If-Koubou

Czym jest inżynieria społeczna i jak można jej uniknąć?

Czym jest inżynieria społeczna i jak można jej uniknąć? (Jak)

Złośliwe oprogramowanie nie jest jedynym zagrożeniem internetowym. Inżynieria społeczna stanowi ogromne zagrożenie i może uderzyć w dowolny system operacyjny. W rzeczywistości inżynieria społeczna może również zachodzić przez telefon i sytuacje twarzą w twarz.

Ważne jest, aby mieć świadomość inżynierii społecznej i być czujnym. Programy zabezpieczające nie ochronią Cię przed większością zagrożeń związanych z inżynierią społeczną, więc musisz się chronić.

Objaśnienie Inżynierii Społecznej

Tradycyjne ataki oparte na komputerach często polegają na wykryciu luki w kodzie komputera. Na przykład, jeśli używasz przestarzałej wersji Adobe Flash - lub, nie daj Boże, Java, która była przyczyną 91% ataków w 2013 roku według Cisco - możesz odwiedzić złośliwą witrynę i tę witrynę wykorzysta lukę w oprogramowaniu, aby uzyskać dostęp do twojego komputera. Atakujący manipuluje błędami w oprogramowaniu, aby uzyskać dostęp i zbierać prywatne informacje, być może z zainstalowanym keyloggerem.

Sztuczki inżynierii społecznej są inne, ponieważ w zamian wymagają manipulacji psychologicznych. Innymi słowy, wykorzystują ludzi, a nie ich oprogramowanie.

Prawdopodobnie słyszałeś już o phishingu, który jest formą inżynierii społecznej. Możesz otrzymać wiadomość e-mail z informacją, że pochodzi z banku, firmy wydającej karty kredytowe lub innej zaufanej firmy. Mogą skierować cię na fałszywą stronę internetową, przebrana za prawdziwą, lub poprosić o pobranie i zainstalowanie złośliwego programu. Ale takie sztuczki socjotechniczne nie muszą zawierać fałszywych stron internetowych ani złośliwego oprogramowania. Wiadomość phishingowa może po prostu poprosić o przesłanie odpowiedzi e-mail z prywatnymi informacjami. Zamiast próbować wykorzystać błąd w oprogramowaniu, starają się wykorzystać normalne ludzkie interakcje. Ataki typu "spear phishing" mogą być jeszcze bardziej niebezpieczne, ponieważ są formą wyłudzania informacji skierowaną do konkretnych osób.

Przykłady inżynierii społecznej

Jedną z popularnych sztuczek w usługach czatu i grach online było zarejestrowanie konta o nazwie "Administrator" i wysyłanie ludziom przerażających wiadomości, takich jak "OSTRZEŻENIE: Wykryliśmy, że ktoś może włamać się na Twoje konto, odpowiedzieć hasłem, aby się uwierzytelnić." Jeśli cel odpowiada swoim hasłem, wpadł na podstęp i atakujący ma teraz swoje hasło do konta.

Jeśli ktoś ma twoje dane osobowe, może go użyć, by uzyskać dostęp do twoich kont. Na przykład informacje takie jak data urodzenia, numer ubezpieczenia społecznego i numer karty kredytowej są często używane do identyfikacji Ciebie. Jeśli ktoś ma te informacje, może skontaktować się z firmą i udawać, że jest tobą. Ta sztuczka została wykorzystana przez atakującego, aby uzyskać dostęp do Yahoo! Sarah Palin! Konto pocztowe w 2008 roku, zawierające wystarczającą ilość danych osobowych, aby uzyskać dostęp do konta za pomocą formularza odzyskiwania hasła Yahoo! Ta sama metoda może zostać wykorzystana do połączenia przez telefon, jeśli masz dane osobowe wymagane przez firmę do uwierzytelnienia. Osoba atakująca z pewnymi informacjami na temat celu może udawać, że jest nimi i uzyskać dostęp do większej liczby rzeczy.

Inżynieria społeczna może być również wykorzystywana osobiście. Osoba atakująca może wejść do firmy, poinformować sekretarza, że ​​jest osobą zajmującą się naprawą, nowym pracownikiem lub inspektorem straży pożarnej, autorytatywnie i przekonująco, a następnie wędrować po halach i potencjalnie ukraść poufne dane lub wykryć błędy, aby przeprowadzić szpiegostwo korporacyjne. Ta sztuczka zależy od tego, czy napastnik przedstawi się jako ktoś, kim nie jest. Jeśli sekretarz, portier lub ktokolwiek inny jest odpowiedzialny, nie zadaje zbyt wielu pytań ani nie przygląda się zbyt uważnie, trik powodzi.

Ataki socjotechniczne obejmują szereg fałszywych stron internetowych, fałszywych wiadomości e-mail i nieczytelnych wiadomości na czacie, aż do podszywania się pod kogoś pod telefon lub osobę. Ataki te występują w wielu różnych formach, ale wszystkie mają jedną wspólną cechę - zależą od psychologicznej sztuczki. Inżynieria społeczna została nazwana sztuką manipulacji psychologicznej. To jeden z głównych sposobów, w jaki "hakerzy" faktycznie "hackują" konta online.

Jak unikać inżynierii społecznej

Wiedza o inżynierii społecznej może pomóc ci w walce z nią. Bądź podejrzliwy wobec niechcianych wiadomości e-mail, wiadomości czatu i połączeń telefonicznych, które wymagają prywatnych informacji. Nigdy nie ujawniaj informacji finansowych lub ważnych danych osobowych e-mailem. Nie pobieraj potencjalnie niebezpiecznych załączników do wiadomości e-mail i nie uruchamiaj ich, nawet jeśli wiadomość e-mail twierdzi, że są one ważne.

Nie powinieneś także podążać za linkami w wiadomościach e-mail do wrażliwych stron internetowych. Na przykład nie klikaj linku w e-mailu, który wydaje się pochodzić z Twojego banku i zaloguj się. Może to doprowadzić do fałszywej strony phishingowej przebranej za stronę Twojego banku, ale z nieco innym adresem URL. Zamiast tego odwiedź stronę internetową.

Jeśli otrzymasz podejrzaną prośbę - na przykład rozmowa telefoniczna z Twojego banku wymaga podania danych osobowych - skontaktuj się bezpośrednio ze źródłem żądania i poproś o potwierdzenie. W tym przykładzie możesz zadzwonić do swojego banku i zapytać, czego chcą, zamiast ujawniać informacje osobie, która twierdzi, że jest bankiem.

Programy pocztowe, przeglądarki internetowe i pakiety zabezpieczeń zwykle mają filtry phishingowe, które ostrzegają, gdy odwiedzasz znaną stronę wyłudzającą informacje. Wszystko, co mogą zrobić, to ostrzec cię, gdy odwiedzasz znaną stronę wyłudzającą informacje lub otrzymujesz znany e-mail phishingowy, a oni nie wiedzą o wszystkich witrynach wyłudzających informacje lub wiadomościach e-mail tam. W większości przypadków ochrona zależy od Ciebie - programy bezpieczeństwa mogą tylko trochę pomóc.

Dobrym pomysłem jest zachowanie zdrowego podejrzenia przy rozpatrywaniu wniosków o prywatne dane i cokolwiek innego, co może być atakiem socjotechnicznym. Podejrzenie i ostrożność pomogą chronić Cię zarówno w trybie online, jak i offline.

Image Credit: Jeff Turnet na Flickr