Ochrona prywatności to coś więcej niż uruchomienie dystrybucja Linuksa zorientowana na prywatność i używając Password Manager. Wielu ekspertów ds. Bezpieczeństwa uważa, że najsłabszym ogniwem każdego systemu jest człowiek, który go obsługuje.
W tym artykule dowiemy się, czym jest inżynieria społeczna i dlaczego stanowi takie zagrożenie. Następnie przyjrzymy się niektórym atakom socjotechnicznym, których złoczyńcy mogą użyć przeciwko tobie, zarówno online, jak i offline. Podsumowujemy to kilkoma wskazówkami, jak chronić się przed atakami socjotechnicznymi.
Co to jest inżynieria społeczna?
Merriam-Webster definiuje inżynierię społeczną jako „zarządzanie ludźmi zgodnie z ich miejscem i funkcją w społeczeństwie ”. To brzmi trochę przerażająco samo w sobie. Ale w ostatnich latach wyrażenie to nabrało bardziej manipulacyjnego, złowrogiego znaczenia.
Obecnie inżynieria społeczna oznacza coś w rodzaju „manipulowanie ludźmi w celu przekazania poufnych informacji ”. Kiedy mówimy tutaj o inżynierii społecznej, używamy tego sensu.
Dlaczego inżynieria społeczna jest takim zagrożeniem
Przestępcy używają inżynierii społecznej, ponieważ jest ona łatwiejsza niż włamanie do systemu komputerowego. Oszukiwanie kogoś, by powiedział ci coś, czego nie powinien, jest stosunkowo łatwe. Większość ludzi ufa innym.
Nie ma znaczenia, jak bezpieczny jest twój system komputerowy. Albo gdzie schowałeś swoje osobiste dokumenty. Albo ilu strażników jest przed twoimi biurami. Ataki socjotechniczne omijają to wszystko.
Słynny były haker Kevin Mitnick często wykorzystywał ataki socjotechniczne, aby dostać się do „bezpiecznych” systemów komputerowych.
„Każdy, kto myśli, że same produkty zabezpieczające zapewniają prawdziwe bezpieczeństwo, zadowala się iluzją bezpieczeństwa”. - Kevina D. Mitnicka, Sztuka Oszustwa: Kontrolowanie Ludzkiego Elementu Bezpieczeństwa
Przestępcy wykorzystują ataki socjotechniczne, zarówno online, jak i offline. Teraz przyjrzymy się niektórym z najczęstszych typów ataków i tym, co możesz zrobić, aby się przed nimi obronić.
Zacznijmy od niektórych ataków socjotechnicznych online ukochanych przez hakerów.
„Haker to ktoś, kto łączy zaawansowane technologie narzędzia cybernetyczne i inżynierii społecznej w celu uzyskania nielegalnego dostępu do cudzych danych ”. - John McAfee
Niektóre ataki inżynierii społecznej online
Oto kilka z najczęstszych ataków socjotechnicznych online:
- phishing
- Spear Phishing
- Przynęty
phishing
Według Strona internetowa Departamentu Bezpieczeństwa Wewnętrznego, atak phishingowy „używa e-maile lub złośliwe witryny w celu uzyskania danych osobowych, udając organizację godną zaufania ”.
Widziałeś ten rodzaj ataku. Wszyscy otrzymujemy e-maile od organizacji brzmiących oficjalnie, twierdzących, że wystąpił problem z naszym kontem lub że muszą zweryfikować dane naszej karty kredytowej.
Celem jest nakłonienie Cię do kliknięcia łącza w wiadomości e-mail. Ten link przeniesie Cię do wyglądającej na legalną, ale fałszywej strony internetowej organizacji. Witryna zostanie skonfigurowana w celu nakłonienia Cię do wprowadzenia danych karty kredytowej, numeru ubezpieczenia społecznego lub czegokolwiek innego, co oszuści chcą ukraść.
Spear Phishing
Wyłudzanie informacji to rodzaj ataku phishingowego, w którym osoba atakująca dostosowuje wiadomość e-mail phishingową przy użyciu informacji osobistych dotyczących zamierzonej ofiary. W grudniu 2018 r Urząd skarbowy Stanów Zjednoczonych (IRS) opublikowany ostrzeżenie o kilku oszustwach typu spear-phishing.
Te oszustwa miały na celu zebranie informacji, które się toczą Formularz IRS W-2. Celem tych oszustw były małe firmy. Złoczyńcy wykorzystaliby te informacje do otwarcia kont kart kredytowych, składania fałszywych zeznań podatkowych, otwierania linii kredytowych i tak dalej.
Ataki typu spear phishing w dużym stopniu opierają się na atakach typu pretexting. Ataki pretexting omówimy w następnej sekcji.
Przynęty
Przynęty ataki są nieco podobne do ataków phishingowych. Różnica polega na tym, że ataki z przynętą oferują celowi coś, czego chcą, zamiast rozwiązać problem. W tego rodzaju atakach możesz otrzymać bezpłatną muzykę, kopie nowych filmów lub jakąkolwiek inną nagrodę. Aby otrzymać nagrodę, będziesz musiał podać dane osobowe, których szuka oszust.
Ataki przynęty mogą również wystąpić w trybie offline. Jeden taki atak polega na odejściu Pamięci USB leżące gdzieś, mogą je znaleźć pracownicy firmy docelowej. Istnieje duże prawdopodobieństwo, że ktoś weźmie jeden z nich i podłączy go do swojego komputera, pozwalając, aby wszelkie złośliwe oprogramowanie, które zawiera, zostało uwolnione wewnątrz organizacji.
Niektóre ataki socjotechniczne offline
Oto kilka typowych typów ataków socjotechnicznych offline:
- Preteksty
- Tailgating / Piggybacking
- Vishing (phishing głosowy)
Preteksty
Preteksty wykorzystuje jakąś formę kłamstwa, aby skłonić kogoś do rezygnacji z informacji, którymi nie powinien się dzielić. Ataki pretekstowe mogą być przeprowadzane zarówno w trybie online, jak i offline. Często są wykorzystywane do uzyskiwania danych osobowych potrzebnych do skonfigurowania ataków typu Spear Phishing.
Przykładem offline może być ktoś, kto dzwoni do ciebie, udając, że jest z biura prawnika. Właśnie odziedziczyłeś dużo pieniędzy po dalekim krewnym. Wszystko, co musisz zrobić, to podać pewne informacje, aby potwierdzić swoją tożsamość, a prawnik prześle Ci pieniądze. Plik pretekst bo wezwanie jest fałszywym spadkiem.
Tailgating / Piggybacking
Tailgating zwykle wiąże się z przejściem przez jakiś elektroniczny system bezpieczeństwa przy użyciu cudzego dostępu. Ktoś, kto podąża tuż za Tobą, gdy przechodzisz przez elektroniczne zabezpieczenie, może w ogóle nie być współpracownikiem. Zamiast tego mogą być kimś, kto szuka dostępu do miejsca, do którego nie należą.
Vishing (phishing głosowy)
Vishing lub Phishing głosowy, jest offline odpowiednikiem ataku phishingowego. Istnieje kilka wersji tego ataku, ale wszystkie wykorzystują system telefoniczny. Ich celem jest skłonienie ofiary do ujawnienia numeru karty kredytowej lub innych danych osobowych w odpowiedzi na oficjalnie brzmiący telefon.
Te oszustwa zwykle używają VoIP Technologia (Voice over IP) do symulacji automatycznego systemu telefonicznego, z którego może korzystać prawdziwa firma. Systemy telefoniczne były kiedyś uważane za bezpieczne i godne zaufania, przez co ludzie byli bardziej podatni na oszustwa Vishing.
Jak się bronić przed atakami inżynierii społecznej ONLINE
Przyjrzeliśmy się niektórym z częściej używanych obecnie ataków socjotechnicznych online. Ale co możesz zrobić, aby się przed nimi uchronić?
Oto kilka praktyk, które zmniejszają ryzyko oszustwa:
- Nie otwieraj nieoczekiwanie załączniki do wiadomości e-mail. Jeśli otrzymasz nieoczekiwany załącznik, istnieje duże prawdopodobieństwo, że jest on złośliwy. Skontaktuj się z działem IT firmy (jeśli jest w pracy). Jeśli nie jesteś w pracy, skontaktuj się z nadawcą (jeśli go znasz). Dowiedz się, dlaczego go otrzymałeś, zanim otworzysz nieoczekiwany załącznik.
- Samodzielnie wyszukuj strony internetowe. Pamiętaj, że ataki typu phishing zazwyczaj kierują Cię na fałszywą witrynę internetową. Możesz uniknąć ich pułapki, wyszukując adres strony internetowej samodzielnie, zamiast klikać łącze w wiadomości e-mail lub załączniku. Jeśli znajdziesz się na stronie, której nie jesteś pewien, sprawdź URL (adres), który pojawia się w polu adresu przeglądarki. Chociaż możliwe jest utworzenie dokładnego duplikatu prawdziwej witryny internetowej, żadne dwie witryny nie mogą mieć tego samego adresu URL. Wyszukanie firmy w wyszukiwarce powinno doprowadzić Cię do prawdziwej witryny.
- Nigdy nie ujawniaj nikomu swojego hasła online. Żadna prawowita organizacja nie poprosi użytkownika o hasło.
- Użyj VPN dla dodatkowej prywatności podczas przeglądania sieci.
Jak się bronić przed atakami inżynierii społecznej offline
Przyjrzeliśmy się również typowym atakom socjotechnicznym offline. Oto kilka rzeczy, które możesz zrobić, aby chronić się przed atakami offline:
- Nie podawaj danych osobowych dzwoniącym. To mogło być bezpieczne wiele lat temu, ale teraz nie jest. Jeśli ktoś dzwoni do ciebie i mówi, że potrzebuje potwierdzenia niektórych danych osobowych, rozłącz się!
- Nie pozwól nikomu przekroczyć drzwi bezpieczeństwa. Wiadomo, że zwykli przestępcy lub byli pracownicy używają tej techniki do powrotu na miejsce i kradzieży rzeczy lub dokonania zemsty.
- Zawsze żądaj dowodu tożsamości od każdego, kto pojawi się z prośbą o informacje.
- Nigdy nie podłączaj niczego do komputera, jeśli nie wiesz, skąd to pochodzi!
- 7
- dostęp
- Konto
- Dodatkowy
- Wszystkie kategorie
- na około
- Sztuka
- artykuł
- Pudełko
- przeglądarka
- biznes
- wezwanie
- cambridge
- duża szansa,
- wspólny
- sukcesy firma
- kredyt
- Karta kredytowa
- przestępcy
- dane
- Kreowanie
- dokumenty
- pracowników
- Inżynieria
- eksperci
- imitacja
- Nasz formularz
- Darmowy
- funkcjonować
- Dający
- dobry
- haker
- hakerzy
- włamanie
- tutaj
- Homeland Security
- W jaki sposób
- HTTPS
- tożsamość
- obraz
- Informacja
- Internal Revenue Service
- IP
- IRS
- IT
- Kaspersky
- prowadzący
- UCZYĆ SIĘ
- LINK
- linux
- wyglądał
- poważny
- Dokonywanie
- pieniądze
- Muzyka
- oferta
- Online
- koncepcja
- Inne
- Hasło
- Ludzie
- phishing
- ataki phishingowe
- gracz
- prywatność
- Produkty
- chronić
- zmniejszyć
- Zasób
- odpowiedź
- powraca
- dochód
- run
- bieganie
- "bezpiecznym"
- oszustwa
- Szukaj
- Wyszukiwarka
- bezpieczeństwo
- rozsądek
- zestaw
- Share
- Witryny
- mały
- małych firm
- So
- Obserwuj Nas
- Inżynieria społeczna
- Społeczeństwo
- Tworzenie
- Spear Phishing
- standardy
- początek
- system
- systemy
- cel
- podatek
- Technologia
- wskazówki
- Głos
- Wrażliwy
- sieć
- Strona internetowa
- strony internetowe
- KIM
- Wikipedia
- wygrać
- Drut
- Praca
- lat