14Sep
A rosszindulatú programok nem csak az online veszélyt jelentik aggodalomra. A szociáltechnika óriási fenyegetést jelent, és bármilyen operációs rendszerbe üthet. Tény, hogy a szociális tervezés is előfordulhat a telefon és a face-to-face helyzetekben.
Fontos, hogy tisztában legyen a szociális konstrukcióval és figyeljen. A biztonsági programok nem fogják megvédeni Önt a legtöbb szociális tervezési fenyegetéstől, ezért meg kell védenie magát.
Szociális tervezés magyarázata
A hagyományos számítógépes támadások gyakran a számítógép kódjában található biztonsági rést találják. Ha például az Adobe Flash legfrissebb verzióját használja - vagy, isten, a Java-t, amely a Cisco szerint a támadások 91% -át okozta 2013-ban, látogasson el egy rosszindulatú webhelyre és a webhelyrekihasználja a szoftver sérülékenységét a számítógéphez való hozzáférés érdekében. A támadó manipulálja a szoftverben található hibákat, hogy hozzáférjen hozzájuk, és személyes információkat gyűjtsön, talán egy keyloggerrel, amelyet telepítenek.
A társadalomtudományi trükkök különböznek egymástól, mivel inkább pszichológiai manipulációt jelentenek. Más szóval az embereket kihasználják, nem pedig a szoftverüket.
Valószínűleg már hallottál az adathalászatról, ami a szociális tervezés egyik formája. Lehet, hogy kap egy e-mailt, amelyik azt állítja, hogy a bankjától, a hitelkártya-társaságtól vagy egy másik megbízható vállalkozástól származik. Eljuttathatják Önt egy hamis weboldalhoz álcázva, hogy valódinak tűnhessen, vagy kérjen egy rosszindulatú program letöltését és telepítését. De az ilyen szociális tervezési trükköknek nem kell hamis weboldalakat vagy rosszindulatú programokat bevonniuk. Az adathalász e-mail egyszerűen megkérheti, hogy e-mailben válaszoljon privát információkkal. Ahelyett, hogy egy hibát kihasználna egy szoftverben, megpróbálnak kihasználni a normális emberi kölcsönhatásokat. A pajzsos adathalászat még veszélyesebb is lehet, mivel ez egyfajta adathalászat, amely kifejezetten egyénre irányul.
Példák a szociálépítésre
A chat szolgáltatások és az online játékok egyik legnépszerűbb trükkje, hogy egy olyan fiókot regisztráltak, amelynek neve "adminisztrátor", és olyan embereket küldött az ijesztő üzeneteknek, mint a "FIGYELEM: észleltük, hogy valaki hackerheti a fiókját,jelszó a hitelesítéshez. "Ha egy cél a jelszavával válaszol, a trükkre esett, és a támadó most már rendelkezik fiók jelszavával.
Ha valaki személyes adatokat tartalmaz Önről, használhatja azt, hogy hozzáférjen fiókjaihoz. Például olyan adatokat, mint a születési dátum, a társadalombiztosítási szám és a hitelkártyaszám, gyakran használják az Ön azonosításához. Ha valaki ilyen információval rendelkezik, kapcsolatba léphet egy vállalkozással, és úgy tesz, mintha te lennél. Ezt a trükköt híres módon használta egy támadó, hogy elérje Sarah Palin Yahoo! Mail fiókot 2008-ban, elegendő személyes adatot küldve, hogy hozzáférjen a számlához a Yahoo! jelszó-visszaállító formáján keresztül. Ugyanez a módszer használható a telefonon keresztül is, ha az üzleti adatokhoz szükséges személyes adatok hitelesítik Önt. Egy támadó, aki valamilyen információt tartalmaz egy célpontról, úgy tesz, mintha ezek lennének, és több dolgot is elérhet.
A szociáltechnika személyesen is használható.Egy támadó beléphet egy üzletbe, tájékoztatja a titkárat, hogy mérvadó és meggyőző hangnemben egy javító személy, új alkalmazott vagy tűzvédelmi felügyelő, majd kószálozik a csarnokban, és potenciálisan ellopja a bizalmas adatokat vagy a növényi hibákat, hogy vállalati kémkedést hajtson végre. Ez a trükk attól függ, hogy a támadó valaki másként mutatkozik be. Ha egy titkár, egy portás vagy bárki más felelős, nem tesz túl sok kérdést, vagy túl közelről néz ki, akkor a trükk sikeres lesz.
A társadalomtudományi támadások kiterjednek a hamis weboldalak, a csaló e-mailek és a furcsa csevegőüzenetek körére, egészen addig, amíg valaki telefonon vagy személyen megszemélyesít. Ezek a támadások sokféle formában jönnek létre, de mindegyiknek van egy közös dologja - a pszichológiai trükkől függenek. A társadalomtudományt a pszichológiai manipuláció művészetének nevezték. Ez az egyik fő módja annak, hogy a "hackerek" valójában "hack" számlákat online.
Hogyan lehet elkerülni a szociális mérnököket?
A társadalomtudományi ismeretek ismerete segíteni tud a küzdelemben. Gondoljon a kéretlen e-mailekről, csevegőüzenetekről és telefonhívásokról, amelyek személyes adatokat kérnek. Soha ne mutasson pénzügyi információkat vagy fontos személyes adatokat e-mailben. Ne töltsön le potenciálisan veszélyes e-mail mellékleteket, és futtassa azokat, még akkor sem, ha az e-mail azt állítja, hogy fontosak.
Az érzékeny weboldalakra vonatkozó e-mailben lévő linkeket sem szabad követnie. Ne kattintson például egy olyan e-mailben lévő linkre, amely úgy tűnik, hogy a bankodból származik, és jelentkezzen be. Elképzelhető, hogy egy hamis adathalász webhelyet álcázva megjelenik a bank webhelyén, de egy teljesen más URL-címmel. Keresse fel közvetlenül a weboldalt.
Ha gyanús kérelmet kap - például egy bankja telefonhívása személyes adatokat kér - kérje közvetlenül a kérés forrását, és kérjen megerősítést. Ebben a példában hívja fel bankját, és kérdezze meg, mit szeretne, nem pedig az információkat nyilvánosságra hozza valakinek, aki azt állítja, hogy a bankja.
Az e-mail programok, webböngészők és biztonsági szoftverek általában adathalász szűrőket tartalmaznak, amelyek figyelmeztetnek Önt egy ismert adathalász webhelyen. Mindössze annyit tehetnek, hogy figyelmezteti Önt, amikor meglátogat egy ismert adathalász webhelyet vagy ismert phishing e-mailt kap, és nem ismerik az adathalász webhelyeket vagy az e-maileket. A legtöbb esetben az Ön védelmében van, a biztonsági programok csak egy kicsit segítenek.
Jó ötlet, ha egészséges gyanakvást gyakorolsz magánadatokra vonatkozó kérésekkel és bármi mással, ami szociális technikai támadás lehet. A gyanakvás és az óvatosság segít megvédeni Önt online és offline módon.
képarány: Jeff Turnet a Flickr
-nél