Mi a társadalmi mérnöki és hogyan lehet elkerülni?
A rosszindulatú programok nem az egyetlen online fenyegetés, amiről aggódni kell. A szociális tervezés hatalmas fenyegetés, és bármely operációs rendszerben eltalálhat. Tény, hogy a szociális tervezés is előfordulhat telefonon és szemtől szembe.
Fontos, hogy tisztában legyünk a szociális tervezéssel, és nézzünk ki. A biztonsági programok nem védik meg Önt a legtöbb társadalmi mérnöki fenyegetéstől, ezért meg kell védenie magát.
Társadalomtechnika magyarázata
A hagyományos számítógépes támadások gyakran attól függnek, hogy egy számítógép kódja sebezhető-e. Például, ha az Adobe Flash - vagy isteni tiltott, Java - elavult verzióját használja, ami a 2013-as támadások 91% -ának oka volt a Cisco szerint - meglátogathat egy rosszindulatú webhelyet és a webhelyet kihasználná a szoftver sebezhetőségét, hogy hozzáférjen a számítógépéhez. A támadó a szoftver hibáit manipulálja, hogy hozzáférjen és személyes adatokat gyűjtsön, talán egy telepített keyloggerrel.
A szociális mérnöki trükkök eltérőek, mert pszichológiai manipulációt tartalmaznak. Más szóval, kihasználják az embereket, nem a szoftvert.
Valószínűleg már hallottál az adathalászatról, ami egyfajta társadalmi tervezés. Lehet, hogy kap egy e-mailt, amely azt állítja, hogy a banktól, hitelkártya-társaságtól vagy egy másik megbízható üzlettől származik. Az álcázott hamis weboldalra irányíthatják Önt, hogy valódinak látszódjanak, vagy kérjenek egy rosszindulatú program letöltését és telepítését. Az ilyen szociális mérnöki trükköknek azonban nem kell hamis weboldalakat vagy rosszindulatú programokat bevonniuk. Az adathalász e-mailben egyszerűen felkérhetjük, hogy küldjön egy e-mail választ személyes adatokkal. Ahelyett, hogy megpróbálnának kihasználni egy hibát a szoftverben, próbálják kihasználni a normális emberi interakciókat. A Spear-adathalászat még veszélyesebb lehet, mivel egy olyan adathalászat-formája, amelynek célja az egyének megcélzása.
Példák a szociális tervezésre
A csevegőszolgálatok és az online játékok egyik népszerű trükkje az volt, hogy regisztráljon egy olyan fiókot, mint például az „Administrator”, és küldjön embereknek olyan ijesztő üzeneteket, mint a „FIGYELMEZTETÉS. Ha egy cél a jelszóval válaszol, a trükköre esett, és a támadó most már rendelkezik a fiók jelszavával.
Ha valakinek személyes adata van, akkor felhasználhatja a fiókjaihoz való hozzáférést. Például az olyan adatokat, mint a születési dátum, a társadalombiztosítási szám és a hitelkártyaszám, gyakran használják az Ön azonosítására. Ha valakinek van ilyen információja, kapcsolatba léphetnek egy vállalkozással, és úgy tesznek, mintha te lennének. Ezt a trükköt egy támadó híresen használja, hogy hozzáférjen a Sarah Palin Yahoo! A 2008-as e-mail fiók elegendő személyes adatot szolgáltat a fiókhoz való hozzáféréshez a Yahoo! Ugyanezt a módszert lehet használni a telefonon keresztül, ha rendelkezésére áll a személyes adatok, amelyeket a vállalkozás hitelesít. A támadó, aki valamilyen információt tartalmaz egy célpontról, úgy tehet, mintha ők lennének, és több dolgot kapnak.
A szociális tervezés személyesen is felhasználható. A támadó beléphet egy üzletbe, tájékoztassa a titkárt arról, hogy egy javító személy, új alkalmazott vagy tűzoltó felügyelője hiteles és meggyőző tónusú, majd átjárja a csarnokokat, és potenciálisan ellopja a bizalmas adatokat vagy növényi hibákat vállalati kémkedéshez. Ez a trükk attól függ, hogy a támadó maga-e valakinek. Ha egy titkár, ajtóvezető, vagy bárki más, aki felelős, nem kérdez túl sok kérdést, vagy túlságosan is néz ki, a trükk sikeres lesz.
A társadalmi-mérnöki támadások kiterjednek a hamis weboldalakra, a csalárd üzenetekre és a hamis csevegőüzenetekre, egészen addig, amíg valaki személyre vagy személyre szól. Ezek a támadások sokféle formában fordulnak elő, de mindegyiküknek közös dolog van - ezek a pszichológiai csalódástól függenek. A szociális mérnöki tevékenységet pszichológiai manipuláció művészetének nevezték. Ez az egyik fő módja annak, hogy a „hackerek” ténylegesen „hackelnek” online számlákat.
Hogyan lehet elkerülni a szociális mérnöki tevékenységet
A társadalmi tervezés ismerete segíthet abban, hogy harcoljon. Legyen gyanús a kéretlen e-mailek, a chat üzenetek és a telefonhívások, amelyek személyes információkat kérnek. Soha ne tegyen közzé pénzügyi információkat vagy fontos személyes adatokat e-mailben. Ne töltsön le potenciálisan veszélyes e-mail mellékleteket, és ne futtassa azokat, még akkor is, ha egy e-mail azt állítja, hogy fontosak.
Nem kell követnie a linkeket az érzékeny weboldalakon található e-mailben. Például ne kattintson egy linkre egy olyan e-mailben, amely úgy tűnik, hogy a bankjából származik, és jelentkezzen be. Lehet, hogy egy hamis adathalász webhelyre kerül, amely elrejtve néz ki, mint a bank webhelye, de finoman eltérő URL-címmel. Látogasson el közvetlenül a webhelyre.
Ha gyanús kérést kap - például a banktól érkező telefonhívás személyes adatokat kér, forduljon közvetlenül a kérés forrásához, és kérjen megerősítést. Ebben a példában hívja a bankját, és megkérdezi, mit akarnak, nem pedig az információk közzétételét valakinek, aki azt állítja, hogy bankja.
Az e-mail programok, webböngészők és biztonsági lakosztályok általában adathalász-szűrőket tartalmaznak, amelyek figyelmeztetni fognak, amikor egy ismert adathalász webhelyet látogat. Mindössze annyit tehetnek, hogy figyelmezteti Önt, amikor egy ismert adathalász webhelyet látogat vagy ismert adathalász e-mailt kap, és nem tudnak az összes adathalász webhelyről vagy e-mailről. A legtöbb esetben az Ön feladata, hogy megvédje magát - a biztonsági programok csak egy kicsit segíthetnek.
Jó ötlet az egészséges gyanakvás gyakorlására, amikor a személyes adatok iránti kérésekkel foglalkozik, és bármi más, ami társadalmi mérnöki támadás lehet. A gyanú és óvatosság segít megvédeni Önt, mind az online, mind az offline állapotban.
Képhitel: Jeff Turnet a Flickr-en