kompromitirani USB stick na kojem se lako može pronaći - lako se izbjegava ne dopuštajući da vam radoznalosti postanu bolji. Ako na trijemu pronađete USB stick, postupajte s najvećom sumnjom. USB štapići mogu se koristiti za instaliranje keyloggera, trojanaca i drugog nepoželjnog softvera za izvlačenje informacija i predstavljanje vrlo stvarne prijetnje.
Sprječavanje psiholoških napada
Gotovo svi napadi socijalnog inženjeringa su po svojoj definiciji psihološki, ali za razliku od izgovora koji zahtijeva prethodno znanje, neki napadi su čisto psihološki. Zaštita od takvih napada trenutno je veliki prioritet za mnoge tvrtke, a to uključuje obrazovanje, budnost i često razmišljanje poput napadača.
Tvrtke sada počinju educirati osoblje na svim razinama, jer većina napada započinje zaštitarom na vratima ili recepcijom na recepciji. To obično uključuje upućivanje zaposlenika na oprez od sumnjivih zahtjeva, gadljivih pojedinaca ili bilo čega što se jednostavno ne zbroji. Ta se budnost lako prenosi u vaš svakodnevni život, ali ovisi o vašoj sposobnosti prepoznavanja zahtjeva za povjerljivim informacijama.
Iako su internetski napadi putem e-pošte i razmjene trenutnih poruka sve učestaliji, napadi društvenog inženjeringa putem telefona (i VoIP-a, što otežava praćenje izvora) još uvijek predstavljaju stvarnu prijetnju. Najjednostavniji način izbjegavanja napada je prekinuti poziv drugog trenutka kad nešto posumnjate.
Moguće je da će vas banka nazvati, ali rijetki su da bi oni odmah zatražili vašu lozinku ili druge podatke. Ako se takav poziv dogodi, zatražite telefonski broj banke, dvostruko provjerite i nazovite ih. To može potrajati dodatnih pet minuta, ali vaša sredstva i osobni podaci sigurni su i banka htjeti razumjeti. Slično tome, malo je vjerojatno da će zaštitarska tvrtka nazvati da vas upozori na probleme s računalom. Tretirajte sve pozive kao prijevaru, budite sumnjivi i nemojte kompromitirati svoje računalne tehničare hladnog pozivanja na računalo: Ne padajte na prevaru kao ovo (upozorenje o prijevari!) Tehnički računarski tehničari za hladno pozivanje: Nemojte pasti na ovu prevaru [ Sigurnost prijevara!] Vjerojatno ste čuli pojam "nemojte prevarati prevare", ali uvijek sam volio "nemojte prevarati pisca tehnike". Ne kažem da smo nepogrešivi, ali ako vaša prijevara uključuje internet, Windows ... ili kupite ono što prodaju!
Edukacija je najbolja obrana, tako da praćenje sigurnosnih tehnika i vijesti pomoći će vam da uočite potencijalni napad. Resursi poput Social-Engineer.org pokušavaju ljude educirati o tehnikama koje koriste socijalni inženjeri, a dostupno je puno informacija.
Nekoliko stvari za pamćenje
Povjerenje je glavna taktika socijalnog inženjera, a koristit će se za pristup fizičkim lokacijama, povjerljivim informacijama i, na širokoj razini, osjetljivim podacima tvrtke. Sustav je samo toliko jak koliko i njegova najslabija obrana, a u slučaju socijalnog inženjeringa to znači pojedince koji nisu svjesni prijetnji i korištenih tehnika.
Zaključak
Da citiram Kevina Mitnicka koji je uspio lutati oko najveće sigurnosne konferencije na svijetu, neometano i bez nadzora (RSA 2001): “Možete potrošiti bogatstvo na kupnju tehnologije i usluga od svakog izlagača, govornika i sponzora na RSA konferenciji, a vaša mrežna infrastruktura i dalje može ostati osjetljiva na staromodne manipulacije”. To vrijedi za brave na vašim vratima i alarm u vašoj kući, pa pripazite na taktike socijalnog inženjeringa na poslu i kod kuće.
Jeste li iskusili takve napade? Radite li za tvrtku koja je nedavno započela s educiranjem zaposlenika o opasnostima? Javite nam što mislite, u komentarima ispod.
Slikovni krediti: Wolf in Sheep Clothing (Shutterstock) Shredder od papira (Chris Scheufele), tvrdi disk (jon_a_ross), Phone on Desk (Radio.Guy), Mozilla Reception (Niall Kennedy),