14Sep
Malware is niet de enige online bedreiging waarover u zich zorgen hoeft te maken. Social engineering is een enorme bedreiging en kan u op elk besturingssysteem treffen. Social engineering kan zelfs via de telefoon en in face-to-face situaties plaatsvinden.
Het is belangrijk om je bewust te zijn van social engineering en op je hoede te zijn. Beveiligingsprogramma's beschermen u niet tegen de meeste bedreigingen voor social engineering, dus u moet uzelf beschermen.
Social Engineering Explained
Traditionele computer-gebaseerde aanvallen zijn vaak afhankelijk van het vinden van een kwetsbaarheid in de computercode. Als u bijvoorbeeld een verouderde versie van Adobe Flash gebruikt, of, godverbied, Java, dat volgens Cisco 91% van de aanvallen veroorzaakte volgens Cisco, zou u een schadelijke website en die website kunnen bezoeken.zou het beveiligingslek in uw software misbruiken om toegang te krijgen tot uw computer. De aanvaller manipuleert bugs in software om toegang te krijgen en privégegevens te verzamelen, misschien met een keylogger die ze installeren.
Social engineering-trucs zijn anders omdat het in plaats daarvan om psychologische manipulatie gaat. Met andere woorden, ze exploiteren mensen, niet hun software.
U hebt waarschijnlijk al gehoord van phishing, een vorm van social engineering. Mogelijk ontvangt u een e-mail van uw bank, creditcardmaatschappij of een ander vertrouwd bedrijf. Ze kunnen je naar een nep-website leiden die je hebt vermomd als een echte website of je vragen om een kwaadaardig programma te downloaden en te installeren. Maar dergelijke trucjes voor sociale engineering hoeven geen valse websites of malware te zijn. De phishing-e-mail kan u eenvoudig vragen om een e-mail te sturen met persoonlijke informatie. In plaats van te proberen een bug in een software te exploiteren, proberen ze normale menselijke interacties uit te buiten. Speer-phishing kan nog gevaarlijker zijn, omdat het een vorm van phishing is die is bedoeld om specifieke personen te targeten.
Voorbeelden van Social Engineering
Een populaire truc in chatdiensten en online games was om een account te registreren met een naam als "Administrator" en mensen angstaanjagende berichten zoals "WAARSCHUWING: We hebben gedetecteerd dat iemand je account hackt, reageren met jouwwachtwoord om jezelf te verifiëren. "Als een doel antwoordt met hun wachtwoord, zijn ze gevallen voor de truc en heeft de aanvaller nu zijn accountwachtwoord.
Als iemand persoonlijke informatie over u heeft, kunnen deze deze gebruiken om toegang te krijgen tot uw accounts. Bijvoorbeeld, informatie zoals uw geboortedatum, sofinummer en creditcardnummer worden vaak gebruikt om u te identificeren. Als iemand deze informatie heeft, kunnen ze contact opnemen met een bedrijf en zich voordoen als u. Deze truc werd beroemd gebruikt door een aanvaller om toegang te krijgen tot Sarah Palin's Yahoo! Mailaccount in 2008, voldoende persoonlijke gegevens opgeven om toegang te krijgen tot het account via het wachtwoordherstelformulier van Yahoo! Dezelfde methode kan telefonisch worden gebruikt als u over de persoonlijke gegevens beschikt die het bedrijf nodig heeft om u te verifiëren. Een aanvaller met wat informatie over een doelwit kan doen alsof ze ze zijn en toegang krijgen tot meer dingen.
Social engineering kan ook in persoon worden gebruikt. Een aanvaller kan een bedrijf binnenlopen en de secretaresse op een gezaghebbende en overtuigende toon laten weten dat hij een reparateur, een nieuwe medewerker of een brandinspecteur is en vervolgens door de gangen dwalen en mogelijk vertrouwelijke gegevens stelen of bugs planten om bedrijfsspionage uit te voeren. Deze truc hangt af van de aanvaller die zichzelf presenteert als iemand die ze niet zijn. Als een secretaresse, portier of wie dan ook de baas is, niet te veel vragen stelt of te nauw kijkt, is de truc succesvol.
Social engineering-aanvallen bestrijken het bereik van valse websites, frauduleuze e-mails en snode chatberichten helemaal tot iemand voor nabootsing van de persoon of als persoon. Deze aanvallen zijn er in allerlei vormen, maar ze hebben allemaal één ding gemeen: ze zijn afhankelijk van psychologische trucs. Social engineering wordt de kunst van psychologische manipulatie genoemd. Het is een van de belangrijkste manieren waarop 'hackers' accounts online 'hacken'.
Hoe social engineering te vermijden
Weten dat social engineering bestaat, kan je helpen het te bestrijden. Wees op uw hoede voor ongevraagde e-mails, chatberichten en telefoontjes die om privé-informatie vragen. Nooit financiële informatie of belangrijke persoonlijke informatie onthullen per e-mail. Download geen potentieel gevaarlijke e-mailbijlagen en voer ze niet uit, ook niet als een e-mail beweert dat ze belangrijk zijn.
Je moet ook geen links volgen in een e-mail naar gevoelige websites. Klik bijvoorbeeld niet op een link in een e-mail die afkomstig lijkt te zijn van uw bank en log in. Mogelijk brengt deze u naar een nep-phishing-site, vermomd als de site van uw bank, maar met een subtiel andere URL.Bezoek in plaats daarvan de website rechtstreeks.
Als u een verdacht verzoek ontvangt - bijvoorbeeld een telefoontje van uw bank om persoonlijke informatie - neemt u rechtstreeks contact op met de bron van het verzoek en vraagt u om bevestiging. In dit voorbeeld zou u uw bank bellen en vragen wat zij willen in plaats van de informatie bekend te maken aan iemand die beweert uw bank te zijn.
E-mailprogramma's, webbrowsers en beveiligingssuites bevatten over het algemeen phishing-filters die u waarschuwen wanneer u een bekende phishingsite bezoekt. Het enige wat ze kunnen doen is u waarschuwen wanneer u een bekende phishing-site bezoekt of een bekende phishing-e-mail ontvangt, en ze weten niet alle phishing-sites of e-mails die er zijn. Voor het grootste deel is het aan jou om jezelf te beschermen - beveiligingsprogramma's kunnen maar een klein beetje helpen.
Het is een goed idee om een gezonde verdenking op te wekken bij verzoeken om privégegevens en al het andere dat een aanval op een sociale constructie zou kunnen zijn. Verdenking en voorzichtigheid helpen u te beschermen, zowel online als offline.
Image Credit: Jeff Turnet op Flickr