Glavna stranica Web kultura Što je socijalni inženjering? [MakeUseOf objašnjava]

Što je socijalni inženjering? [MakeUseOf objašnjava]

  • Owen Little
  • 0
  • 1359
  • 256
Oglas

Možete instalirati najjači i najskuplji firewall u industriji. Kako funkcionira vatrozid? [MakeUseOf Explains] Kako funkcionira vatrozid? [MakeUseOf Explains] Postoje tri dijela softvera koji, po mom mišljenju, čine okosnicu pristojne sigurnosne postavke na vašem kućnom računalu. To su antivirusni program, vatrozid i upravitelj lozinki. Od toga,…. Možete educirati zaposlenike o osnovnim sigurnosnim postupcima i važnosti odabira jakih lozinki Kako stvoriti jake lozinke kojih se lako možete sjetiti Kako stvoriti jake lozinke kojih se lako možete sjetiti. Možete čak zaključati poslužiteljsku sobu - ali kako zaštititi tvrtku od prijetnji napada društvenog inženjeringa?

Iz perspektive socijalnog inženjeringa, zaposlenici su slaba karika u lancu sigurnosnih mjera. Nabavite sigurnosni makeover za svoju WordPress stranicu uz WebsiteDefender Nabavite sigurnosni makeover za svoju web lokaciju WordPress sa WebsiteDefender Uz popularnost Wordpressa koja raste, sigurnosna pitanja nikad nisu bila relevantnija - ali osim što jednostavno ažurirate, kako početnik ili prosječni korisnik može ostati iznad svega? Da li biste uopće ... na mjestu. Ljudi nisu samo podložni osnovnim ljudskim pogreškama, već i ciljanim napadima pojedinaca u nadi da će ih uvjeriti da odustanu od osjetljivih informacija. Danas ćemo istražiti neke od društvenih tehnika koje se koriste za obmanjivanje i obmanjivanje.

Osnove socijalnog inženjerstva

Socijalni inženjering je čin manipuliranja čovjekom da bi stekao pristup ili osjetljive podatke propovijedajući osnovnu ljudsku psihologiju. Razlika između napada socijalnog inženjeringa i, na primjer, hakera koji pokušava dobiti pristup web mjestu, je u izboru korištenih alata. Haker može potražiti slabost u sigurnosnom softveru ili ranjivost na poslužitelju dok će socijalni inženjer koristiti društvene tehnike prisiljavajući žrtvu da slobodno daje informacije ili pristup.

Te taktike nisu ništa novo i postojale su sve dok su ljudi odlučivali da je obmanjivanje jedni druge prihvatljiv način za život. Sada kada se društvo razvilo oslanjajući se na neposrednu prirodu interneta i informacije na zahtjev, više ljudi nego ikad prije je izloženo velikim napadima socijalnog inženjeringa.

Veći dio vremena napadač se neće suočiti licem u lice sa svojom žrtvom, već će se oslanjati na e-poštu, IM i telefonske pozive za izvršavanje napada. Postoje razne tehnike koje se u širokoj javnosti smatraju napadima socijalnog inženjeringa, pa ćemo ih detaljnije pogledati.

Objašnjene tehnike socijalnog inženjeringa

Krađa identiteta

Daleko jedna od poznatijih tehnika zahvaljujući svijesti koju su podigli davatelji e-pošte poput Googlea i Yahooa, phishing je prilično osnovni i vrlo široko korišteni primjer društvenog inženjeringa.

Ova tehnika se najčešće provodi putem e-pošte, a vrsta je prijevare koja uključuje uvjeravanje žrtve da legitimno tražite osjetljive podatke. Jedna od najčešćih vrsta phishing napada uključuje zahtijevanje žrtava “provjeriti” podaci o njihovom bankovnom računu ili PayPalu Kako zaštititi svoj Paypal račun od hakera Kako zaštititi svoj Paypal račun od hakera kako ne bi obustavili račune. Napadač ili lažnjak često će kupiti domenu koja je osmišljena tako da imitira službeni resurs, a nepodudarnosti u URL-u često prepuštaju igru.

Internetski krađa identiteta postaje sve lakše uočiti i prijaviti zahvaljujući tehnikama filtriranja koje koriste davatelji usluga e-pošte. Takođe je dobra praksa da nikada ne objavljujete osjetljive ili financijske podatke putem e-pošte - niti jedna legitimna organizacija to nikada neće zatražiti od vas - i dvostruko provjeriti URL-ove za zakonitost prije unošenja važnih vjerodajnica.

Telefonske tehnike ili “Vishing”

Interaktivni glasovni odgovor (IVR) ili vishing (voice phishing) uključuje korištenje sličnih tehnika opisanih gore putem telefona ili VoIP sučelja. Postoji nekoliko različitih tehnika varanja, a to su:

  • Izravno pozivanje žrtve pomoću automatiziranog “vaša je kreditna kartica ukradena” ili “potrebno je hitno djelovati” prijevara, zatim zahtjev “provjera sigurnosti” kako biste vratili normalan pristup računu.
  • Slanje e-pošte žrtvi, upućivanje im da potom nazove telefonski broj i provjere podatke računa prije nego što odobre pristup.
  • Korištenjem lažnih interaktivnih telefonskih tehnika ili izravne ljudske interakcije za vađenje informacija, npr. “pritisnite 1 za… ” ili “nakon piska unesite broj svoje kreditne kartice”.
  • Nazovite žrtvu, uvjerite ih u sigurnosnu prijetnju na računalu i uputite ih da kupuju ili instaliraju softver (često malware ili softver udaljene radne površine) kako bi riješili problem.

Osobno sam bio na prijelaznom dijelu softverske telefonske prevare i, iako nisam pao ni za što, ne bih se iznenadio da netko to učini zahvaljujući taktikama zastrašivanja. Moj susret je uključivao a “Microsoft zaposlenik” i nekih virusa koji nisu postojali. Sve o tome možete pročitati ovdje. Računarski tehničari za hladno pozivanje: Nemojte pasti za ovu prijevaru (upozorenje o prevari!) Računalni tehničari za hladno pozivanje: Nemojte ovako pasti [prijevara!] Vjerojatno ste čuli Izraz "nemojte prevarati prevare", ali uvijek sam bio omiljen "nemojte prevariti pisca tehnike". Ne kažem da smo nepogrešivi, ali ako vaša prevara uključuje internet, Windows ... .

ljevičare

Ova se tehnika temelji na jednoj od najvećih slabosti čovječanstva - radoznalosti. Namjerno napuštajući fizički medij - bilo da je to disketa (malo je vjerojatno ovih dana), optički medij ili (najčešće) USB stick negdje gdje će se vjerojatno otkriti, prevarant jednostavno sjedne natrag i čeka da netko iskoristi uređaj.

Mnogo PC-a “auto” USB uređaji, tako da kada se zlonamjerni softver poput trojana ili keyloggera nalazi na USB-u, tada je moguće da se stroj zarazi bez da žrtva uopće shvati. Prevaranti takve uređaje oblače službenim logotipom ili naljepnicama koje bi mogle pobuditi zanimanje potencijalnih žrtava.

pretexting

Ova tehnika uključuje uvjeravanje žrtve u odustajanje od informacija pomoću izmišljenog scenarija. Scenarij obično proizlazi iz podataka prikupljenih o žrtvi kako bi ih uvjerili da je prevarant u stvari autoritativna ili službena osoba.

Ovisno o informacijama koje je prijevara započeo, izgovor može sadržavati osnovne osobne podatke poput kućne adrese ili datuma rođenja, konkretnije podatke kao što su iznosi transakcije na bankovnom računu ili troškovi na računu.

tailgating

Jedna od rijetkih ovdje navedenih tehnika koja uključuje ubojicu koji je fizički uključen u napad, repariranje opisuje praksu pristupa pristupom ograničenom području bez odobrenja slijedeći drugog (zakonitog) zaposlenika u to područje. Za mnoge prevarante ovo uklanja potrebu za pristupom karticama ili ključevima i predstavlja potencijalno ozbiljno kršenje sigurnosti za uključenu tvrtku.

Ova posebna taktika plijeni uobičajenom ljubaznošću kao što je čin držanja vrata za nekoga i postala je takav problem da su se mnoga radna mjesta upustila u rješavanje problema uz napomene na ulazima, poput obavijesti koju Apple koristi na gornjoj slici..

Ostale tehnike

Postoji nekoliko drugih tehnika povezanih s socijalnim inženjeringom, poput nečega za nešto “quid pro quo” tehnika koja se često koristi protiv uredskih radnika. Quid pro quo uključuje napadača koji se, primjerice, predstavlja kao službenik za tehničku podršku koji vraća poziv. Napadač zadržava “uzvratila” dok ne nađe nekoga kome je istinska potreba za podrškom, nudi je, ali istodobno izvlači druge podatke ili upućuje žrtvu na štetni preuzimanje softvera.

Još jedna tehnika socijalnog inženjeringa poznata je kao The “diverzijska krađa” i zapravo nije povezan s računalima, Internetom ili krađanjem telefona. Umjesto toga, uobičajena je tehnika kojom se legitimni kuriri uvjeravaju da vjeruju u isporuku treba primiti drugdje.

Zaključak

Ako sumnjate da vas pojedinac pokušava prevariti prevarom za socijalni inženjering, trebali biste obavijestiti vlasti i (ako je primjenjivo) svog poslodavca. Tehnike nisu ograničene na ono što je spomenuto u ovom članku - nove prevare i trikovi smišljaju se cijelo vrijeme - zato ostanite na straži, ispitivajte sve i ne postanite žrtvom prevaranta..

Najbolja obrana od ovih napada je znanje - zato obavijestite svoje prijatelje i obitelj da ljudi mogu i upotrebljavaju ove taktike protiv vas.

Jeste li imali problema sa socijalnim inženjerima? Je li vaša tvrtka educirala radnu snagu o opasnostima socijalnog inženjeringa? U komentare, ispod, dodajte svoja razmišljanja i pitanja.

Slikovni krediti: Wolf in Sheep Clothing (Shutterstock), NetQoS Symposium USB Stick (Michael Coté), Shredder od papira (Sh4rp_i)




Još ne komentari

Korištenje rutinskih programa Google pomoćnika za automatizaciju vašeg jutra, podneva i noći
Produktivnost
Kako umetnuti crtež u Google proračunsku tablicu
Produktivnost
Savjeti za rad sa tekstom i tekstualnim funkcijama u Excelu
Produktivnost
O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.