Beskyttelse af dit privatliv kræver mere end at køre en privatlivsorienteret Linux distro og ved hjælp af en Password Manager. Mange sikkerhedseksperter mener, at det svageste led i ethvert system er det menneske, der driver det.
I denne artikel lærer vi, hvad social engineering er, og hvorfor det er sådan en trussel. Så vil vi se på nogle af de social engineering-angreb, som skurke kan bruge mod dig, både online og offline. Vi afslutter det med et par tips til at beskytte dig selv mod social engineering-angreb.
Hvad er social teknik?
Merriam-Webster definerer social engineering som "ledelse af mennesker i overensstemmelse med deres plads og funktion i samfundet.” Det lyder lidt uhyggeligt i sig selv. Men i de senere år har udtrykket fået en mere manipulerende, uhyggelig betydning.
I dag betyder social engineering noget som "manipulere folk til at give dig fortrolige oplysninger." Når vi taler om social engineering her, er det den forstand, vi bruger.
Hvorfor Social Engineering er sådan en trussel
Kriminelle bruger social engineering, fordi det er nemmere end at hacke sig ind i et computersystem. Det er relativt nemt at narre nogen til at fortælle dig noget, de ikke burde. De fleste mennesker har tillid til andre.
Det er lige meget, hvor sikkert dit computersystem er. Eller hvor du gemte dine personlige dokumenter. Eller hvor mange vagter der er foran dine kontorer. Sociale ingeniørangreb omgår alt det.
Den berømte eks-hacker Kevin Mitnick brugte ofte social engineering-angreb til at komme ind i "sikre" computersystemer.
"Enhver, der tror, at sikkerhedsprodukter alene tilbyder ægte sikkerhed, nøjes med illusionen om sikkerhed." - Kevin D. Mitnick, Kunsten at bedrage: at kontrollere det menneskelige element af sikkerhed
Kriminelle bruger social engineering-angreb, både online og offline. Nu vil vi se på nogle af de mest almindelige typer angreb, og hvad du kan gøre for at forsvare dig mod dem.
Lad os starte med nogle af de online social engineering-angreb, som hackere elsker.
"En hacker er en person, der bruger en kombination af højteknologi cyberværktøjer og social engineering for at få ulovlig adgang til andres data." - John McAfee
Nogle online sociale ingeniørangreb
Her er et par af de mest almindelige online social engineering-angreb:
- Phishing
- Spyd phishing
- baiting
Phishing
Ifølge Department of Homeland Security hjemmeside, et phishing-angreb "bruger e-mail eller ondsindede websteder for at anmode om personlige oplysninger ved at udgive sig for at være en pålidelig organisation."
Du har set denne form for angreb. Vi modtager alle e-mails fra officielt klingende organisationer, der hævder, at der er et problem med vores konto, eller at de skal bekræfte vores kreditkortoplysninger.
Målet er at få dig til at klikke på linket i mailen. Dette link fører dig til en legitim, men falsk hjemmeside for organisationen. Hjemmesiden vil blive sat op til at narre dig til at indtaste dine kreditkortdata, CPR-nummer eller hvad det nu er, skurkene vil stjæle.
Spyd phishing
Spear phishing er en type phishing-angreb, hvor angriberen tilpasser phishing-e-mailen ved hjælp af personlige oplysninger om det påtænkte offer. I december 2018 blev US Internal Revenue Service (IRS) offentliggjort en advarsel om flere spyd-phishing-svindel.
Disse svindelnumre var beregnet til at indsamle de oplysninger, der foregår IRS-formular W-2. Målet for disse svindelnumre var små virksomheder. De onde ville bruge oplysningerne til at åbne kreditkortkonti, indgive svigagtige selvangivelser, åbne kreditlinjer og så videre.
Spear phishing-angreb er stærkt afhængige af påskudsangreb. Vi dækker påskudsangreb i næste afsnit.
baiting
baiting angreb minder lidt om phishing-angreb. Forskellen er, at lokkeangreb tilbyder målet noget, de ønsker i stedet for at løse et problem. I denne form for angreb kan du blive tilbudt gratis musik, kopier af nye film eller enhver anden form for præmie. For at få præmien skal du indtaste den type personlige oplysninger, som skurken er ude efter.
Lokkeangreb kan også forekomme offline. Et sådant angreb involverer at forlade USB sticks liggende et sted, hvor ansatte i en målvirksomhed kan finde dem. Chancerne er gode for, at nogen vil hente en og tilslutte den til deres computer, og slippe den ondsindede software, den indeholder, løs i organisationen.
Nogle Offline Social Engineering-angreb
Her er nogle almindelige typer offline social engineering-angreb:
- pretexting
- Bagklap/Piggybacking
- Vishing (stemmephishing)
pretexting
pretexting bruger en form for løgn til at narre nogen til at opgive information, de ikke bør dele. Påskudsangreb kan udføres både online og offline. De bruges ofte til at få de personlige oplysninger, der er nødvendige for at opsætte Spear Phishing-angreb.
Et offline eksempel kan være en person, der ringer til dig og udgiver sig for at være fra en advokats kontor. Du har lige arvet en masse penge fra en fjern slægtning. Alt du skal gøre er at give visse oplysninger for at bevise din identitet, og advokaten vil overføre pengene til dig. Det påskud thi kaldet er den falske arv.
Bagklap/Piggybacking
tailgating normalt indebærer at passere gennem en form for elektronisk sikkerhedssystem ved hjælp af en andens adgang. En person, der følger tæt efter dig, når du passerer gennem elektronisk sikkerhed, er måske slet ikke en medarbejder. I stedet kan de måske være en person, der holder styr på din adgang for at gå et sted hen, de ikke hører hjemme.
Vishing (stemmephishing)
Vishing, eller Stemmephishing, er offline-ækvivalenten til et phishing-angreb. Der er flere versioner af dette angreb, men alle bruger telefonsystemet. De sigter mod at få offeret til at videregive et kreditkortnummer eller andre personlige oplysninger som svar på et officielt klingende telefonopkald.
Disse svindelnumre bruger normalt VoIP (Voice over IP) teknologi til at simulere det automatiserede telefonsystem, som en rigtig virksomhed kan bruge. Telefonsystemer plejede at blive betragtet som sikre og troværdige, hvilket gjorde folk mere sårbare over for Vishing-svindel.
Sådan forsvarer du dig selv mod ONLINE Social Engineering-angreb
Vi har set på nogle af de mere almindelige online social engineering-angreb, der er i brug i dag. Men hvad kan du gøre for at beskytte dig mod dem?
Her er nogle fremgangsmåder, der vil reducere din chance for at blive snydt:
- Åbn ikke uventet email vedhæftede filer. Hvis du modtager en uventet tilknytning, er chancerne gode for, at den er ondsindet. Kontakt virksomhedens it-afdeling (hvis du er på arbejde). Hvis du ikke er på arbejde, så kontakt afsenderen (hvis du kender dem). Find ud af, hvorfor du modtog den, før du åbner en uventet vedhæftet fil.
- Søg på hjemmesider på egen hånd. Husk, at phishing-angreb normalt leder dig til et falsk websted. Du kan undgå deres fælde ved selv at slå hjemmesidens adresse op i stedet for at klikke på et link i en e-mail eller vedhæftet fil. Hvis du befinder dig på en hjemmeside, du er usikker på, så tjek den URL (adressen), der vises i browserens adressefelt. Selvom det er muligt at lave en nøjagtig kopi af et legitimt websted, kan ikke to websteder have den samme URL. Hvis du slår virksomheden op i en søgemaskine, bør du komme til det rigtige websted.
- Afslør aldrig din adgangskode til nogen online. Ingen legitim organisation vil bede en bruger om deres adgangskode.
- Brug en VPN for yderligere privatliv, når du surfer på nettet.
Sådan forsvarer du dig selv mod OFFLINE Social Engineering-angreb
Vi har også set på almindelige offline social engineering-angreb. Her er nogle ting, du kan gøre for at beskytte dig selv mod offlineangreb:
- Giv ikke personlige oplysninger til opkaldere. Dette kan have været sikkert for mange år siden, men er det ikke nu. Hvis nogen ringer til dig og siger, at de har brug for, at du bekræfter nogle personlige oplysninger, så læg på!
- Lad ikke nogen bagklappe dig for at komme forbi sikkerheden. Regelmæssige kriminelle eller tidligere ansatte har været kendt for at bruge denne teknik til at komme tilbage på stedet og stjæle ting eller eksakte hævn.
- Kræv altid et ID fra alle, der møder op og beder dig om oplysninger.
- Slut aldrig noget til din computer, hvis du ikke ved, hvor det kom fra!
- 7
- adgang
- Konto
- Yderligere
- Alle
- omkring
- Kunst
- artikel
- Boks
- browser
- virksomheder
- ringe
- Cambridge
- odds
- Fælles
- selskab
- kredit
- kreditkort
- Kriminelle
- data
- Efterspørgsel
- dokumenter
- medarbejdere
- Engineering
- eksperter
- falsk
- formular
- Gratis
- funktion
- Give
- godt
- hacker
- hackere
- hacking
- link.
- Homeland Security
- Hvordan
- HTTPS
- Identity
- billede
- oplysninger
- Internal Revenue Service
- IP
- IRS
- IT
- Kaspersky
- førende
- LÆR
- LINK
- linux
- kiggede
- større
- Making
- penge
- Musik
- tilbyde
- online
- åbent
- Andet
- Adgangskode
- Mennesker
- Phishing
- phishing-angreb
- spiller
- Beskyttelse af personlige oplysninger
- Produkter
- beskytte
- reducere
- ressource
- svar
- afkast
- indtægter
- Kør
- kører
- sikker
- svindel
- Søg
- søgemaskine
- sikkerhed
- forstand
- sæt
- Del
- Websteder
- lille
- små virksomheder
- So
- Social
- Samfundsteknologi
- Samfund
- Software
- Spyd phishing
- standarder
- starte
- systemet
- Systemer
- mål
- skat
- Teknologier
- tips
- Voice
- Sårbar
- web
- Hjemmeside
- websites
- WHO
- Wikipedia
- vinde
- Tråd
- Arbejde
- år