14Sep
pahavara pole ainus online-oht muretseda. Sotsiaaltehnoloogia on tohutu oht ja see võib tabada suvalist operatsioonisüsteemi. Tegelikult võib sotsiaalse inseneri toimuda ka telefoni ja näost-näkku olukordades.
Oluline on olla teadlik sotsiaalsest insenerist ja olla kursis. Turvalisusprogrammid ei kaitse teid enamiku sotsiaalsete inseneride ohtude eest, seega peate ennast kaitsma.
Social Engineering Explained
Traditsioonilised arvutipõhised rünnakud sõltuvad tihti arvuti koodi haavatavuse tuvastamisest. Näiteks kui kasutate Adobe Flashi aegunud versiooni - või, Jumal, keelake, Java, mis oli Cisco järgi 91% rünnakutest 2013. aastal - võite külastada pahatahtlikku veebisaiti ja seda veebisaitikasutab oma arvutites ligipääsu oma tarkvaras haavatavust. Ründaja manipuleerib tarkvara veadesse, et pääseda juurde ja koguda privaatset teavet, ehk siis nende installitud keyloggeriga.
Sotsiaalhoolekande trikid on erinevad, sest nende asemel on tegemist psühholoogilise manipuleerimisega. Teisisõnu kasutavad nad inimesi, mitte nende tarkvara.
Olete ilmselt juba kuulnud andmepüügist, mis on sotsiaalse inseneri vorm. Võite saada e-posti, milles väidetakse, et see on teie pangast, krediitkaardiettevõttest või mõnelt muust usaldusväärses ettevõttes. Nad võivad suunata teid võltsitud veebisaiti, mis on varjatud ja tundub olevat tõeline, või palub teil pahatahtlikku programmi alla laadida ja installida. Kuid sellised sotsiaalse inseneri trikid ei pea kaasama võltsitud veebisaite ega pahavara. Andmepüügimälus võib lihtsalt paluda saata e-posti vastus privaatse teabega. Selle asemel, et proovida kasutada viga tarkvara, püüavad nad kasutada tavapäraseid inimesevahelisi suhteid. Späri andmepüük võib olla veelgi ohtlikum, kuna see on teatud tüüpi üksikisikutele suunatud andmepüügi vorm.
sotsiaaltehnoloogia näited
Üks jututoa teenuste ja võrgumängude populaarne trikk oli registreerida kontot nimega "Administrator" ja saata inimestele hirmutavaid sõnumeid nagu "HOIATUS! Oleme tuvastanud, et keegi võib teie konto häkkida, teiega vastataparool iseenda autentimiseks. "Kui sihtmärk vastab nende parooliga, on nad võltsitud ja ründaja on nüüd oma konto parooli.
Kui keegi on teie kohta isiklikku teavet, võiksid nad kasutada seda teie kontodele juurdepääsu saamiseks. Näiteks kasutatakse teie tuvastamiseks sageli teavet nagu teie sünniaeg, sotsiaalkindlustuse number ja krediitkaardi number. Kui kellelgi on see teave, võivad nad ettevõttega ühendust võtta ja teeselda, et olete teiega. Selle trikiga kasutas ründaja Sarah Palini Yahoo!-ile juurdepääsu. Posti konto 2008, esitades piisavalt isikuandmeid, et pääseda kontole Yahoo! Parooli taastamise vormis. Sama meetodit saab telefoni kasutada, kui teil on isiklik teave, mida ettevõte vajab teie autentimiseks. Ründaja, kellel on mõni teave sihtmärgi kohta, võib teeselda, et nad on ja saavad juurdepääsu rohkematele asjadele.
Sotsiaalset insenerit saab kasutada ka isiklikult. Ründaja võib ettevõttest sisse minna, teavitada sekretäri, et nad on usaldusväärne ja veenev toon, et nad on remonditöötaja, uus töötaja või tuletõrjeinspektor, ning seejärel rändavad salud ja varustavad konfidentsiaalseid andmeid või taime vigu ettevõtte spionaaži tegemiseks. See trikk sõltub ründajast, kes esitab end kui keegi, keda nad ei ole. Kui sekretär, uksehoidja või keegi teine vastutab, ei küsi liiga palju küsimusi ega vaata liiga tihedalt, on trikk õnnestunud.
Sotsiaalsete initsiatiivide rünnakud ulatuvad võltsitud veebisaitide, pettusega e-kirjade ja naljatute vestlusavalduste hulgast kaugemale, kui keegi telefoni või isiklikult iseseisev. Need rünnakud on väga erinevad, kuid neil kõigil on üks ühine asi - need sõltuvad psühholoogilisest pettustest. Sotsiaalset inseneriat on nimetanud psühholoogilise manipulatsiooni kuniks. See on üks peamisi viise, kuidas häkkerid "võrgus" tegelikult hackisid.
Kuidas vältida sotsiaaltehnoloogiat
Sotsiaalse inseneri olemasolu teadmine aitab teil seda võidelda. Olge kahtlane soovimatute e-kirjade, vestlussõnumite ja telefonikõnede vastu, milles küsitakse privaatset teavet.Ärge avaldage e-posti teel finantsteavet ega olulist isiklikku teavet.Ärge laadige alla potentsiaalselt ohtlikke e-posti manuseid ja käitage neid, isegi kui e-post väidab, et need on olulised.
Samuti ei tohiks sa tundides veebisaitidel e-posti lingid jälgida. Näiteks ärge klõpsake lingil e-posti aadressil, mis tundub olevat teie pangast ja logige sisse. See võib viia teid võltsitud andmepüügisaiti, mis on peidetud panga saidil, kuid millel on üsna erinev URL.Külastage veebisaiti otse selle asemel.
Kui saate kahtlase taotluse - näiteks teie pangast telefonikõne küsib isiklikku teavet - pöörduge otse päringu allika poole ja küsige kinnitus. Selles näites võite helistada pangale ja küsida, mida nad tahavad, selle asemel, et avaldada teavet kellelegi, kes väidab end olevat teie pank.
e-posti programmid, veebibrauserid ja turvapakendused sisaldavad üldjuhul andmepüügifiltreid, mis hoiatavad teid teadaoleva andmepüügisaiti külastades. Kõik, mida nad saavad teha, hoiatavad teid, kui külastate teadaolevat andmepüügisaiti või saate teadaoleva andmepüügi e-kirju ning nad ei tea kõikidest andmepüügisaitidest ja e-kirjast. Enamasti on ennast ise ennast kaitsta - turvaprogrammid võivad natuke aidata.
Hea mõte on terve kahtlus, kui tegeleksite privaatsete andmete päringutega ja muu, mis võiks olla sotsiaalse inseneritöö rünnak. Kahtlus ja ettevaatlikkus kaitsevad teid nii veebis kui ka väljaspool seda.
pildikrediit: Jeff Turnet Flickril