Table of Contents[Ferstopje][Toanje]
Hoewol't de measte cyberkriminelen binne betûfte manipulators, dit betsjut net dat se binne altyd betûfte technologyske manipulators; oare cyberkriminelen leaver de praktyk fan it manipulearjen fan minsken.
Mei oare wurden, se omearmje sosjale technyk, dat is de praktyk fan it lansearjen fan in cyberoanfal troch te profitearjen fan gebreken yn 'e minsklike natuer.
Yn in ienfâldich gefal fan sosjale technyk kin dit barre as in cyberkrimineel in IT-ekspert foarkomt en freget om jo ynloggegevens om in feiligensgat yn jo systeem te reparearjen.
As jo de ynformaasje jouwe, hawwe jo in minne persoan krekt tagong ta jo akkount jûn sûnder dat se sels soargen hoege te meitsjen oer tagong ta jo e-post of kompjûter.
Yn elke feiligensketen binne wy meastentiids de swakste skeakel, om't wy gefoelich binne foar in ferskaat oan trickery. Sosjale yngenieurtechniken brûke dizze kwetsberens by minsken om slachtoffers te ferrifeljen om privee-ynformaasje te iepenbierjen.
Sosjale technyk is altyd yn ûntwikkeling, lykas de mearderheid fan cyberbedrigingen.
Yn dit artikel sille wy de hjoeddeistige steat fan sosjale technyk besprekke, ferskate soarten oanfallen om op te passen, en warskôgingsbuorden om nei te sjen.
Litte wy begjinne mei de yntroduksje ta sosjale technyk.
Wat is Social Engineering?
Sosjale technyk yn komputer ferwiist nei de techniken dy't cyberkriminelen brûke om slachtoffers te oertsjûgjen om in dubieuze aksje te dwaan, dy't faaks in befeiligingsbrek, it oerbringen fan jild, of it iepenbierjen fan persoanlike ynformaasje meibringt.
Dizze aktiviteiten daagje logika faak út en geane tsjin ús better oardiel yn.
Fraudeurs kinne ús lykwols oertsjûgje om te stopjen mei logysk tinken en begjinne te hanneljen op ynstinkt sûnder te tinken oer wat wy eins dogge troch ús emoasjes te manipulearjen - sawol posityf as negatyf - lykas woede, eangst en leafde.
Ienfâldich definieare, sosjale engineering is hoe hackers ús harsens kompromittearje, krekt lykas se dogge mei malware en firussen om ús masines te kompromittearjen.
Oanfallers brûke faak sosjale technyk, om't it faaks ienfâldiger is om te profitearjen fan yndividuen dan it is om in netwurk- of softwareswakke te identifisearjen.
Om't de kriminelen en har slachtoffers noait persoanlik ynteraksje moatte, is sosjale yngenieur altyd in ûnderdiel fan in bredere oplichterij.
It krijen fan de slachtoffers nei: is oer it algemien it wichtichste doel:
- Malicious software op harren smartphone.
- Jou jo brûkersnamme en wachtwurd op.
- Jou tastimming foar in kweade plugin, tafoeging of applikaasje fan tredden.
- Stjoer jild fia jildoarder, in elektroanyske fûnsoerdracht, of kadokaarten.
- Spielje de rol fan in jildmul om yllegaal jild oer te dragen en te wytwaskjen.
Sosjale yngenieurtechniken wurde brûkt troch kriminelen, om't it faaks ienfâldiger is om te profitearjen fan jo ynherinte oanstriid om oaren te fertrouwen dan it is om út te finen hoe't jo jo programma kinne hacke.
Bygelyks, útsein as it wachtwurd echt swak is, is it oanmerklik ienfâldiger om immen te ferrifeljen om jo har wachtwurd te fertellen dan it is om te besykjen it te hacken.
Hoe wurket sosjale technyk?
Sosjale yngenieurs fiere cyberoanfallen út mei in ferskaat oan strategyen. De measte oanfallen fan sosjale technyk begjinne mei de oanfaller dy't ferkenning en ûndersyk docht nei it slachtoffer.
As it doel bygelyks in bedriuw is, koe de hacker leare oer de organisaasjestruktuer fan it bedriuw, ynterne prosessen, yndustryjargon, potensjele saaklike partners en oare details.
Fokus op 'e aksjes en gewoanten fan arbeiders mei in leech nivo noch inisjele tagong, lykas in befeiligingswacht of resepsjoniste, is ien strategy brûkt troch sosjale yngenieurs.
Oanfallers kinne sykje sosjale media akkounts foar persoanlike ynformaasje en observearje har gedrach sawol online as persoanlik.
De sosjale yngenieur kin neist it sammele bewiis brûke om in oanfal te plannen en te profitearjen fan de gebreken dy't ûntdutsen binne tidens de ferkenningsfaze.
As de oanfal yndie plakfynt, koe de oanfaller beskerme systemen of netwurken krije, jild fan 'e doelen, of tagong ta priveegegevens lykas nûmers fan sosjale feiligens, kredytkaartdetails of bankgegevens.
Algemiene soarten oanfallen fan sosjale technyk
Learje oer de typyske techniken brûkt yn sosjale technyk is ien fan 'e grutste strategyen om josels te ferdigenjen tsjin in oanfal fan sosjale technyk.
Tsjintwurdich komt sosjale engineering gewoanlik online foar, ûnder oaren troch oplichting op sosjale media, as oanfallers de identiteit oannimme fan in betroubere boarne of in hege amtner om slachtoffers te ferrifeljen om gefoelige ynformaasje te iepenbierjen.
Hjir binne wat oare foarkommende oanfallen fan sosjale technyk:
phishing
Phishing is in soarte fan sosjale engineering oanpak wêryn kommunikaasje wurdt ferklaaid sadat se lykje te kommen fan in betroubere boarne.
Dizze kommunikaasje, dy't faak e-mails binne, binne bedoeld om slachtoffers te dupe om persoanlike of finansjele ynformaasje te iepenbierjen.
Ommers, wêrom moatte wy de legitimiteit fan in e-post fermoedzje fan in freon, famyljelid of bedriuw dat wy kenne? Oplichters profitearje fan dit fertrouwen.
vishing
Vishing is in komplekse soarte fan phishing-oanfal. It is ek bekend as "stim phishing." Yn dizze oanfallen wurdt in telefoannûmer faak fake om autentyk te lykjen - oanfallers kinne posearje as IT-meiwurkers, kollega's of bankiers.
Guon oanfallers kinne stimwikselers brûke om har identiteiten noch mear te ferbergjen.
spear phishing
Grutte bedriuwen as bepaalde minsken binne de doelen fan spear phishing, in soarte fan sosjale engineering oanfal. De doelen fan spear phishing oanfallen binne sterke yndividuen as lytse groepen, lykas saaklike lieders en publike figueren.
Dizze foarm fan sosjale yngenieuroanfal wurdt faak goed ûndersocht en ferrifeljend kamouflearre, wêrtroch it útdaagjend is om te spotten.
Smyt
Smishing is in soarte fan phishing-oanfal dy't tekst (SMS) berjochten brûkt as kommunikaasjemiddel. Troch it presintearjen fan skealike URL's om te klikken of telefoannûmers om kontakt op te nimmen, freegje dizze oanfallen typysk rappe aksje fan har slachtoffers.
De slachtoffers wurde faak frege privee ynformaasje te jaan dy't de oanfallers tsjin har kinne brûke.
Om slachtoffers te oertsjûgjen om fluch te hanneljen en te fallen foar de oanfal, jouwe smishing oanfallen faak in gefoel fan urginsje.
scareware
It brûken fan sosjale technyk om partikulieren bang te meitsjen om falske befeiligingssoftware te ynstallearjen of tagong te krijen ta malware-ynfekteare websiden is bekend as scareware.
Scareware manifestearret typysk as pop-up finsters dy't biede jo te helpen by it útroegjen fan in bewearde kompjûterynfeksje fan jo laptop. Troch op de pop-up te klikken, kinne jo ûnbedoeld fierdere malware ynstallearje of wurde stjoerd nei in gefaarlike webside.
Brûk in betrouber firus-útroeiingsprogramma om jo kompjûter faaks te scannen as jo tinke dat jo scareware hawwe of in oare opdringerige pop-up. It is wichtich foar digitale hygiëne om jo apparaat periodyk te ûndersiikjen op risiko's.
It kin ek helpe by it beskermjen fan jo persoanlike ynformaasje troch takomstige oanfallen fan sosjale engineering te foarkommen.
Baiting
Sosjale yngenieuroanfallen kinne ek offline begjinne; se wurde net needsaaklikerwize lansearre online.
Baiting is de praktyk fan in oanfaller dy't in malware-ynfekteare objekt, lykas in USB-drive, earne efterlit wêr't it wierskynlik ûntdutsen wurdt. Dizze apparaten wurde faak mei doel markearre om ynteresse te wekken.
In brûker dy't it gadget oppakt en út nijsgjirrigens of habsucht yn har eigen kompjûter set, rint it risiko dat dizze masine ûnbedoeld mei in firus besmet wurdt.
Walfiskjagen
Ien fan 'e meast dryste phishingpogingen, mei desastreus resultaat, is walfiskjacht. It typyske doel fan dit soarte fan sosjale engineering oanfal is in inkele, hege wearde persoan.
De term "CEO fraude" wurdt soms brûkt om walfiskfangst te beskriuwen, wat jo in yndikaasje jout fan it doel.
Om't se effektyf in gaadlike saaklike toan fan spraak oannimme en gebrûk meitsje fan kennis fan ynsiders yn har foardiel, binne walfiskoanfallen dreger te spotten dan oare phishing-oanfallen.
Foar-sms'e
Pretexting is it proses fan it meitsjen fan in falske omstannichheid, of "pretext", dat oplichters brûke om har slachtoffers te ferrifeljen.
Oanfallen mei pretext, dy't offline of online kinne foarkomme, binne ûnder de meast súksesfolle techniken foar sosjale yngenieur, om't oanfallers in protte muoite sette om harsels betrouber te meitsjen.
Wês foarsichtich by it iepenbierjen fan privee-ynformaasje oan frjemden, om't it lestich kin wêze om de hoax fan in foarwendsel te spotten.
Om in besykjen fan sosjale technyk út te sluten, nim dan direkt yn kontakt mei it bedriuw as immen jo bellet oer in driuwend ferlet.
Honey trap
In huningfal is in soarte fan sosjaal-technyske oanpak wêrby't de oerfaller it slachtoffer ferliedt yn in ûnfeilige seksuele setting.
De oanfaller profiteart dan fan de omstannichheid om sjantaazje te dwaan of sekstortion te dwaan. Troch it ferstjoeren fan spam-e-mails mei de falske pretinsje dat se "jo troch jo kamera sjogge" of wat like slim, lizze sosjale yngenieurs faak huningfallen.
As jo in berjocht lykas dit krije, soargje derfoar dat jo webcam beskerme is.
Bliuw dan gewoan gearstald en reagearje net, om't dizze e-mails neat mear binne as spam.
Quid Pro Quo
Latyn betsjut "wat foar iets", yn dit gefal ferwiist it nei it slachtoffer dat in beleanning krijt yn ruil foar har gearwurking.
In poerbêste yllustraasje is as hackers posearje as IT-assistenten. Se sille safolle mooglik meiwurkers telefonearje by in bedriuw en beweare dat se in ienfâldige oplossing hawwe, en tafoegje dat "jo jo AV allinich moatte útskeakelje."
Elkenien dy't der foar beswykt, hat ransomware of oare firussen ynstalleare op har kompjûter.
Tailgating
Tailgating, ek wol piggybacking neamd, komt foar as in hacker in persoan folget mei in jildige tagongskaart yn in befeilige gebou.
Om dizze oanfal út te fieren, wurdt der fan útgien dat de persoan dy't tastimming hat om it gebou yn te gean, foarsichtich genôch wêze soe om de doar iepen te hâlden foar de persoan dy't efter har komt.
Hoe kinne jo oanfallen fan Social Engineering foarkomme?
Troch dizze previntive maatregels te brûken, sille jo en jo personiel de bêste kâns hawwe om oanfallen fan sosjale technyk te foarkommen.
Opliede meiwurkers
De wichtichste oarsaak fan fallibiliteit fan wurknimmers foar oanfallen fan sosjale engineering is ûnwittendheid. Om personiel te learen hoe't se moatte reagearje op typyske ynbreukpogingen, moatte organisaasjes training foar feiligensbewustwêzen oanbiede.
Bygelyks, wat te dwaan as immen besiket in meiwurker op 'e wurkflier te efterheljen of freget om gefoelige ynformaasje.
Guon fan 'e meast foarkommende cyberoanfallen wurde beskreaun yn' e list hjirûnder:
- DDoS attacks
- Phishing attacks
- Clickjacking oanfallen
- Ransomware oanfallen
- Malware oanfallen
- Hoe reagearje op tailgating
Kontrolearje foar oanfal ferset
Utfiere kontroleare oanfallen fan sosjale technyk op jo bedriuw om it te testen. Stjoer falske phishing-e-mails, en berispe personielsleden sêft dy't bylagen iepenje, klikke op skealike keppelings of reagearje.
Ynstee fan te wurde waarnommen as mislearrings yn cyberfeiligens, moatte dizze gefallen wurde sjoen as heul edukative situaasjes.
Operaasje Feiligens
OPSEC is in metoade foar it opspoaren fan freonlik gedrach dat foardielich kin wêze foar in takomstige oanfaller. OPSEC kin gefoelige of wichtige gegevens bleatstelle as se passend wurde ferwurke en groepeare mei oare gegevens.
Jo kinne de hoemannichte ynformaasje beheine dy't sosjale yngenieurs kinne krije troch OPSEC-prosedueres te brûken.
Fyn gegevenslekken
Witten oft bewiisbrieven binne bleatsteld as gefolch fan in phishing-poging kin in útdaging wêze.
Jo bedriuw moat konstant sykje nei gegevenseksposysjes en útlekte bewiisbrieven, om't guon phishers moannen of sels jierren kinne duorje om de bewiisbrieven te brûken dy't se sammelje.
Implementearje multi-faktor autentikaasje
Hanthavenje in multy-faktor autentikaasjemetoade dy't brûkers nedich hawwe om in token te hawwen, in wachtwurd te witten en har biometrie te hawwen om tagong te krijen ta krityske boarnen.
Implementearje in risikobehearsysteem fan tredden
Foardat jo nije leveransiers oanstelle of trochgean mei wurkjen mei hjoeddeistige leveransiers, meitsje in systeem foar it behearen fan risiko's fan tredden, in ferkeaperbehearbelied, en fier in cybersecurity risiko beoardieling.
Benammen neidat stellen gegevens binne ferkocht op it tsjustere web, is it oanmerklik ienfâldiger om gegevensbrekken te foarkommen dan se op te romjen.
Fyn software dy't ferkeaperrisiko automatysk kin beheare en de cyberfeiligens fan jo leveransiers regelmjittich folgje, rangearje en evaluearje.
Feroarje jo foarkarren foar spam-e-post.
It feroarjen fan jo e-postynstellingen is ien fan 'e ienfâldichste metoaden om josels te ferdigenjen tsjin besykjen fan sosjale engineering. Jo kinne jo spamfilters ferbetterje om scam-e-posten foar sosjale engineering út jo postfak te hâlden.
Jo kinne ek direkt de e-mailadressen tafoegje fan partikulieren en organisaasjes dy't jo witte dat se echt binne oan jo digitale kontaktlisten - elkenien dy't him foardoet te wêzen, mar it brûken fan in oar adres yn 'e takomst is nei alle gedachten in sosjale yngenieur.
Konklúzje
Uteinlik is sosjale technyk in frij ienfâldige technyk dy't kin wurde brûkt om fraude, fraude of oare misdieden te begean. It kin elkenien persoanlik foarkomme, oer de tillefoan of online.
Sosjaal yngenieurs hoege net heul technysk te wêzen; se hoege jo allinich te kinnen om jo privee ynformaasje te jaan.
It is in mooglik desastreus swendel, om't wy allegear yn gefaar binne. Sosjale media hawwe ek sosjale yngenieurs ynskeakele om slimmer te wurden troch se yn te skeakeljen om falske akkounts te meitsjen dy't ienfâldich binne om te ferjitten foar echte of sels om werklike yndividuen foar te dwaan.
Wês altyd foarsichtich by it sjen fan frjemde of ûnbekende profilen op sosjale media.
Leave a Reply