Čo je sociálne inžinierstvo? | Útoky prevencia


Keďže som polovicu svojho života strávil prácou novinára v oblasti kybernetickej bezpečnosti, bolo jadrom mojej práce sociálne inžinierstvo. Teraz to chápem! Všetci sa musíte čudovať „sociálnemu inžinierstvu a počítačovej bezpečnosti? To znelo ako vec na podporu sociálnej práce! Čo to musí byť s počítačovým zločinom? “

Áno, niekedy ste mali malware útok kliknutím na záludné pop-up okná pri surfovaní online? Áno, to je to, čo je sociálne inžinierstvo! Nie moc podpornej veci, áno?

Než začnem s čímkoľvek, dovoľte mi vysvetliť, čo je sociálne inžinierstvo.

Čo je sociálne inžinierstvo?

Sociálne inžinierstvo je známe ako umenie psychologicky manipulovať s niekým, aby sa vzdal svojich súkromných informácií. Sociálny inžinier pracuje na využívaní základnej ľudskej povahy a hrá na inštinkty obete.

Je to najobľúbenejšia metóda hackovania medzi zločincami, pretože je oveľa ľahšie manipulovať so slabými stránkami, ako sa dostať do softvérového systému..

Ako na vás môže pôsobiť sociálny inžinier?

S týmto zistením, že sociálne inžinierstvo funguje hraním so všeobecnými inštinktmi človeka, je tu jedlo na zamyslenie, ako môže sociálny inžinier viesť útok?

Pamätáte si na slávny film „žihadlo“? Jeden z dvoch podvodníkov (muži v sebavedomí), ktorí pracujú na spôsoboch podvodov s milionárom (Mark)?

Obaja organizujú prepracovanú schému, v ktorej využívajú všeobecné informácie, ktoré vedeli o gangsterovi. Tieto informácie ďalej použili na získanie dôvery prostredníctvom rôznych mravov.

Filmy sa odohrávajú k Markovi, ktorý dôveruje dvom podvodníkom, a títo dvaja podvodníci ho nakoniec vyhodia.

Podobne, ako je to znázornené vo filme, takto presne pracuje sociálny inžinier pomocou určitej taktiky pri organizovaní útoku. Prvou potrebnou prácou je výskum a zhromažďovanie informácií o cieli.

Keďže tieto útoky sú zvyčajne zamerané na veľké korporácie, plánovanie začína výskumom štruktúry zamestnancov spoločnosti, vnútorných záležitostí, fungovania spoločnosti, obchodných partnerov, akcionárov a ďalších informácií..

Iným spôsobom, ako môže sociálny inžinier infiltrovať spoločnosť, je štúdium a pozorovanie jej pozemných zamestnancov, ako sú strážcovia alebo recepční..

Hackeri ich tiež môžu vyhľadať na sociálnych médiách a získať všetky svoje osobné informácie, ako aj študovať svoje správanie online a osobne.

Tieto informácie sa potom používajú na zistenie nedostatkov a zraniteľností, ktoré sa môžu použiť na vykonanie útoku.

Tieto útoky sa môžu použiť na zisťovanie informácií o debetných kartách, informácií o bankovom účte a ďalších citlivých informácií alebo sa môžu použiť na získanie prístupu k zabezpečeným systémom a sieťam.

6 tvárí útoku sociálneho inžinierstva

K útoku na sociálne inžinierstvo dochádza rôznymi spôsobmi a môže sa vyskytnúť všade, kde dochádza k ľudskej interakcii. Tu som spomenul šesť typov útokov v oblasti sociálneho inžinierstva, ktoré vám uľahčia identifikáciu možných útokov:

1. Phishing

Phishing je najčastejšie používanou metódou a je určený pre veľké cieľové publikum. Zahŕňa to zasielanie e-mailov s falošnou alebo pomerne legitímnou e-mailovou adresou. Môže tiež obsahovať informácie, ktoré vyzerajú ako autentické informácie o spoločnosti.

E-mail môže obsahovať odkaz, dokument alebo súbory so škodlivým softvérom, ktoré infikujú zariadenie, len čo naň používateľ klikne. Útoky typu phishing sa používajú na získanie citlivých informácií o používateľovi, ako sú informácie o kreditných kartách, používateľské mená, heslá, podrobnosti o bankovom účte atď..

2. Spear Phishing

Táto technika zahŕňa zacielenie na konkrétnu osobu alebo podnik. Hacker potom e-maily vypracuje podľa charakteristík, popisu práce a kontaktov obete, aby sa útok zdal nepríjemný..

Spear phishing je relatívne technický a vyžaduje si veľa práce od osoby, ktorá potrebuje stiahnuť tento útok. Niekedy to môže trvať celé týždne alebo mesiace, kým sa s ním dôkladne prejde. Tieto útoky, ak sú vedené obratne, je ťažké odhaliť a sú často úspešné.

Jedným z príkladov podvodného phishingu môže byť hacker, ktorý vystupuje ako generálny riaditeľ spoločnosti. Mohol by si vymyslieť e-mail, aby sa javil ako e-mail od generálneho riaditeľa a poslal ho vedúcemu finančného oddelenia a požadoval prevod niektorých peňazí na falošný účet..

E-mail je starostlivo vytvorený tak, aby vyzeral ako originálny, čo si vyžaduje veľa času a náročnú prácu.

3. Vishing

Toto je hlasová verzia phishingu. Práca tu nemusí byť nevyhnutne online a prebieha prostredníctvom hlasových e-mailov, VoIP (Voice over IP) alebo pevnej linky alebo mobilného telefónu.

Účel je rovnaký, zatiaľ čo v metódach je rozdiel. Rovnako ako phishing sa používa na získavanie citlivých informácií obete.

Môže sa stať, že obeť dostane hlasovú správu a uvedie, že na účte kreditnej karty, bankového účtu atď. Došlo k podozrivej činnosti..

Obete je povedané, aby zavolala na konkrétne číslo, na ktoré je vyzvaná, aby poskytla viac informácií v mene „overenia totožnosti“ alebo „uistite sa, že k podvodom nedošlo“.

Vishing je obzvlášť nevysledovateľný a často sa vykonáva na cudzích číslach, čím sa vynútenie práva stáva bezmocným.

4. Pretexovanie

Na uskutočnenie tejto metódy sa používa rad starostlivo vytvorených lží. Útočník je vyzvaný, aby získal osobné informácie.

Pretexter sa začína získaním dôvery obete tým, že koná ako spolupracovník, úradník banky, policajný dôstojník alebo iný orgán, na ktorý sa môže osoba spoľahnúť.

Kladú sa zdanlivo dôležité otázky, ktoré sú potrebné na potvrdenie totožnosti osoby, čo vedie k tomu, že obeť odovzdá väčšinu dôležitých údajov..

Prostredníctvom tohto podvodu sa útočníkovi podarí získať všetky druhy relevantných informácií, ako sú číslo sociálneho zabezpečenia, podrobnosti o bankovom účte, osobné adresy, podrobnosti o bezpečnosti atď..

5. Návnada

Už ste niekedy lovili? Áno, keď chytáte rybu, hodíte ju do šnúry červom a potom čakáte, až príde ryba. To je presne to, čo je návnada.

Podobne v kybernetickom svete návnady, ako už názov napovedá, používa falošné sľuby na zaujatie záujmu človeka. Keď zločinec dokáže uchytiť svoje záujmy, pritiahne ich a chytí ich na web, ktorý kradne ich osobné údaje alebo infikuje ich škodlivým softvérom..

Zločinci zvyčajne používajú fyzické médiá na posypávanie škodlivého softvéru. Toto je najhrubšia forma návnady. Disk USB alebo flash disk napadnutý škodlivým softvérom je ponechaný na nápadnom mieste, kde ho obeť musí naraziť..

Môže to byť v kúpeľni, výťahu, na parkovisku obete atď. Inžinier remeselne návnady vyzerá chytľavo a autenticky, pretože jej hlavnou funkciou je prilákať obeť..

Mohlo by to mať štítok predstavujúci zoznam zamestnancov, ktorí majú dostať povýšenie alebo zoznam miezd spoločnosti atď. Obeť zo zvedavosti chytí návnadu a vloží ju do počítača. Akonáhle obeť vstúpi na disk Flash alebo USB, začala sťahovať a inštalovať malware a týmto spôsobom bol útok na návnadu úspešný.

Ďalším spôsobom, ako sa vyskytne návnada, je metóda online. To znamená, že obeť klikne na chytľavé reklamy alebo vyskakovacie odkazy, ktoré vedú k infikovaniu malvéru alebo krádeži informácií.

6. Scareware

Scareware metóda opäť zahŕňa klamstvá. Obeť dostáva neustále výzvy na falošné poplachy a falšované hrozby. To ho podvedie k názoru, že počítač má škodlivý softvér alebo má stiahnutý nelegálny obsah.

Hacker potom poskytne obeti riešenie, ktoré by neúmyselne vyriešilo falošný problém. Toto „riešenie“ ponúknuté obeti je však v skutočnosti malware, ktorý používateľ inštaluje.

Útoky Scareware sú zvyčajne vo forme automaticky otváraných okien, ktoré často nájdete online s strašidelnými textami, ako napríklad „vaše zariadenie môže byť napadnuté“. Tieto kontextové okná pokračujú v ponuke na stiahnutie nástroja, ktorým je v skutočnosti malware vydaný na infikovanie vášho zariadenia.

Tento nástroj môže byť tiež zbytočnou aplikáciou a používateľ dostane iba svoje výzvy, aby si ho stiahol a získal príležitosť ukradnúť jeho údaje..

Okrem vyskakovacích odkazov sa Scareware šíri aj o používaní spamových e-mailov, ktoré prichádzajú s falošnými varovaniami alebo vyzývajú používateľov, aby si kúpili zbytočné alebo škodlivé služby..

5 spôsobov, ako zabrániť sociálnemu inžinierstvu

Útoky v oblasti sociálneho inžinierstva sú v súčasnosti rozšírené, a preto je veľmi dôležité, aby ste sa pred nimi zachovali. Využil som slobodu zostaviť zoznam spôsobov, ktoré vám môžu pomôcť udržať sa pred útokmi v oblasti sociálneho inžinierstva:

Používajte aktualizovaný antivírus / anti-malware

Antivírusový softvér a softvér proti malvéru pomáhajú chrániť vaše zariadenie. Je však mimoriadne dôležité, aby ste pravidelne aktualizovali antivírusový softvér a softvér proti škodlivým softvérom.

Ak používateľ pravidelne aktualizuje softvér, poskytuje lepšiu ochranu. Mali by ste tiež pravidelne skenovať svoje zariadenie, aby ste boli ešte viac chránení.

Neotvárajte e-maily z neznámych zdrojov

Najčastejšou bránou k útokom na sociálne inžinierstvo sú e-maily. Je lepšie byť ostražití a vyhýbať sa e-mailom alebo prílohám z neobjavených zdrojov.

Falošné e-maily sú veľmi časté. Preto je lepšie nereagovať na neznáme e-maily ani otvárať prílohy, ktoré z nich boli odoslané. Je lepšie skontrolovať správu prijatú zo skrytých zdrojov.

Ďalej je lepšie zostať v strehu a neotvárať žiadne prílohy, ktoré by pre vás vyzerali podozrivo, pretože môžu obsahovať malware alebo vírusy.

Zostaňte vzdelaní a vzdelávaní

Žijeme v rýchlo sa rozvíjajúcom svete, ktorý neustále napreduje. S pokrokom vo všetkých oblastiach dochádza k častým aktualizáciám metód hackovania. S ohľadom na to je lepšie zostať informovaní o propagačných akciách.

Navyše, keďže útoky sociálneho inžinierstva sa môžu týkať aj spoločností, je lepšie vzdelávať svojich zamestnancov. To môže personálu umožniť, aby zostal ostražitý a vaša spoločnosť zostala chránená.

Postarajte sa o svoje súkromie

Pred odpovedaním na žiadosti o heslá alebo iné osobné informácie buďte opatrní. Pred odpoveďou je lepšie znova vyhľadať zdroj.

Zdroje požadujúce heslá alebo iné osobné informácie sú často podvodné. Preto je lepšie sa od nich vyhýbať alebo skontrolovať zdroje skôr, ako odpoviete.

Dávajte pozor na ponuky o pomoc

Sociálni inžinieri môžu často predstavovať osobnosti technickej podpory, ktoré napadnú vaše zariadenie škodlivým softvérom alebo odcudzia vaše osobné informácie. Niekedy môžu požiadať o pomoc informácie alebo ponúknuť pomoc.

Ak ste nepožiadali o pomoc, je lepšie na tieto žiadosti neodpovedať. Je tiež bezpečné dvojnásobnú kontrolu z dôveryhodného zdroja. Vykonajte prieskum pred odoslaním akýchkoľvek osobných údajov.

Teraz dobre vedomí?

Teraz, keď ste dostali poučné informácie o preventívnych tipoch, je lepšie vyhnúť sa týmto útokom. Teraz môžete začať pracovať na preventívnych tipoch, aby ste zostali čo najbezpečnejší! Ochrana osobných údajov je v tejto práci mimoriadne dôležitá a mali by ste pracovať na jej ochrane.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map