Ce este ingineria socială? [Explică-i pe MakeUseOf]

Puteți instala cea mai puternică și cea mai scumpă firewall a industriei Cum funcționează un firewall? [Explicarea MakeUseOf] Cum funcționează un firewall? [MakeUseOf explică] Există trei bucăți de software care, în opinia mea, fac ca coloana vertebrală a unei configurații de securitate decentă pe PC-ul dvs. de acasă. Acestea sunt antivirusul, paravanul de protecție și managerul de parole. Dintre acestea, ... Citește mai mult. Aveți posibilitatea să educați angajații despre procedurile de securitate de bază și importanța alegerii parolelor puternice Cum să creați parole puternice pe care le puteți memora cu ușurință Cum să creați parole puternice pe care le puteți aminti cu ușurință Citiți mai mult. Puteți chiar să blocați camera serverului - dar cum protejați o companie de amenințarea atacurilor de inginerie socială?

Din perspectiva ingineriei sociale, angajații sunt link-ul slab în lanțul de măsuri de securitate Obțineți un makeover de securitate pentru site-ul dvs. WordPress cu WebsiteDefender Obțineți un makeover de securitate pentru site-ul dvs. WordPress cu WebsiteDefender Cu popularitatea Wordpress tot mai mare, problemele de securitate nu au fost niciodată mai relevante - dar în afară de simpla păstrare actualizată, cum poate un utilizator începător sau mediu să rămână pe lângă lucruri? V-ați ... Citește mai mult. Oamenii nu sunt doar susceptibili la eroarea umană de bază, ci și la atacurile direcționate din partea persoanelor care speră să le convingă să renunțe la informații sensibile. Astăzi vom explora câteva dintre tehnicile sociale folosite pentru a înșela și a înșelăci.

Bazele ingineriei sociale

Ingineria socială este actul de manipulare a unei persoane în obținerea accesului sau a unor date sensibile prin predarea psihologiei umane de bază. Diferența dintre atacurile de inginerie socială și, de exemplu, un hacker care încearcă să obțină acces la un site web este alegerea instrumentelor utilizate. Un hacker ar putea să caute o slăbiciune în software-ul de securitate sau o vulnerabilitate pe server, în timp ce un inginer social va folosi tehnici sociale, constrângerea victimei în a da liber informații sau acces.

Aceste tactici nu sunt nimic nou și au existat atâta timp cât oamenii au hotărât că înșelarea reciprocă este o modalitate acceptabilă de a-și face viața. Acum, când societatea a evoluat să se bazeze pe natura imediată a internetului și a informațiilor la cerere, mai mulți oameni decât oricând sunt expuși atacurilor de inginerie socială pe scară largă.

O mare parte din timp atacatorul nu va veni în fața victimei sale, în loc să se bazeze pe e-mail, apeluri telefonice și apeluri telefonice pentru a efectua atacul. Există o varietate de tehnici care sunt considerate a fi atacuri de inginerie socială, deci să le aruncăm o privire mai detaliată.

Tehnici de inginerie socială Explainate

Phishingul

Una dintre cele mai cunoscute tehnici datorită conștientizării ridicate de furnizorii de e-mail cum ar fi Google și Yahoo, phishingul este un exemplu destul de fundamental și foarte folosit de inginerie socială.

Cel mai frecvent efectuat prin e-mail, această tehnică este un tip de fraudă care implică convingerea victimei că solicitați în mod legitim informații sensibile. Unul dintre cele mai frecvente tipuri de atacuri de tip phishing implică solicitarea victimelor “verifica” contul lor bancar sau informații PayPal Cum să vă păstrați contul Paypal în siguranță de la hackeri Cum să vă păstrați contul dvs. Paypal în siguranță de la hackeri Citiți mai multe pentru a evita suspendarea conturilor lor. Atacatorul sau phisherul va achiziționa adesea un domeniu care este proiectat să imite o resursă oficială, iar discrepanțele în adresa URL dau adesea jocul.

Filingerul online devine mai ușor de observat și raportează datorită tehnicilor de filtrare utilizate de furnizorii de servicii de e-mail. Este, de asemenea, o bună practică să nu divulgați niciodată informații sensibile sau financiare prin e-mail - nici o organizație legitimă nu vă va cere vreodată să faceți acest lucru - și să verificați dublu URL-urile pentru legitimitate înainte de a introduce acreditări importante.

Tehnici telefonice sau “Vishing”

Răspunsul interactiv vocal (IVR) sau vishing (phishing-ul de voce) implică utilizarea unor tehnici similare celor descrise mai sus printr-o interfață telefonică sau VoIP. Există o serie de tehnici de viking diferite și sunt:

• Apelați direct victima utilizând o aplicație automată “cardul dvs. de credit a fost furat” sau “este necesară o acțiune urgentă” înșelătorie, apoi cererea “verificarea securității” pentru a restabili accesul normal la cont.
• Trimiteți prin e-mail victimului, instruindu-i apoi să apeleze un număr de telefon și să verifice informațiile despre cont înainte de a acorda acces.
• Folosind tehnici de telefonie interactivă faux sau interacțiune directă umană pentru a extrage informații, de ex. “apăsați 1 pentru ... ” sau “introduceți numărul cărții de credit după bip”.
• Apelați victima, convingându-i de o amenințare la adresa securității pe computerul dvs. și instruindu-i să achiziționeze sau să instaleze software (adesea malware sau software de la distanță) pentru a rezolva problema.

Eu personal am fost la sfârșitul primei telefoane de software și, deși nu am căzut pentru nimic, nu m-aș fi surprins dacă cineva a făcut datorită tacticii speriate. Întâlnirea mea a implicat a “Microsoft angajat” și niște viruși care nu există. Puteți citi totul despre el aici Cold Calling Tehnicieni de calculator: Nu cădea pentru o înșelătorie ca aceasta [Alertă înșelătorie!] Tehnicieni de calculator Cold Calling: Nu cădea pentru o înșelătorie ca aceasta [Alertă înșelătorie!] Probabil ați auzit termenul "nu înșelăci un scammer", dar am fost mereu iubit de "nu înșelăci un scriitor tech" eu însumi. Nu spun că suntem infailibili, dar dacă înșelătoria implică Internetul, un Windows ... Citește mai mult .

baiting

Această tehnică particulară se bazează pe una dintre cele mai mari slăbiciuni ale omenirii - curiozitatea. Dacă părăsiți în mod deliberat medii fizice - fie o dischetă (puțin probabil în aceste zile), un suport optic sau (cel mai adesea) un stick USB undeva, este probabil să fie descoperit, escrocul pur și simplu stă înapoi și așteaptă până când cineva folosește dispozitivul.

Multe PC-uri “Autorun” Dispozitivele USB, astfel încât atunci când malware-ul, cum ar fi troieni sau keylogger-urile sunt incluse pe USB, atunci este posibil ca o mașină să se infecteze fără ca victima să-și dea seama. Escrocii adesea îmbracă astfel de dispozitive cu logo-uri oficiale sau etichete care ar putea trezi interesul pentru potențialele victime.

pretexting

Această tehnică implică convingerea victimei de a renunța la informații utilizând un scenariu inventat. Scenariul este, de obicei, derivat din informațiile culese despre victimă pentru a le convinge că scammerul este de fapt o figură oficială sau oficială.

În funcție de ce informații se află după scammer, pretextul poate implica informații personale de bază, cum ar fi adresa de domiciliu sau data nașterii, la informații mai specifice, cum ar fi sumele tranzacției pe un cont bancar sau taxele pe factură.

tailgating

Una dintre puținele tehnici enumerate aici, care implică faptul că escrocherul este implicat fizic în atac, înconjurătoare descrie practica obținerii accesului într-o zonă restrânsă fără autorizație urmând un alt angajat (legitim) în zonă. Pentru mulți escroci, acest lucru elimină nevoia de a obține carduri de acces sau chei și prezintă o potențială încălcare gravă a securității pentru compania implicată.

Această tactică particulară se bazează pe o curtoazie comună, cum ar fi actul de a ține o ușă pentru cineva și a devenit o problemă pe care multe locuri de muncă au luat-o pentru a rezolva problema cu anunțuri la intrare, cum ar fi anunțul utilizat de Apple în imaginea de mai sus.

Alte tehnici

Există câteva alte tehnici asociate cu ingineria socială, cum ar fi ceva pentru ceva “o favoare pentru alta” tehnica folosită frecvent împotriva lucrătorilor de birou. Quid pro quo implică un atacator care prezintă, de exemplu, un angajat de asistență tehnică care returnează un apel. Atacatorul păstrează “suna inapoi” până când el sau ea găsește pe cineva care are nevoie reală de sprijin, o oferă, dar în același timp extrage alte informații sau indică victima descărcărilor de software dăunătoare.

O altă tehnică de inginerie socială este cunoscută sub numele de “deturnarea furtului” și nu este într-adevăr asociat cu calculatoarele, Internetul sau phishing-ul telefonului. În schimb, este o tehnică obișnuită folosită pentru a-și convoca curierii legitimi în a crede că o livrare urmează să fie primită în altă parte.

Concluzie

Dacă bănuiți că o persoană încearcă să vă bată cu o înșelătorie de inginerie socială, atunci ar trebui să anunțați autoritățile și (dacă este cazul) angajatorul dumneavoastră. Tehnicile nu se limitează la ceea ce sa menționat în acest articol - noile escrocherii și trucuri sunt concepute tot timpul - deci stați în gardă, puneți-vă întrebarea totul și nu cădem victimă unui fraudăr.

Cea mai bună apărare împotriva acestor atacuri este cunoașterea - informează-ți prietenii și familia că oamenii pot și vor folosi aceste tactici împotriva ta.

Ai avut vreo alergare cu inginerii sociali? Compania dvs. a educat forța de muncă despre pericolele ingineriei sociale? Adăugați-vă gândurile și întrebările în comentariile de mai jos.

Credite de imagine: Wolf în îmbrăcămintea de oaie (Shutterstock), simbolul NetQoS USB stick (Michael Coté), Shredder de hârtie (Sh4rp_i)

Explorați mai multe despre: Phishing, escrocherii.