14Sep
Malware není jedinou online hrozbou, kvůli které máte obavy. Sociální inženýrství je obrovská hrozba a může vás zasáhnout na libovolném operačním systému. Sociální inženýrství se ve skutečnosti může vyskytnout i telefonicky a tváří v tvář.
Je důležité si uvědomovat sociální inženýrství a být na pozoru. Bezpečnostní programy vás nebudou chránit před většinou sociálních hrozeb, takže se musíte chránit.
Sociální inženýrství vysvětleno
Tradiční počítačové útoky často závisí na nalezení zranitelnosti v kódu počítače. Například pokud používáte zastaralou verzi aplikace Adobe Flash - nebo zakázat jódu Java, což bylo podle Cisco příčinou 91% útoků v roce 2013 - můžete navštívit škodlivý web a webové stránkyzneužijete zranitelnost ve vašem softwaru, abyste získali přístup k počítači.Útočník manipuluje s chybami v softwaru, aby získal přístup a shromáždil soukromé informace, třeba s keyloggerem, který instalují.
Triky sociálního inženýrství jsou různé, protože místo toho zahrnují psychologickou manipulaci. Jinými slovy, využívají lidi, ne svůj software.
Pravděpodobně už jste slyšeli o phishingu, což je forma sociálního inženýrství.Můžete obdržet e-mail s tvrzením, že pochází od vaší banky, společnosti platební karty nebo jiného důvěryhodného podniku. Mohou vás nasměrovat na falešnou webovou stránku, která se skryje, aby vypadala skutečně, nebo vás požádala o stažení a instalaci škodlivého programu. Takové sociální triky však nemusí zahrnovat falešné webové stránky nebo malware. Phishingový e-mail vám může jednoduše požádat o zaslání e-mailové odpovědi se soukromými informacemi. Místo pokusu o zneužití chyby v softwaru se pokoušejí využívat normální lidské interakce. Spear phishing může být ještě nebezpečnější, protože je to forma phishingu navržená tak, aby se zaměřovala na konkrétní jedince.
Příklady sociálního inženýrství
Jeden populární trik v chatových službách a online hrách je registrovat účet s jménem jako "Administrator" a posílat lidem děsivé zprávy jako "UPOZORNĚNÍ: Zjistili jsme, že někdo může hackovat váš účet, odpovědět svýmHeslo k ověření sebe sama. "Pokud cíl odpovídá svým heslem, padli za trik a útočník má nyní heslo svého účtu.
Pokud má někdo na vás osobní informace, mohl by jej použít k získání přístupu k vašim účtům. Například informace, jako je datum narození, číslo sociálního pojištění a číslo kreditní karty, se často používají k identifikaci vás. Pokud někdo má tyto informace, mohou kontaktovat firmu a předstírat, že jste vy. Tento trik byl skvěle používán útočníkem, aby získal přístup k Yahoo Sarah Palin jePoštovní účet v roce 2008, předloží dostatek osobních údajů pro přístup k účtu prostřednictvím formuláře pro obnovení hesla Yahoo!.Stejnou metodu lze použít i přes telefon, pokud máte osobní informace, které podnik vyžaduje, aby vás ověřil.Útočník, který má nějaké informace o cíli, může předstírat, že je je a získá přístup k dalším věcem.
Sociální inženýrství by mohlo být také používáno osobně.Útočník by mohl chodit do podniku, informovat sekretáře, že jsou opravářem, novým zaměstnancem nebo inspektem požáru v autoritativním a přesvědčivém tónu, a pak potulovat chodby a potenciálně ukrást důvěrné údaje nebo chyby při spáchání firemních špionů.Tento trik závisí na útočníkovi, který se prezentuje jako na někoho, koho nejsou. Pokud je sekretářka, vrátný nebo kdo je pověřen, nevyžaduje příliš mnoho otázek nebo se příliš podívá, trik bude úspěšný.
Sociálně-inženýrské útoky pokrývají řadu falešných webových stránek, podvodných e-mailů a hanebných chatových zpráv, až se vydávají za někoho v telefonu nebo osobně.Tyto útoky přicházejí v nejrůznějších formách, ale všichni mají jednu společnou věc - závisí na psychickém triku. Sociální inženýrství se nazývá umění psychologické manipulace. Je to jeden z hlavních způsobů, jak "hackeři" skutečně "hackují" účty online.
Jak se vyhnout sociálnímu inženýrství
Vědět, že existuje sociální inženýrství, vám může pomoci bojovat. Buďte podezřelí z nevyžádaných e-mailů, chatových zpráv a telefonních hovorů, které vyžadují soukromé informace. Nikdy neposkytujte finanční informace ani důležité osobní informace prostřednictvím e-mailu. Nevytahujte potenciálně nebezpečné přílohy e-mailů a spusťte je, a to iv případě, že e-mail prohlásí, že jsou důležité.
Také byste neměli sledovat odkazy v e-mailu na citlivé webové stránky. Neklikněte například na odkaz v e-mailu, který vypadá, že pochází z vaší banky, a přihlaste se. Může vás přivést k falešnému webu phishingu, který se má skrývat jako stránka vaší banky, ale s jemně odlišnou adresou URL.Navštivte webovou stránku přímo.
Pokud obdržíte podezřelou žádost - například telefonní hovor od vaší banky požaduje osobní informace - kontaktujte přímo zdroj žádosti a požádejte o potvrzení.V tomto příkladu zavoláte vaší bance a zeptáte se, co chtějí, spíše než zveřejnit informace někomu, kdo tvrdí, že je vaší bankou.
E-mailové programy, webové prohlížeče a bezpečnostní sady obecně mají filtry phishingu, které vás varují při návštěvě známého phishingového webu. Jediné, co mohou udělat, je upozornit vás, když navštívíte známou lokalitu phishingu nebo obdržíte známý phishingový e-mail a neví o všech phishingových stránkách nebo e-mailech. Z větší části je na vás, abyste se chránili - bezpečnostní programy mohou pomoci jen trochu.
Je to dobrý nápad vykonávat zdravé podezření, když se zabýváte žádostmi o soukromá data a cokoliv jiného, co by mohlo být sociálně-inženýrským útokem. Podezření a obezřetnost vám pomohou ochránit vás, a to jak online, tak offline. Obrázek
: Jeff Turnet na Flickr