Személyes adatainak védelme többet igényel, mint a adatvédelem-orientált Linux disztribúció és a Password Manager. Sok biztonsági szakértő úgy véli, hogy a rendszer leggyengébb láncszeme az ember, aki üzemelteti.
Ebből a cikkből megtudjuk, mi az a social engineering, és miért jelent ilyen veszélyt. Ezután megvizsgálunk néhány olyan social engineering támadást, amelyeket a rosszfiúk online és offline is alkalmazhatnak ellened. Néhány tippel zárjuk, hogyan védheti meg magát a social engineering támadásokkal szemben.
Mi az a Social Engineering?
Merriam-Webster a szociális tervezést úgy határozza meg, mint „az emberek kezelése a társadalomban elfoglalt helyüknek és funkciójuknak megfelelően.” Ez önmagában kicsit hátborzongatóan hangzik. De az utóbbi években ez a kifejezés manipulatívabb, baljósabb jelentést kapott.
Ma a social engineering olyasmit jelent, mint „manipulálni az embereket, hogy bizalmas információkat adjanak át.” Amikor itt a social engineeringről beszélünk, ezt az érzést használjuk.
Miért olyan fenyegetés a szociális tervezés?
A bûnözõk szociális manipulációt alkalmaznak, mert ez könnyebb, mint egy számítógépes rendszer feltörése. Viszonylag könnyű rávenni valakit, hogy olyasmit mondjon neked, amit nem kellene. A legtöbb ember bízik másokban.
Nem számít, mennyire biztonságos a számítógépes rendszere. Vagy hova rejtette a személyes iratait. Vagy hány őr van az irodái előtt. A social engineering támadások mindezt megkerülik.
A híres exhacker, Kevin Mitnick gyakran alkalmazott social engineering támadásokat, hogy „biztonságos” számítógépes rendszerekbe jusson.
„Bárki, aki azt hiszi, hogy a biztonsági termékek önmagukban nyújtanak valódi biztonságot, megelégszik a biztonság illúziójával.” - Kevin D. Mitnick, A megtévesztés művészete: A biztonság emberi elemének ellenőrzése
A bûnözõk online és offline módon is alkalmaznak social engineering támadásokat. Most megvizsgáljuk a támadások leggyakoribb típusait, és azt, hogy mit tehet az ellenük való védekezés érdekében.
Kezdjük néhány, a hackerek által kedvelt online social engineering támadásokkal.
„A hacker az, aki a csúcstechnológiák kombinációját használja kibereszközök és social engineering, hogy illegálisan hozzáférjenek valaki más adataihoz.” - John McAfee
Néhány online szociális tervezési támadás
Íme néhány a leggyakoribb online social engineering támadások közül:
- Adathalászat
- Lándzsa adathalászat
- Beetetés
Adathalászat
Szerint A Nemzetbiztonsági Minisztérium honlapja, egy adathalász támadás „használja e-maileket vagy rosszindulatú webhelyeket, hogy megbízható szervezetnek kiadva személyes adatokat kérjenek.”
Láttál már ilyen támadást. Mindannyian kapunk e-maileket hivatalosnak látszó szervezetektől, amelyek azt állítják, hogy probléma van a fiókunkkal, vagy ellenőrizniük kell hitelkártyaadatainkat.
A cél az, hogy rákattintson az e-mailben található linkre. Ez a hivatkozás a szervezet legitim megjelenésű, de hamis webhelyére viszi. A webhely úgy lesz beállítva, hogy rávegye a hitelkártya adatait, a társadalombiztosítási számát vagy bármi mást, amit a csalók el akarnak lopni.
Lándzsa adathalászat
Lándzsás adathalász az adathalász támadások egyik fajtája, ahol a támadó személyre szabja az adathalász e-mailt a szándékolt áldozat személyes adatai alapján. 2018 decemberében a Amerikai Adóhivatal (IRS) közzétett figyelmeztetés több lándzsás adathalász csalásról.
Ezeknek a csalásoknak az volt a célja, hogy összegyűjtsék a folyamatban lévő információkat IRS W-2 nyomtatvány. Ezeknek a csalásoknak a célpontja a kisvállalkozások voltak. A rosszfiúk az információkat hitelkártya-számlák nyitására, csaló adóbevallások benyújtására, hitelkeretek megnyitására használnák fel és így tovább.
A lándzsás adathalász támadások nagymértékben támaszkodnak az ürügyes támadásokra. A támadások ürügyén a következő részben foglalkozunk.
Beetetés
Beetetés a támadások némileg hasonlítanak az adathalász támadásokhoz. A különbség az, hogy a csali támadások valami olyasmit kínálnak a célpontnak, amit a probléma megoldása helyett akarnak. Az ilyen típusú támadások során ingyenes zenéket, új filmek másolatait vagy bármilyen más díjat kaphat. A nyeremény átvételéhez meg kell adnia bármilyen típusú személyes adatot, amelyet a szélhámos keres.
A csalitámadások offline is előfordulhatnak. Az egyik ilyen támadás a távozással jár USB pendrive ott hevernek valahol, ahol egy célvállalat alkalmazottai megtalálhatják őket. Nagy az esély arra, hogy valaki felvesz egyet, és bedugja a számítógépébe, és a benne lévő rosszindulatú szoftvereket szabadon engedi a szervezeten belül.
Néhány offline szociális tervezési támadás
Íme néhány gyakori típusú offline social engineering támadás:
- Ürügy
- Hátsó/Piggybacking
- Vishing (hanghalászat)
Ürügy
Ürügy a hazugság valamilyen formáját használva rávesz valakit, hogy feladja azokat az információkat, amelyeket nem szabad megosztania. Az ürügyes támadások online és offline is futtathatók. Gyakran használják a Spear Phishing támadások elindításához szükséges személyes adatok megszerzésére.
Offline példa lehet valaki, aki felhívja Önt, és úgy tesz, mintha egy ügyvédi irodából jönne. Sok pénzt örököltél egy távoli rokonodtól. Mindössze bizonyos adatokat kell megadnia személyazonosságának igazolására, és az ügyvéd átutalja Önnek a pénzt. A ürügy mert a hívás a hamis örökség.
Hátsó/Piggybacking
Tailaging általában valamilyen elektronikus biztonsági rendszeren való áthaladást jelent valaki más hozzáférésével. Valaki, aki szorosan követi Önt, amikor áthalad az elektronikus biztonsági rendszeren, lehet, hogy egyáltalán nem munkatársa. Ehelyett előfordulhat, hogy valaki megkéri a hozzáférését, hogy elmenjen valahova, ahová nem tartozik.
Vishing (hanghalászat)
Vishing, ill Hanghalászat, az adathalász támadás offline megfelelője. Ennek a támadásnak több verziója is létezik, de mindegyik a telefonrendszert használja. Céljuk, hogy egy hivatalosnak hangzó telefonhívásra rávegyék az áldozatot, hogy közölje hitelkártyaszámát vagy más személyes adatait.
Ezek a csalások általában használatosak VoIP (Voice over IP) technológia az automatizált telefonrendszer szimulálására, amelyet egy valódi vállalat használhat. A telefonrendszereket korábban biztonságosnak és megbízhatónak tartották, így az emberek sebezhetőbbé váltak a Vishing-csalásokkal szemben.
Hogyan védje meg magát az ONLINE szociális tervezési támadásoktól
Megvizsgáltunk néhányat a manapság elterjedtebb online social engineering támadások közül. De mit tehetsz, hogy megvédd magad tőlük?
Íme néhány gyakorlat, amelyek csökkentik a csalás esélyét:
- Ne nyissa ki váratlanul e-mail mellékleteket. Ha váratlan mellékletet kap, jó eséllyel rosszindulatú. Lépjen kapcsolatba a vállalat informatikai részlegével (ha dolgozik). Ha nem dolgozik, lépjen kapcsolatba a feladóval (ha ismeri őket). Mielőtt bármilyen váratlan mellékletet megnyitna, derítse ki, miért kapta meg.
- Nézze meg a webhelyeket egyedül. Ne feledje, hogy az adathalász típusú támadások általában egy hamis webhelyre irányítják Önt. Elkerülheti a csapdájukat, ha saját maga keresi meg a webhely címét, ahelyett, hogy egy e-mail üzenetben vagy mellékletben található hivatkozásra kattintana. Ha mégis olyan webhelyen találja magát, amelyben bizonytalan, nézze meg a URL (a cím), amely a böngésző címsorában jelenik meg. Bár lehetséges egy legitim webhely pontos másolata, két webhelynek nem lehet ugyanaz az URL-címe. Ha megkeresi a céget a keresőben, akkor a valódi webhelyre kell jutnia.
- Soha ne fedje fel jelszavát senkinek online. Egyetlen törvényes szervezet sem kéri el a felhasználó jelszavát.
- Használjon VPN-t a további adatvédelem érdekében az interneten való böngészés során.
Hogyan védje meg magát az OFFLINE social Engineering támadásoktól
Megvizsgáltuk a gyakori offline social engineering támadásokat is. Íme néhány dolog, amellyel megvédheti magát az offline támadásoktól:
- Ne adjon meg személyes adatokat a hívóknak. Ez sok évvel ezelőtt biztonságos lehetett, de most nem az. Ha valaki felhív, és azt mondja, hogy meg kell erősítenie néhány személyes adatot, tegye le a telefont!
- Ne hagyja, hogy bárki bezárja a csomagtérajtót, hogy túllépjen a biztonságon. Köztudott, hogy a rendszeres bűnözők vagy volt alkalmazottak ezt a technikát arra használják, hogy visszatérjenek a helyszínre, és ellopjanak dolgokat vagy bosszút álljanak.
- Mindig kérjen személyi igazolványt mindenkitől, aki információt kér Öntől.
- Soha ne csatlakoztasson semmit a számítógépéhez, ha nem tudja, honnan jött!
- 7
- hozzáférés
- Fiók
- További
- Minden termék
- körül
- Művészet
- cikkben
- Doboz
- böngésző
- vállalkozások
- hívás
- Cambridge
- esély
- Közös
- vállalat
- hitel
- hitelkártya
- bűnözők
- dátum
- Kereslet
- dokumentumok
- alkalmazottak
- Mérnöki
- szakértők
- hamisítvány
- forma
- Ingyenes
- funkció
- Giving
- jó
- hacker
- hackerek
- hacker
- itt
- Homeland Security
- Hogyan
- HTTPS
- Identitás
- kép
- információ
- Internal Revenue Service
- IP
- IRS
- IT
- Kaspersky
- vezető
- TANUL
- LINK
- linux
- nézett
- fontos
- Gyártás
- pénz
- zene
- ajánlat
- online
- nyitva
- Más
- Jelszó
- Emberek (People)
- Adathalászat
- adathalász támadások
- játékos
- magánélet
- Termékek
- védelme
- csökkenteni
- forrás
- válasz
- Visszatér
- jövedelem
- futás
- futás
- biztonságos
- csalások
- Keresés
- kereső
- biztonság
- értelemben
- készlet
- Megosztás
- Webhely (ek)
- kicsi
- kisvállalkozások
- So
- Közösség
- Szociális tervezés
- Társadalom
- szoftver
- Lándzsa adathalászat
- szabványok
- kezdet
- rendszer
- Systems
- cél
- adó
- Technológia
- tippek
- Hang
- Sebezhető
- háló
- weboldal
- honlapok
- WHO
- Wikipedia
- nyer
- Huzal
- Munka
- év