Å beskytte personvernet ditt krever mer enn å kjøre en personvernorientert Linux-distro og bruke a Password Manager. Mange sikkerhetseksperter mener den svakeste lenken i ethvert system er menneskene som driver det.
I denne artikkelen lærer vi hva sosialteknikk er, og hvorfor det er en slik trussel. Så skal vi se på noen av sosialtekniske angrep som skurkene kan bruke mot deg, både online og offline. Vi pakker det opp med noen få tips for å beskytte deg mot sosialtekniske angrep.
Hva er samfunnsingeniør?
Merriam-Webster definerer sosialteknikk som “ledelse av mennesker i samsvar med deres sted og funksjon i samfunnet. ” Det høres litt skummelt ut i seg selv. Men de siste årene har uttrykket fått en mer manipulerende, uhyggelig mening.
I dag betyr sosialteknikk noe som "å manipulere folk for å gi deg konfidensiell informasjon. ” Når vi snakker om sosial ingeniørarbeid her, er dette sansen vi bruker.
Hvorfor sosialteknikk er en slik trussel
Kriminelle bruker samfunnsingeniør fordi det er enklere enn å hacke seg inn i et datasystem. Det er relativt enkelt å lure noen til å fortelle deg noe de ikke burde. De fleste stoler på andre.
Det spiller ingen rolle hvor sikkert datasystemet ditt er. Eller der du lagde dine personlige dokumenter. Eller hvor mange vakter som er foran kontorene dine. Angrep fra sosialt ingeniørarbeid overtrer alt det.
Den berømte eks-hackeren Kevin Mitnick brukte ofte sosiale ingeniørangrep for å komme inn i "sikre" datasystemer.
"Alle som mener at sikkerhetsprodukter alene tilbyr ekte sikkerhet, nøyer seg med illusjonen om sikkerhet." - Kevin D. Mitnick, Bedragets kunst: å kontrollere det menneskelige sikkerhetselementet
Kriminelle bruker sosiale ingeniørangrep, både online og offline. Nå skal vi se på noen av de vanligste typene angrep, og hva du kan gjøre for å forsvare deg mot dem.
La oss starte med noen av de online sosialtekniske angrep som er elsket av hackere.
“En hacker er noen som bruker en kombinasjon av høyteknologi nettverktøy og sosialteknikk for å få ulovlig tilgang til andres data. ” - John McAfee
Noen sosiale ingeniørangrep online
Her er noen av de vanligste angrepene på nettet for sosialteknologi:
- Phishing
- Spyd phishing
- baiting
Phishing
Ifølge Department of Homeland Security nettsted, et phishing-angrep “bruker e-post eller ondsinnede nettsteder for å anmode om personlig informasjon ved å stille som en pålitelig organisasjon. "
Du har sett denne typen angrep. Vi får alle e-postmeldinger fra organisasjoner som høres ut som hevder at det er et problem med kontoen vår, eller at de må bekrefte kredittkortinformasjonen vår.
Målet er å få deg til å klikke på lenken i e-posten. Den lenken tar deg til et legitimt, men falskt nettsted for organisasjonen. Nettstedet vil bli satt opp for å lure deg til å legge inn kredittkortdataene dine, personnummer eller hva det enn er som skurkene vil stjele.
Spyd phishing
Spyd phishing er en type phishing-angrep der angriperen tilpasser phishing-e-posten ved hjelp av personlig informasjon om det tiltenkte offeret. I desember 2018, the US Internal Revenue Service (IRS) publisert en advarsel om flere spyd-phishing-svindel.
Disse svindelene var ment å samle informasjonen som foregår IRS-skjema W-2. Målet for disse svindelene var små bedrifter. De skurkene ville bruke informasjonen til å åpne kredittkortkontoer, arkivere uredelig selvangivelse, åpne kredittlinjer og så videre.
Spydfiskeangrep er avhengige av Pretexting-angrep. Vi dekker påskudd angrep i neste avsnitt.
baiting
baiting angrep ligner noe på phishing-angrep. Forskjellen er at agnangrep tilbyr målet noe de ønsker i stedet for å løse et problem. I denne typen angrep kan du bli tilbudt gratis musikk, kopier av nye filmer eller annen pris. For å få prisen, vil du bli bedt om å legge inn hvilken type personlig informasjon det er som kjeltringen er ute etter.
Agneangrep kan også forekomme offline. Et slikt angrep innebærer å forlate USB-pinner å ligge et sted ansatte i et målfirma kan finne dem. Sjansene er store for at noen vil hente en og koble den til datamaskinen sin, slik at den ondsinnede programvaren inneholder løs i organisasjonen.
Noen Offline sosiale ingeniørangrep
Her er noen vanlige typer offline-tekniske angrep:
- pretexting
- Tailgating / Piggybacking
- Vishing (Voice phishing)
pretexting
pretexting bruker en form for løgn for å lure noen til å gi fra seg informasjon de ikke bør dele. Påskudd angrep kan kjøres både online og offline. De brukes ofte for å få den personlige informasjonen som trengs for å sette opp Spear Phishing-angrep.
Et offline eksempel kan være noen som ringer deg, som later til å være fra et advokatkontor. Du har nettopp arvet mye penger fra en fjern slektning. Alt du trenger å gjøre er å gi viss informasjon for å bevise identiteten din, og advokaten vil gi deg pengene. De påskudd for samtalen er den falske arven.
Tailgating / Piggybacking
tailgating innebærer vanligvis å passere gjennom et slags elektronisk sikkerhetssystem ved å bruke andres tilgang. Noen som følger tett bak deg når du går gjennom elektronisk sikkerhet, er kanskje ikke noen medarbeider i det hele tatt. I stedet kan de være noen som skreddersyr tilgangen din til å gå et sted de ikke hører hjemme.
Vishing (Voice phishing)
Vishing, eller Voice phishing, er offline ekvivalent til et phishing-angrep. Det er flere versjoner av dette angrepet, men alle bruker telefonsystemet. De tar sikte på å få offeret til å røpe et kredittkortnummer eller annen personlig informasjon som svar på en offisiell ringe telefonsamtale.
Disse svindelene bruker vanligvis VoIP (Voice over IP) teknologi for å simulere det automatiserte telefonsystemet som et ekte selskap kan bruke. Telefonsystemer pleide å anses som trygge og pålitelige, noe som gjør folk mer utsatt for Vishing-svindel.
Slik kan du forsvare deg mot ONLINE Social Engineering Attacks
Vi har sett på noen av de mer vanlige online sosialtekniske angrepene som er i bruk i dag. Men hva kan du gjøre for å beskytte deg mot dem?
Her er noen fremgangsmåter som vil redusere sjansen for å bli svindlet:
- Ikke åpne uventet e-postvedlegg. Hvis du mottar et uventet vedlegg, er sjansen stor for at det er skadelig. Kontakt bedriftens IT-avdeling (hvis du er på jobb). Hvis ikke på jobb, ta kontakt med avsenderen (hvis du kjenner dem). Finn ut hvorfor du mottok den før du åpnet noe uventet vedlegg.
- Slå opp nettsteder på egen hånd. Husk at angrep av phishing-type vanligvis leder deg til et falsk nettsted. Du kan unngå deres felle ved å slå opp hjemmesiden din selv i stedet for å klikke på en lenke i en e-postmelding eller vedlegg. Hvis du finner deg selv på et nettsted du er usikker på, sjekk ut URL (adressen) som vises i nettleserens adressefelt. Selv om det er mulig å lage en eksakt kopi av et legitimt nettsted, kan ingen to nettsteder ha den samme URL-en. Å slå opp selskapet i en søkemotor bør få deg til det virkelige nettstedet.
- Aldri avslører passordet ditt til noen på nettet. Ingen legitim organisasjon kommer til å be en bruker om passordet sitt.
- Bruk en VPN for ekstra personvern når du surfer på nettet.
Hvordan forsvare deg mot OFFLINE angrep på sosialteknologi
Vi har også sett på vanlige offlineangrep for sosiale ingeniører. Her er noen ting du kan gjøre for å beskytte deg mot angrep uten nett:
- Ikke gi personlig informasjon til innringere. Dette kan ha vært trygt for mange år siden, men er ikke nå. Hvis noen ringer deg og sier at de trenger deg for å bekrefte litt personlig informasjon, kan du henge på krypene!
- Ikke la noen bakluke deg for å komme forbi sikkerhet. Vanlige kriminelle eller tidligere ansatte har vært kjent for å bruke denne teknikken for å komme tilbake på stedet og stjele ting eller eksakt hevn.
- Krev alltid en ID fra alle som dukker opp og ber deg om informasjon.
- Koble aldri noe til datamaskinen din hvis du ikke vet hvor den kom fra!
- 7
- adgang
- Logg inn
- Ytterligere
- Alle
- rundt
- Kunst
- Artikkel
- Eske
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- bedrifter
- ring
- cambridge
- sjansene
- Felles
- Selskapet
- kreditt
- kredittkort
- kriminelle
- dato
- Etterspørsel
- dokumenter
- emalje
- ansatte
- Ingeniørarbeid
- eksperter
- forfalskning
- skjema
- Gratis
- funksjon
- Giving
- god
- hacker
- hackere
- hacking
- her.
- Homeland Security
- Hvordan
- HTTPS
- Identitet
- bilde
- informasjon
- Internal Revenue Service
- IP
- IRS
- IT
- Kaspersky
- ledende
- LÆRE
- LINK
- linux
- så
- større
- Making
- penger
- musikk
- tilby
- på nett
- åpen
- Annen
- Passord
- Ansatte
- phishing
- phishing-angrep
- spiller
- privatliv
- Produkter
- beskytte
- redusere
- ressurs
- svar
- avkastning
- inntekter
- Kjør
- rennende
- trygge
- svindel
- Søk
- søkemotor
- sikkerhet
- forstand
- sett
- Del
- Nettsteder
- liten
- små bedrifter
- So
- selskap
- Sosialteknikk
- Samfunnet
- Software
- Spyd phishing
- standarder
- Begynn
- system
- Systemer
- Target
- skatt
- Teknologi
- tips
- Voice
- Sårbar
- web
- Nettsted
- nettsteder
- HVEM
- Wikipedia
- vinne
- Metalltråd
- Arbeid
- år