Tartalomjegyzék[Elrejt][Előadás]
Bár a legtöbb kiberbûnözõ képzett manipulátor, ez nem jelenti azt, hogy mindig képzett technológiai manipulátorok lennének; más kiberbűnözők előnyben részesítik az emberek manipulálásának gyakorlatát.
Más szóval, magukévá teszik a social engineering-et, ami azt a gyakorlatot jelenti, hogy az emberi természet hibáit kihasználva kibertámadást indítanak.
Egy egyszerű social engineering esetében ez megtörténhet, ha egy kiberbűnöző IT-szakértőnek adja ki magát, és bejelentkezési adatait kéri, hogy kijavítsa a rendszer biztonsági rését.
Ha megadja az információkat, akkor egy rossz embernek adott hozzáférést a fiókjához, anélkül, hogy aggódnia kellene az e-mailjeihez vagy a számítógépéhez való hozzáférés miatt.
Minden biztonsági láncban szinte általában mi vagyunk a leggyengébb láncszem, mivel ki vagyunk téve a különféle trükköknek. A social engineering technikák kihasználják ezt a sebezhetőséget az emberekben, hogy rávegyék az áldozatokat arra, hogy személyes információkat adjanak ki.
A social engineering folyamatosan fejlődik, csakúgy, mint a kiberfenyegetések többsége.
Ebben a cikkben megvitatjuk a social engineering jelenlegi helyzetét, a különböző típusú támadásokat, amelyekre figyelni kell, és a figyelmeztető jeleket, amelyekre figyelni kell.
Kezdjük a social engineering bevezetésével.
Mi az a Social Engineering?
A számítástechnikában a szociális manipuláció azokra a technikákra utal, amelyeket a kiberbűnözők alkalmaznak, hogy rávegyék az áldozatokat egy kétes cselekményre, amely gyakran a biztonság megsértésével, pénztovábbítással vagy személyes adatok felfedésével jár.
Ezek a tevékenységek gyakran megkérdőjelezik a logikát, és szembemennek jobb belátásunkkal.
A csalók azonban meggyőzhetnek bennünket arról, hogy hagyjuk abba a logikus gondolkodást, és kezdjünk el ösztönösen cselekedni anélkül, hogy átgondolnánk, mit is csinálunk, ha manipulálják érzelmeinket – mind a pozitív, mind a negatív –, mint a düh, félelem és szerelem.
Egyszerűen fogalmazva: a social engineering az, ahogyan a hackerek veszélyeztetik az agyunkat, éppúgy, mint a rosszindulatú szoftverek és vírusok, hogy kompromittálja a gépeinket.
A támadók gyakran alkalmaznak social engineering-et, mert gyakran egyszerűbb az egyének előnyeit kihasználni, mint a hálózati vagy szoftver gyengeségeinek azonosítását.
Mivel a bűnözőknek és áldozataiknak soha nem kell személyesen érintkezniük, a social engineering mindig egy szélesebb körű átverés összetevője.
Az áldozatok eljuttatása a következőhöz általában a fő cél:
- Rosszindulatú szoftverek az okostelefonjukon.
- Mondja le felhasználónevét és jelszavát.
- Adjon engedélyt egy rosszindulatú beépülő modulhoz, bővítményhez vagy harmadik féltől származó alkalmazáshoz.
- Küldjön pénzt átutalással, elektronikus átutalással vagy ajándékkártyákkal.
- Játssz egy pénzöszvér szerepét az illegális pénz továbbítására és mosására.
A szociális manipulációs technikákat a bűnözők használják, mert gyakran egyszerűbb kihasználni a benne rejlő hajlamot arra, hogy megbízzon másokban, mint kitalálni, hogyan kell feltörni a programját.
Például, hacsak nem nagyon gyenge a jelszó, sokkal egyszerűbb rávenni valakit, hogy elmondja a jelszavát, mint megpróbálni feltörni.
Hogyan működik a social engineering?
A szociális mérnökök számos stratégiát alkalmazva hajtanak végre kibertámadásokat. A legtöbb social engineering támadás úgy kezdődik, hogy a támadó felderítést és kutatást végez az áldozaton.
Például, ha a cél egy vállalat, a hacker megismerheti a vállalat szervezeti felépítését, a belső folyamatokat, az iparági szakzsargont, a lehetséges üzleti partnereket és egyéb részleteket.
A szociális mérnökök egyik stratégiája, hogy az alacsony szintű, de kezdeti hozzáféréssel rendelkező munkavállalók cselekedeteire és szokásaira összpontosítson, mint például a biztonsági őr vagy a recepciós.
A támadók kereshetnek Közösségi média személyes adatokat kezel, és megfigyelheti viselkedésüket online és személyesen egyaránt.
A szociális mérnök ezután felhasználhatja az összegyűjtött bizonyítékokat egy támadás megtervezésére, és kihasználhatja a felderítési szakaszban felfedezett hibákat.
Ha valóban megtörténik a támadás, a támadó védett rendszereket vagy hálózatokat kaphat, pénzt kaphat a célpontoktól, vagy hozzáférhet olyan személyes adatokhoz, mint a társadalombiztosítási számok, hitelkártyaadatok vagy banki adatok.
A social engineering támadások gyakori típusai
A social engineeringben használt tipikus technikák megismerése az egyik legjobb stratégia a social engineering támadásokkal szembeni védekezéshez.
Manapság a social engineering gyakran online történik, beleértve a közösségi média csalásokat is, amikor a támadók egy megbízható forrás vagy egy magas rangú tisztviselő személyazonosságát feltételezik, hogy az áldozatokat bizalmas információk közzétételére csalják meg.
Íme néhány egyéb elterjedt social engineering támadás:
Adathalászat
Az adathalászat egyfajta szociális tervezési megközelítés, amelyben a kommunikációt úgy álcázzák, hogy megbízható forrásból származzon.
Ezeknek a gyakran e-maileknek minősülő kommunikációknak az a célja, hogy rávegyék az áldozatokat személyes vagy pénzügyi adatok nyilvánosságra hozatalára.
Végül is miért gyaníthatnánk egy ismerősünktől, családtagunktól vagy cégünktől származó e-mail jogosságát? A csalók kihasználják ezt a bizalmat.
vishing
A vishing az adathalász támadás összetett fajtája. „Hangalapú adathalászatnak” is nevezik. Ezekben a támadásokban egy telefonszámot gyakran meghamisítanak, hogy hitelesnek tűnjenek – a támadók IT-személyzetnek, munkatársnak vagy bankárnak adják ki magukat.
Egyes támadók hangváltókat alkalmazhatnak, hogy még jobban elfedjék személyazonosságukat.
Lándzsás adathalász
A nagyvállalatok vagy bizonyos emberek a lándzsás adathalászat célpontjai, egyfajta szociális tervezési támadás. A lándzsás adathalász támadások célpontjai erős egyének vagy kis csoportok, például cégvezetők és közéleti személyiségek.
A social engineering támadásnak ezt a formáját gyakran alaposan felkutatják és megtévesztően álcázzák, így nehéz észrevenni.
Mosolyogva
A smishing egyfajta adathalász támadás, amely szöveges (SMS) üzeneteket használ kommunikációs médiumként. Azáltal, hogy kártékony URL-eket adnak meg kattintásra vagy telefonszámokat, amelyekkel kapcsolatba léphet, ezek a támadások általában gyors intézkedést követelnek áldozataiktól.
Az áldozatokat gyakran arra kérik, hogy adjanak meg személyes információkat, amelyeket a támadók felhasználhatnak ellenük.
Annak érdekében, hogy rávegyék az áldozatokat a gyors cselekvésre és a támadásra, az ütős támadások gyakran a sürgősség érzését tükrözik.
Scareware
Scareware-nek nevezik azt a társadalmi manipulációt, amely arra készteti az egyéneket, hogy hamis biztonsági szoftvereket telepítsenek, vagy rosszindulatú programokkal fertőzött webhelyeket érjenek el.
A rémisztő programok általában felugró ablakokként jelennek meg, amelyek segítséget nyújtanak egy feltételezett számítógépfertőzés megszüntetésében a laptopon. Az előugró ablakra kattintva véletlenül további rosszindulatú programokat telepíthet, vagy veszélyes webhelyre kerülhet.
Használjon megbízható vírusirtó programot a számítógép gyakran történő átvizsgálására, ha úgy gondolja, hogy ijesztőprogramok vagy más tolakodó előugró ablakok vannak. A digitális higiénia szempontjából fontos, hogy rendszeres időközönként megvizsgálja készülékét a kockázatok szempontjából.
Segíthet személyes adatainak védelmében is, mivel megakadályozza a jövőbeni social engineering támadásokat.
Beetetés
A social engineering támadások offline is kezdődhetnek; nem feltétlenül online indítják el.
A csalizás az a gyakorlat, amikor a támadó egy rosszindulatú programmal fertőzött objektumot, például egy USB-meghajtót hagy valahol, ahol azt valószínűleg felfedezik. Ezeket az eszközöket gyakran szándékosan márkajelzéssel látják el, hogy felkeltsék az érdeklődést.
Az a felhasználó, aki kíváncsiságból vagy mohóságból felveszi a kütyüt, és behelyezi a saját számítógépébe, azt kockáztatja, hogy akaratlanul is megfertőzi a gépet egy vírussal.
Bálnavadászat
Az egyik legmerészebb, katasztrofális eredménnyel járó adathalászati kísérlet a bálnavadászat. Az ilyen típusú social engineering támadások tipikus célpontja egyetlen, nagy értékű személy.
A „vezérigazgatói csalás” kifejezést alkalmanként használják a bálnavadászat leírására, ami jelzi a célpontot.
Mivel gyakorlatilag megfelelő üzleti hangnemet vesznek fel, és előnyükre használják fel a bennfentes iparági ismereteket, a bálnavadászati támadásokat nehezebb észrevenni, mint más adathalász támadásokat.
Előzetes sms
Az ürügy egy hamis körülmény vagy „ürügy” kitalálásának folyamata, amelyet a szélhámosok áldozataik megtévesztésére alkalmaznak.
A támadások ürügyén, amelyek offline vagy online is előfordulhatnak, a legsikeresebb social engineering technikák közé tartoznak, mivel a támadók sok erőfeszítést tesznek azért, hogy megbízhatónak tűnjenek.
Legyen óvatos, amikor személyes információkat ad ki idegeneknek, mert nehéz lehet észrevenni egy ürügy által kiváltott álhírt.
A szociális tervezési kísérlet kizárása érdekében lépjen kapcsolatba közvetlenül a vállalattal, ha valaki sürgős szükség miatt telefonál.
Mézcsapda
A mézcsapda egyfajta szociális mérnöki megközelítés, amelyben a támadó egy nem biztonságos szexuális környezetbe csábítja az áldozatot.
A támadó ezután kihasználja a körülményt, hogy zsarolást kövessen el vagy szextorzálást végezzen. Azzal, hogy hamis színleléssel spameket küldenek, mintha „a kamerán keresztül látnának” vagy valami hasonlóan aljas dolog, a társadalommérnökök gyakran csapdákat fektetnek be.
Ha ilyen üzenetet kap, győződjön meg arról, hogy webkamerája védett.
Ezután maradjon nyugodt, és tartózkodjon a válaszadástól, mivel ezek az e-mailek nem mások, mint spam.
Ellenérték
A latin jelentése „valamit valamiért”, ebben az esetben arra utal, hogy az áldozat jutalmat kap együttműködéséért cserébe.
Kiváló példa, amikor a hackerek informatikai asszisztensnek pózolnak. A lehető legtöbb alkalmazottat felhívják egy cégnél, és azt állítják, hogy van egy egyszerű megoldásuk, hozzátéve, hogy „csak le kell tiltania az AV-t”.
Bárki, aki enged neki, ransomware-t vagy más vírust telepít a számítógépére.
Tailaging
A farokzárás, más néven ugrás, akkor fordul elő, amikor egy hacker érvényes belépőkártyával követ egy személyt egy védett épületbe.
Ennek a támadásnak a végrehajtása érdekében feltételezhető, hogy az épületbe belépési engedéllyel rendelkező személy elég figyelmes ahhoz, hogy nyitva tartsa az ajtót a mögötte érkező személy előtt.
Hogyan akadályozhatod meg a Social Engineering támadásokat?
Ha ezeket a megelőző intézkedéseket alkalmazza, Önnek és munkatársainak lesz a legjobb esélye a manipulációs támadások elkerülésére.
Az alkalmazottak oktatása
A fő oka annak, hogy az alkalmazottak esendőek a social engineering támadásokkal szemben, a tudatlanság. Annak érdekében, hogy megtanítsák a személyzetet, hogyan reagáljanak a tipikus betörési kísérletekre, a szervezeteknek biztonsági tudatosítási tréningeket kell kínálniuk.
Például, mi a teendő, ha valaki megpróbál bezárni egy alkalmazottat a munkahelyére, vagy érzékeny információkat kér.
A leggyakoribb kibertámadások közül néhányat az alábbi lista ismertet:
- DDoS támadások
- Adathalászat támadások
- Clickjacking támadások
- Ransomware támadások
- Malware támadások
- Hogyan reagáljunk a farokzárásra
Ellenőrizze a támadási ellenállást
A teszteléshez hajtson végre ellenőrzött social engineering támadásokat vállalata ellen. Hamis adathalász e-maileket küldhet, és finoman megdorgálhatja azokat a munkatársakat, akik megnyitják a mellékleteket, rákattintnak a káros hivatkozásokra vagy reagálnak.
Ahelyett, hogy kiberbiztonsági kudarcnak tekintenék ezeket az eseteket, inkább oktatási helyzeteknek kell tekinteni.
Üzembiztonság
Az OPSEC egy módszer a barátságos viselkedés észlelésére, amely előnyös lehet egy jövőbeli támadó számára. Az OPSEC érzékeny vagy fontos adatokat fedhet fel, ha azokat megfelelően feldolgozzák és más adatokkal csoportosítják.
Korlátozhatja a szociális mérnökök által megszerezhető információk mennyiségét az OPSEC eljárásokkal.
Keresse meg az adatszivárgást
Nehéz tudni, hogy a hitelesítő adatok nyilvánosságra kerültek-e egy adathalászati kísérlet eredményeként.
Vállalatának folyamatosan keresnie kell a kiszivárgott adatokat és a kiszivárgott hitelesítő adatokat, mert egyes adathalászoknak hónapokig vagy akár évekig is eltarthatnak, mire kihasználják az összegyűjtött hitelesítő adatokat.
Többtényezős hitelesítés megvalósítása
Többtényezős hitelesítési módszer kényszerítése, amelyhez a felhasználóknak jogkivonattal, jelszóval és biometrikus adataikkal kell rendelkezniük ahhoz, hogy hozzáférjenek a kritikus erőforrásokhoz.
Harmadik fél kockázatkezelési rendszerének bevezetése
Mielőtt új beszállítókat vonna be vagy folytatna a jelenlegi beszállítókkal való együttműködést, hozzon létre egy rendszert a harmadik felek kockázatainak kezelésére, egy szállítókezelési szabályzatot, és végezzen kiberbiztonsági kockázat értékelés.
Különösen azután, hogy az ellopott adatokat eladták a sötét weben, lényegesen egyszerűbb elkerülni az adatszivárgást, mint megtisztítani azokat.
Keressen olyan szoftvert, amely képes automatikusan kezelni a szállítói kockázatokat, és rendszeresen nyomon követheti, rangsorolja és értékeli a szállítók kiberbiztonságát.
Módosítsa a spam e-mail beállításait.
Az e-mail-beállítások módosítása az egyik legegyszerűbb módja annak, hogy megvédje magát a manipulációs kísérletektől. Javíthatja a spamszűrőket, hogy távol tartsa a beérkező levelek mappájából a manipulációs csalásokkal kapcsolatos e-maileket.
Közvetlenül hozzáadhatja azon személyek és szervezetek e-mail címeit is a digitális névjegyzékhez, akikről tudja, hogy valódiak – mindenki, aki úgy adja ki magát, mint ő, de a jövőben más címet használ, nagy valószínűséggel szociális mérnök.
Következtetés
Végül, a social engineering egy meglehetősen egyszerű technika, amelyet csalások, csalások vagy más bűncselekmények elkövetésére lehet használni. Ez bárkinél felmerülhet személyesen, telefonon vagy online.
A szociális mérnököknek nem kell túl technikusnak lenniük; csak arra kell rávenniük, hogy személyes információkat adjon meg nekik.
Ez egy potenciálisan katasztrofális csalás, mivel mindannyian veszélyben vagyunk. A közösségi média azt is lehetővé tette a közösségi mérnökök számára, hogy ravaszabbbá váljanak, lehetővé téve számukra, hogy hamis fiókokat hozzanak létre, amelyeket könnyű összetéveszteni valódiakkal, vagy akár valós személyeknek kiadni magukat.
Mindig legyen óvatos, amikor furcsa vagy ismeretlen profilokat lát a közösségi médiában.
Hagy egy Válaszol