14Sep
Malware nie je jediným online hrozbou, pre ktoré sa obávate. Sociálne inžinierstvo je obrovská hrozba a môže vás zasiahnuť na ľubovoľnom operačnom systéme. Sociálne inžinierstvo sa v skutočnosti môže vyskytnúť aj telefonicky a v situáciách tvárou v tvár.
Je dôležité poznať sociálne inžinierstvo a byť na pozore. Bezpečnostné programy vás nebudú chrániť pred väčšinou hrozieb sociálneho inžinierstva, takže sa musíte chrániť.
Social Engineering Explained
Tradičné počítačové útoky často závisia od nájdenia zraniteľnosti v počítači. Napríklad, ak používate zastaralú verziu Adobe Flash - alebo zakazujte Java, čo bolo príčinou 91% útokov v roku 2013 podľa Cisco - môžete navštíviť škodlivú webovú stránku a webovú stránkuby zneužil zraniteľnosť vo vašom softvéri, aby získal prístup k vášmu počítaču.Útočník manipuluje s chybami v softvéri, aby získal prístup a zhromaždil súkromné informácie, možno s keyloggerom, ktorý inštalujú.
Triky sociálneho inžinierstva sú odlišné, pretože obsahujú namiesto toho psychickú manipuláciu. Inými slovami, využívajú ľudí, nie softvér.
Pravdepodobne už ste počuli o phishingu, čo je forma sociálneho inžinierstva. Môžete dostať e-mail s tvrdením, že pochádza od vašej banky, spoločnosti kreditnej karty alebo inej dôveryhodnej firmy. Môžu vás nasmerovať na falošnú webovú stránku maskovanú, aby vyzerala ako skutočná stránka, alebo vás požiada o prevzatie a inštaláciu škodlivého programu. Také sociálno-technické triky však nemusia obsahovať falošné webové stránky alebo škodlivý softvér. Phishingový e-mail vám môže jednoducho požiadať, aby ste poslali e-mailovú odpoveď so súkromnými informáciami. Namiesto toho, aby sa snažili zneužiť chybu v softvéri, pokúšajú sa využívať normálne ľudské interakcie. Spear phishing môže byť ešte nebezpečnejší, pretože je to forma phishingu určená na zacielenie na konkrétnych jednotlivcov.
Príklady sociálneho inžinierstva
Jeden populárny trik v chatových službách a online hrách je zaregistrovať účet s menom ako "Administrator" a posielať ľuďom desivé správy ako "UPOZORNENIE: Zistili sme, že niekto môže hackovať váš účet, odpovedať svojimHeslo na overenie totožnosti sami. "Ak cieľ odpovedá heslom, padol za trik a útočník má teraz heslo svojho účtu.
Ak má niekto na vás osobné informácie, mohli by ho použiť na získanie prístupu k vašim účtom. Napríklad informácie, ako je dátum narodenia, číslo sociálneho poistenia a číslo kreditnej karty, sa často používajú na identifikáciu vás. Ak niekto má tieto informácie, mohli by kontaktovať firmu a predstierať, že ste vy. Tento trik bol skvele využívaný útočníkom na získanie prístupu k Yahoo! Sarah PalinovejPoštový účet v roku 2008, odoslaním dostatok osobných údajov na prístup k účtu prostredníctvom formulára obnovenia hesla Yahoo! .Rovnaká metóda by sa dala použiť aj po telefóne, ak máte osobné informácie, ktoré podnik vyžaduje, aby vás overil.Útočník s určitými informáciami o cieli môže predstierať, že je on a získať prístup k viacerým veciam.
Sociálne inžinierstvo by sa mohlo použiť aj osobne.Útočník by mohol chodiť do podniku, informovať tajomníka, že je opravárom, novým zamestnancom alebo požiarnym inšpektorom v autoritatívnom a presvedčivom tóne, a potom sa potuluje chodbami a potenciálne ukradne dôverné údaje alebo chyby pri výkone podnikovej špionáže. Tento trik závisí od toho, ako sa útočník prezentuje ako niekoho, koho nie sú.Ak sekretárka, vrátnik alebo ktokoľvek iný je zodpovedný, nevyžaduje príliš veľa otázok alebo sa nezaoberá príliš úzko, trik bude úspešný.
Sociálno-inžinierske útoky sa dotýkajú množstva falošných webových stránok, podvodných e-mailov a hanebných chatových správ až po zosobnenie niekoho na telefóne alebo osobne. Tieto útoky prichádzajú v širokej škále foriem, ale všetci majú jednu spoločnú vec - závisia od psychologického triku. Sociálne inžinierstvo sa nazýva umenie psychologickej manipulácie. Je to jeden z hlavných spôsobov, ako "hackeri" vlastne "hackujú" účty online.
Ako sa vyhnúť sociálnemu inžinierstvu
Vedomosti o sociálnom inžinierstve vám môžu pomôcť s ním bojovať.Buďte podozriví z nevyžiadaných e-mailov, chatových správ a telefonických hovorov, ktoré vyžadujú súkromné informácie. Nikdy nezverejňujte prostredníctvom e-mailu finančné informácie ani dôležité osobné informácie. Neťahajte potenciálne nebezpečné prílohy e-mailov a spustite ich, aj keď e-mail prehlási, že sú dôležité.
Nesmiete tiež sledovať odkazy v e-maile na citlivé webové stránky. Napríklad nekliknite na odkaz v e-maile, ktorý sa zdá byť z vašej banky a prihláste sa. Môže sa dostať do falošného phishingového webu, ktorý je skrytý tak, aby vyzeral ako stránka vašej banky, ale s jemne odlišnou adresou URL.Navštívte webovú stránku priamo.
Ak dostanete podozrivú požiadavku - napríklad telefonický hovor od vašej banky vyžaduje osobné informácie - kontaktujte priamo zdroj žiadosti a požiadajte o potvrdenie. V tomto príklade by ste volať svoju banku a opýtajte sa, čo chcú, skôr ako zverejniť informácie na niekoho, kto tvrdí, že je vašou bankou.
Programy na odosielanie e-mailov, webové prehliadače a bezpečnostné balíky obsahujú vo všeobecnosti filtre neoprávnene získavajúce informácie( phishing), ktoré vás varujú pri návšteve známeho phishingového webu. Jediné, čo môžu urobiť, je upozorniť vás na návštevu známeho phishingového webu alebo na získanie známeho phishingového e-mailu a nevie o všetkých phishingových stránkach alebo e-mailech. Z väčšej časti je na vás, aby ste sa chránili - bezpečnostné programy môžu pomôcť len trochu.
Je to dobrý nápad uplatniť zdravé podozrenie pri riešení žiadostí o súkromné údaje a čokoľvek iného, čo by mohlo byť útokom sociálneho inžinierstva. Podozrenie a opatrnosť vám pomôžu ochrániť vás, on-line, aj offline.
Image Credit: Jeff Turnet na Flickr