Шта је социјални инжењеринг? | Напади | Превенција


Проводећи пола свог живота радећи као новинар кибернетичке сигурности, социјални инжењеринг је био суштина мог рада. Сада схватам! Сви се сигурно питате „социјални инжењеринг и цибер-сигурност? То је звучало као подршка социјалном раду! Какве то везе има са сајбер криминалом? “

Да, икад сте имали напад злонамерног софтвера кликом на прикривене скочне прозоре док сурфујете интернетом? Да, то је социјални инжењеринг! Није баш велика потпора, да?

Пре него што наставим са било чиме, дозволите ми да објасним шта је социјални инжењеринг.

Шта је социјални инжењеринг?

Социјални инжењеринг је познат као вештина психолошког манипулирања неким да би се одрекао својих приватних информација. Социјални инжењер ради на искориштавању темељне људске природе и играјући се на инстинкте жртве.

То је најпопуларнија метода хаковања међу криминалцима, јер је далеко лакше манипулирати нечијим слабостима, него упадати у софтверски систем.

Како би социјални инжењер могао да делује на вас?

С тим што је утврђено да социјални инжењеринг делује играјући се са човековим општим инстинктима, храна за размишљање овде је како социјални инжењер може да организује напад?

Сећате се чувеног филма „убод“? Онај двоје људи (мушкарци из поверења) раде на начине да преваре вишемилионског мафијаша (Марк)?

Њих двоје оркестрирају разрађену схему где користе опште информације које су знали о мафијашу. Они су даље користили те информације да би стекли његово поверење кроз разне промене.

Филмови се играју Марку који верује двојици преваранта, а двојица преваранта на крају преварају га.

Слично томе, како је приказано у филму, управо тако социјални инжењер развија неку тактику за организовање напада. Први и најважнији посао је истраживање и прикупљање информација о циљу.

Како су ови напади обично усмерени на корпорације великих размера, тако да планирање почиње истраживањем структуре запосленика компаније, унутрашњих послова, рада компаније, пословних партнера, акционара и неких других информација.

Други начин на који социјални инжењер може да се инфилтрира у компанију је проучавањем и посматрањем запослених на нивоу земље, као што су заштитари или рецепционисти..

Хакери их такође могу потражити на друштвеним мрежама и добити све њихове личне податке, као и проучити њихово понашање на мрежи и лично.

Те информације се затим користе за откривање недостатака и рањивости које се могу користити за извршавање напада.

Ови напади се могу користити за проналажење података са дебитне картице, детаља о банковном рачуну и других осетљивих информација или се могу користити за приступ безбедним системима и мрежама.

6 Лица напада социјалног инжењеринга

Напад социјалног инжењеринга дешава се на различите начине и може се догодити где год постоји људска интеракција. Овде сам споменуо шест врста напада социјалног инжењеринга да бих вам олакшао идентификацију могућих напада:

1. Пхисхинг

Лажно представљање је најчешће коришћени метод и намењено је великој циљној публици. То укључује слање е-поште са лажном или прилично легитимном адресом е-поште. Такође може да садржи оно што изгледа као веродостојан податак о компанији.

Е-адреса може садржавати везу, документ или датотеке са штетним софтвером који инфицира уређај чим корисник кликне на њих. Пхисхинг напади користе се за добијање осетљивих информација корисника, као што су информације о кредитној картици, корисничка имена, лозинке, подаци о банковном рачуну итд..

2. Спеар пхисхинг

Ова техника укључује циљање на одређену особу или предузеће. Хацктивист затим црта е-пошту према карактеристикама, описима послова и контактима жртве тако да напад изгледа претенциозно.

Лажно представљање је релативно техничко и захтева пуно рада од особе која мора да се повуче из напада. Понекад могу проћи недеља или месеци да се темељно прођу са тим. Ови напади, ако се вешто изводе, тешко је открити и често су успешни.

Један пример лажног представљања може бити хакер који се представља као генерални директор компаније. Могао би да направи е-пошту како би изгледало као е-пошта од генералног директора, и послао је шефу одељења за финансије захтевајући пребацивање новца у лажни рачун.

Е-пошта је пажљиво креирана како би изгледала оригинално, што захтева много времена као и напоран рад.

3. Висхинг

Ово је вокална верзија пхисхинга. Рад овде није нужно на мрежи и одвија се путем говорне е-поште, ВоИП-а (Воице овер ИП) или фиксног или мобилног телефона.

Сврха је овде иста док постоји разлика у методама. Као и крађа идентитета, користи се за извлачење осетљивих информација жртве.

Жива сценарија може се наставити када жртва прими гласовну поруку, под условом да се сумњиве активности одвијају на рачуну кредитне картице, банковном рачуну итд..

Жртви је речено да позове одређени број на коме ће бити затражено да да више информација у име „провере идентитета“ или „да се постара да се превара није догодила“.

Жеља је посебно неприметна и често се врши на страним бројевима, што полицију чини немоћном.

4. Предтекст

За спровођење ове методе користи се низ пажљиво израђених лажи. Од нападача се лаже жртва ради добијања личних података.

Предговор започиње стицањем поверења жртве тако што делује као сарадник, банкарски службеник, полицајац или било ко од ауторитета на које се особа може ослонити.

Чини се битна питања која су потребна да би се потврдио идентитет особе, што доводи до тога да жртва даје већину кључних података.

Преко ове преваре нападач успева да прикупи све врсте релевантних података као што су број социјалног осигурања, подаци о банковном рачуну, личне адресе, подаци о безбедности итд..

5. Млечење

Јесте ли икад отишли ​​на риболов? Да, док уловите рибу, бацате је узицом црвом, а затим чекате да риба дође. Управо је то мамац.

Слично је и у сајбер свету мамца, као што име имплицира, користећи лажна обећања да би привукла нечији интерес. Једном када злочинац успе да ухвати њихове интересе, наставља да их намамљује и хвата их на мрежи који краде њихове личне податке или их зарази малверима.

Обично криминалци користе физички медиј за ширење злонамјерног софтвера. Ово је најокрутнији облик мамца. УСБ или флеш уређај заражен малвареом је остављен на видљивом месту где жртва мора наићи на њега.

То може бити у купатилу, лифту, паркиралишту компаније жртве, итд. Инжењер израђује мамац да изгледа допадљиво и аутентично јер му је главна функција привлачење жртве.

Могла би имати етикету са списком запослених који треба да добију унапређење или листе за плаће компаније итд. Жртва из радозналости хвата мамац и убацује га у рачунар. Једном када жртва уђе у флеш диск или УСБ, започела је са преузимањем и инсталирањем злонамјерног софтвера и на тај начин напад мамца је успешан.

Други начин на који се мамац појављује је онлајн метода. То укључује жртву која кликне на атрактивне рекламе или искачуће везе које доводе до заразе злонамерним софтвером или крађе информација.

6. Сцареваре

Метода застрашивања поново укључује лажи. Жртва непрестано добија пријаве лажних аларма и фалсификованих претњи. Ово га вара у размишљању да рачунар има злонамерни софтвер или је преузео нелегални садржај.

Хакер затим жртви пружа решење које би нехотице решило лажно питање. Међутим, ово „решење“ које се нуди жртви је у ствари злонамерни софтвер који корисник инсталира.

Напади застрашивања обично су у облику скочних прозора који често можете наћи на мрежи са застрашујућим текстовима као што је „ваш уређај може бити заражен.“ Ови скочни прозори нуде да преузму алат који је у ствари злонамерни софтвер пуштен да зарази ваш уређај.

Алат такође може бити бескорисна апликација, а корисник добија само упите тако да га преузме и добије прилику да украде његове податке.

Осим скочних веза, застрашујуће софтвере се такође шири и око коришћења нежељене е-поште која садржи лажна упозорења или позива кориснике да купују бескорисне или штетне услуге.

5 начина за спречавање социјалног инжењеринга

Напади социјалног инжењеринга данас су распрострањени, па је због тога помало важно покушати се сачувати од њих. Узео сам слободу да саставим списак начина који вам могу помоћи да останете сигурни од напада социјалног инжењеринга:

Користите ажурирани антивирус / анти-малваре

Противвирусни и анти-малваре софтвер помажу у заштити вашег уређаја. Међутим, посебно је важно да редовно ажурирате свој антивирусни и анти-малваре софтвер.

Ако корисник редовно ажурира софтвер, пружа бољу заштиту. Такође бисте периодично требало да скенирате уређај да бисте остали још заштићенији.

Не отварајте е-пошту од непознатих извора

Најчешћа врата напада на социјални инжењеринг су е-поруке. Боље је бити будан и избјегавати е-пошту или прилоге неоткривених ресурса.

Превара путем е-поште је врло честа. Због тога је боље не одговарати на непознате поруке е-поште или отварати прилоге који су им послани. Боље је прећи да проверите поруку примљену од скривених ресурса.

Надаље, боље је бити на опрезу и не отварати прилоге који вам изгледају сумњиво јер могу садржавати малваре или вирус.

Останите едуковани и едуковани

Живимо у свету који се брзо креће, који се непрекидно креће напред. Уз напредак у свакој области, методе хаковања такође добијају честа ажурирања. Имајући то у виду, боље је бити у току са промоцијама.

Поред тога, како напади социјалног инжењеринга могу да циљају и компаније, боље је да едукујете своје особље. То може омогућити особљу да будно пази и ваша компанија остаје заштићена.

Водите рачуна о својој приватности

Будите пажљиви пре него што одговорите на захтеве за лозинком или другим личним подацима. Боље је да претражите извор пре него што одговорите.

Извори који траже лозинку или друге личне податке често су преваре. Стога је боље да се клоните од њих или да други одговор провјерите прије него што одговорите.

Будите опрезни понуда за помоћ

Социјални инжењери често могу представљати особу за техничку подршку како би извршили напад на ваш уређај са злонамерним софтвером или украли ваше личне податке. Понекад могу затражити вашу помоћ ради информација или понудити помоћ.

Ако нисте затражили помоћ, боље је да не одговарате на такве захтеве. Такође је сигурно дупло проверити из поузданог извора. Урадите своје истраживање пре него што пошаљете било какве личне податке.

Сада сам свестан?

Сада када сте добили просветљујуће информације о саветима за превенцију, боље је кренути даље од ових напада. Сада бисте могли почети радећи на саветима за превенцију да останете што сигурнији! Приватност је посебно битна у овом раду, и требали бисте радити на томе како је заштитити.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me