14Sep
zlonamerna programska oprema ni edina grožnja, ki jo je treba skrbeti. Socialni inženiring je ogromna grožnja in vas lahko prizadeva za kateri koli operacijski sistem. Dejansko se lahko socialni inženiring pojavi tudi po telefonu in v situacijah iz oči v oči.
Pomembno je, da se zavedate socialnega inženiringa in se zavedate. Varnostni programi vas ne bodo zaščitili pred večino groženj socialnega inženiringa, zato se morate zaščititi sami.
Družbeno inženirstvo Explained
Tradicionalni računalniški napadi so pogosto odvisni od iskanja ranljivosti v računalniški kodi.Če na primer uporabljate zastarelo različico programa Adobe Flash - ali, bog zabojev, Java, ki je bila v skladu s Ciscoom povzročila 91% napadov v letu 2013 - lahko obiščete zlonamerno spletno mesto in to spletno mestobi izkoristili ranljivost v vaši programski opremi za dostop do vašega računalnika. Napadalec manipulira z napakami v programski opremi, da pridobi dostop in zbira zasebne podatke, morda s ključavnico, ki jo namestijo.
Triki socialnega inženirstva so drugačni, ker vključujejo psihološke manipulacije namesto tega. Z drugimi besedami, izkoriščajo ljudi, ne njihovo programsko opremo.
Verjetno ste že slišali za phishing, ki je oblika socialnega inženiringa. Morda boste prejeli e-poštno sporočilo, ki bi zahtevalo, da ste iz vaše banke, podjetja za kreditne kartice ali drugega zaupanja vrednega podjetja. Lahko vas usmerijo na lažno spletno stran, prikrito, da je videti kot prava ali vas prosimo, da prenesete in namestite zlonamerni program. Vendar taki socialno-tehnični triki ne smejo vključevati ponarejenih spletnih strani ali zlonamerne programske opreme. E-poštno sporočilo z lažnim predstavljanjem lahko preprosto od vas zahteva, da pošljete e-poštni odgovor z zasebnimi informacijami. Namesto da bi poskušali izkoristiti napake v programski opremi, poskusijo izkoristiti običajne človeške interakcije. Spear phishing je lahko še bolj nevaren, saj gre za obliko lažnega predstavljanja, namenjenega posameznim posameznikom.
Primeri socialnega inženirstva
Eden priljubljenih trikov v klepetnih storitvah in spletnih igrah je bil registrirati račun z imenom, kot je "Administrator", in poslati ljudem strašljiva sporočila, kot so "OPOZORILO: odkrili smo, da nekdo morda hakuje vaš račun, se odzove s svojimgeslo za samodejno preverjanje pristnosti. "Če se tarča odziva s svojim geslom, so padli na trik in napadalec zdaj ima geslo za račun.
Če ima nekdo osebne podatke o vas, ga lahko uporabijo za dostop do vaših računov. Na primer, informacije, kot je datum rojstva, številka socialnega zavarovanja in številka kreditne kartice, se pogosto uporabljajo za prepoznavanje vas.Če ima nekdo te podatke, se lahko obrnejo na podjetje in se pretvarjajo, da ste vi. Ta trik je bil zlorabljen s strani napadalca, da bi pridobil dostop do Sarah Palin's Yahoo! E-poštni račun v letu 2008, ki predloži dovolj osebnih podatkov za dostop do računa prek obrazca za obnovitev gesla za Yahoo! .Isto metodo lahko uporabite tudi prek telefona, če imate osebne podatke, ki jih podjetje potrebuje za overjanje. Napadalec z nekaj informacijami o cilju se lahko pretvarja, da so ti in pridobijo dostop do več stvari.
Socialni inženiring se lahko uporablja tudi osebno. Napadalec lahko vstopi v podjetje, obvesti sekretarja, da gre za popravilo, novega zaposlenega ali požarnega inšpektorja z verodostojnim in prepričljivim tonom, nato pa prehajajo dvorane in potencialno ukradejo zaupne podatke ali napake rastlin, da izvajajo vohunsko podjetje. Ta trik je odvisen od napadalca, ki se predstavlja kot nekdo, ki ga ne.Če sekretar, vratar ali kdo drug je odgovoren, ne postavlja preveč vprašanj ali preveč pozorno preuči, bo trik uspešen.
Napadi socialnega inženiringa segajo v vrsto lažnih spletnih strani, goljufivih e-poštnih sporočil in vsebinskih sporočil v klepetalnici vse do predstavitve nekoga na telefonu ali osebi. Ti napadi se pojavljajo v številnih oblikah, vendar imajo vsi skupno stvar - odvisni so od psihološke prevare. Socialni inženiring se imenuje umetnost psihološke manipulacije. To je eden od glavnih načinov, "hekerji" dejansko "hack" računov na spletu.
Kako se izogniti socialnemu inženirstvu
Poznavanje obstoječega socialnega inženiringa vam lahko pomaga pri bitki. Pozabite na neželena e-poštna sporočila, sporočila v klepetu in telefonske klice, ki zahtevajo zasebne informacije. Nikoli ne razkrivajte finančnih informacij ali pomembnih osebnih podatkov prek e-pošte. Ne prenašajte potencialno nevarnih prilog e-pošte in jih zagnajte, tudi če e-pošta trdi, da so pomembni.
Prav tako ne smete slediti povezavam v e-poštnem sporočilu na občutljiva spletna mesta. Na primer, ne kliknite na povezavo v e-poštnem sporočilu, ki se zdi, da je iz vaše banke, in se prijavite. Lahko vas pripelje na lažno spletno mesto z lažnim predstavljanjem, prikrito, da bo videti kot spletno mesto vašega banke, vendar s subtilno drugačnim URL-jem. Namesto tega obiščite spletno mesto.
Če prejmete sumljivo zahtevo - na primer telefonski klic vaše banke zahteva osebne podatke - neposredno obrnite izvor v zahtevo in prosite za potrditev. V tem primeru pokličete svojo banko in vprašajte, kaj želijo, ne pa razkrivajo informacije nekomu, ki trdi, da je vaša banka.
programi za e-pošto, spletni brskalniki in varnostni paketi imajo navadno filtre za lažno predstavljanje, ki vas bodo opozorili, ko boste obiskali znano spletno mesto za lažno predstavljanje. Vse, kar lahko storijo, vas opozori, ko obiščete znano spletno mesto za lažno predstavljanje ali prejmete znano phishing e-pošto in ne poznajo vseh lažnih spletnih mest ali e-poštnih sporočil. V večini primerov je odvisno od vas, da se zaščitite - varnostni programi lahko pomagajo le malo.
Dobra ideja je, da pri obravnavi zahtev za zasebne podatke in karkoli drugega, ki bi lahko bil socialni inženirski napad, izvajal zdrav sum. Sumljanje in previdnost vam bodo pomagali zaščititi vas, tako na spletu kot offline.
Image Credit: Jeff Turnet na Flickr