Hva er samfunnsteknikk? [MakeUseOf Forklarer]

Du kan installere bransjens sterkeste og dyreste brannmur. Hvordan fungerer en brannmur? [MakeUseOf Forklarer] Hvordan fungerer en brannmur? [MakeUseOf Forklarer] Det er tre stykker programvare som etter min mening gjør ryggraden til et anstendig sikkerhetsoppsett på din hjemme-PC. Dette er anti-virus, brannmur og passordbehandling. Av disse er ... Les mer. Du kan utdanne ansatte om grunnleggende sikkerhetsprosedyrer og viktigheten av å velge sterke passord. Slik oppretter du sterke passord som du kan huske enkelt. Slik oppretter du sterke passord som du kan huske enkelt å lese mer. Du kan til og med låse ned serverrommet - men hvordan beskytter du et selskap mot trusselen om sosialtekniske angrep?

Fra et sosialt teknisk perspektiv er ansatte den svake lenken i sikkerhetsforløpet. Få en sikkerhetsoverføring for ditt WordPress-nettsted med WebsiteDefender Få en sikkerhetsoverføring for ditt WordPress-nettsted med WebsiteDefender Med Wordpress-popularitet stadig økende, har sikkerhetsspørsmål aldri vært mer relevante - men annet enn å bare holde seg oppdatert, hvordan kan en nybegynner eller gjennomsnittlig bruker være på toppen av ting? Vil du selv ... Les mer på plass. Mennesker er ikke bare utsatt for grunnleggende menneskelig feil, men også målrettede angrep fra personer som håper å overbevise dem om å gi opp sensitiv informasjon. I dag skal vi undersøke noen av de sosiale teknikkene som brukes til å lure og bedra.

Grunnleggende om sosialteknikk

Sosialteknikk er handlingen med å manipulere en person til å få tilgang eller sensitive data ved å preying på grunnleggende menneskelig psykologi. Forskjellen mellom sosialtekniske angrep og for eksempel en hacker som forsøker å få tilgang til et nettsted, er valget av verktøy som brukes. En hacker kan se etter svakhet i sikkerhetsprogramvaren eller et sårbarhet på serveren mens en sosial ingeniør vil bruke sosiale teknikker, tvinge offeret til å gi bort informasjon eller tilgang.

Disse taktikkene er ikke noe nytt, og har eksistert så lenge folk bestemte seg for at deceiving hverandre var en akseptabel måte å leve på. Nå som samfunnet har utviklet seg til å stole på den umiddelbare arten av internett og on demand-informasjon, blir flere enn noensinne utsatt for sosialtekniske angrep på stor skala.

Mye av tiden vil angriperen ikke komme ansikt til ansikt med sitt offer, i stedet stole på e-post, chat og telefonsamtaler for å utføre angrepet. Det finnes en rekke teknikker som er allment ansett som sosialtekniske angrep, så la oss se nærmere på dem.

Sosialteknikk Teknikker Forklart

phishing

Langt en av de bedre kjente teknikkene, takket være bevisstheten som e-postleverandører som Google og Yahoo har opplevd, er phishing et ganske grunnleggende og meget mye brukt eksempel på sosialteknikk.

Vanligvis gjennomført via e-post, er denne teknikken en type svindel som innebærer å overbevise offeret om at du lovlig ber om sensitiv informasjon. En av de vanligste typene av phishing-angrep innebærer å be om ofre “bekrefte” deres bankkonto eller PayPal-informasjon Slik holder du din PayPal-konto trygg fra hackere Slik holder du din PayPal-konto trygg fra hackere Les mer for å unngå at kontoene dine blir suspendert. Angriperen, eller phisher, vil ofte kjøpe et domene som er utformet for å etterligne en offisiell ressurs, og uoverensstemmelser i nettadressen gir ofte spillet bort.

Nettbasert phishing blir enklere å se på og rapportere takket være filtreringsteknikker som brukes av e-postleverandører. Det er også god praksis å aldri formidle sensitiv eller finansiell informasjon via e-post - ingen legitim organisasjon vil noensinne be om at du gjør det - og å dobbeltsjekke nettadresser for legitimitet før du legger inn viktige legitimasjonsbeskrivelser.

Telefonteknikker eller “Vishing”

Interaktiv talespons (IVR) eller vishing (stemmefishing) innebærer å bruke lignende teknikker til de som er beskrevet ovenfor via en telefon eller et VoIP-grensesnitt. Det finnes en rekke forskjellige vishing teknikker, og de er:

• Direkte ringer offeret ved hjelp av en automatisert “Ditt kredittkort er blitt stjålet” eller “Haster handling er nødvendig” svindel, og deretter be om “sikkerhetsbekreftelse” for å gjenopprette normal tilgang til kontoen.
• Send e-post til offeret, instruere dem til å ringe et telefonnummer og bekrefte kontoinformasjon før du gir tilgang.
• Bruke faux interaktive telefonteknikker eller direkte menneskelig interaksjon for å trekke ut informasjon, f.eks. “trykk 1 for ... ” eller “skriv inn kredittkortnummeret ditt etter pipetonen”.
• Ringer offeret, overbeviser dem om en sikkerhetstrussel på datamaskinen og instruerer dem til å kjøpe eller installere programvare (ofte skadelig programvare eller ekstern desktop programvare) for å løse problemet.

Jeg har personlig vært på mottakssiden av programvaren telefonen svindel, og selv om jeg ikke falt for noe, ville jeg ikke bli overrasket om noen gjorde takk for skremme-taktikken ansatt. Mitt møte involvert en “Microsoft-ansatt” og noen virus som ikke eksisterte. Du kan lese alt om det her Cold Calling Computer Technicians: Ikke fall for en svindel som dette [Scam Alert!] Cold Calling Computer Technicians: Ikke fall for en svindel som dette [Scam Alert!] Du har sikkert hørt Begrepet "ikke svindle en svindler", men jeg har alltid vært glad i "ikke lure på en teknologisk forfatter" meg selv. Jeg sier ikke at vi er ufeilbare, men hvis din svindel involverer Internett, en Windows ... Les mer .

baiting

Denne spesielle teknikken preyser på en av menneskets største svakheter - nysgjerrighet. Ved bevisst å forlate fysiske medier - det være seg en diskett (usannsynlig i disse dager), optisk media eller (vanligvis) en USB-pinne et sted det er sannsynlig å bli oppdaget, setter svindleren rett og slett seg og venter til noen bruker enheten.

Mange PCer “autorun” USB-enheter, så når malware som trojanere eller keyloggers er buntet på USB, er det mulig at en maskin blir smittet uten at offeret selv innser det. Svindlere klær ofte opp slike enheter med offisielle logoer eller etiketter som kan vekke interesse for potensielle ofre.

pretexting

Denne teknikken innebærer overbevisning av offeret til å gi opp informasjon ved hjelp av et oppfunnet scenario. Scenariet er vanligvis avledet av informasjon samlet om offeret for å overbevise dem om at svindleren faktisk er en autoritativ eller offisiell figur.

Avhengig av hvilken informasjon svindleren er etter, kan påskuddet innebære grunnleggende personlig informasjon som en hjemmeadresse eller fødselsdato, til mer spesifikk informasjon som transaksjonsbeløp på en bankkonto eller kostnader på en regning.

tailgating

En av de få teknikkene som er oppført her, og som involverer svindleren, er fysisk involvert i angrepet, tailgating beskriver praksisen med å få tilgang til et begrenset område uten autorisasjon ved å følge en annen (legitim) medarbeider inn i området. For mange svindlere fjerner dette behovet for å skaffe tilgangskort eller nøkler og gir et potensielt alvorlig brudd på sikkerheten for det involverte selskapet.

Denne spesielle taktikken preyser på felles høflighet, for eksempel handlingen med å holde en dør for noen, og har blitt et slikt problem som mange arbeidsplasser har tatt for å takle problemet med meldinger på innganger, som varselet som Apple bruker på bildet over.

Andre teknikker

Det er noen andre teknikker knyttet til sosialteknikk, for eksempel noe for noe “quid pro quo” teknikk som ofte brukes mot kontorarbeidere. Quid pro quo innebærer at en angriper utgjør som for eksempel en teknisk støttetaker som returnerer en samtale. Angriperen holder “ringer tilbake” inntil han eller hun finner noen med ekte behov for støtte, tilbyr det, men samtidig trekker ut annen informasjon eller peker offeret mot skadelige nedlasting av programvare.

En annen sosial ingeniørteknikk er kjent som “avlednings tyveri” og er egentlig ikke knyttet til datamaskiner, Internett- eller telefonfishing. I stedet er det en vanlig teknikk som brukes til å overbevise legitime budgivere om å tro at en levering skal mottas andre steder.

Konklusjon

Hvis du mistenker at en person forsøker å dupe deg med en sosialteknisk svindel, bør du varsle myndighetene og (hvis aktuelt) din arbeidsgiver. Teknikker er ikke begrenset til det som er nevnt i denne artikkelen - nye svindel og tricks blir utarbeidet hele tiden - så hold deg vakt, spørg alt og ikke bli offer for en svindler.

Det beste forsvaret mot disse angrepene er kunnskap - så informer vennene dine og familie om at folk kan og vil bruke disse taktikkene mot deg.

Har du hatt noen run-ins med sosialingeniører? Har din bedrift utdannet arbeidsstyrken om farene ved sosialteknikk? Legg til dine tanker og spørsmål i kommentarene nedenfor.

Billedkreditter: Wolf in Sheep's Clothing (Shutterstock), NetQoS Symposium USB Stick (Michael Coté), Paper Shredder (Sh4rp_i)

Utforsk mer om: Phishing, svindel.