Talaan ng nilalaman[Tago][Ipakita]
Bagama't karamihan sa mga cybercriminal ay mga bihasang manipulator, hindi ito nangangahulugan na sila ay palaging mga bihasang teknolohikal na manipulator; mas gusto ng ibang mga cybercriminal ang pagmamanipula ng mga tao.
Sa madaling salita, tinatanggap nila ang social engineering, na siyang kasanayan ng paglulunsad ng cyberattack sa pamamagitan ng pagsasamantala sa mga kapintasan sa kalikasan ng tao.
Sa isang direktang kaso ng social engineering, maaaring mangyari ito kung ang isang cybercriminal ay magpapanggap bilang isang IT expert at hihilingin ang iyong mga detalye sa pag-log in upang ayusin ang isang butas sa seguridad sa iyong system.
Kung ibibigay mo ang impormasyon, binigyan mo lang ng access ang masamang tao sa iyong account nang hindi man lang sila kailangang mag-alala tungkol sa pag-access sa iyong email o computer.
Sa bawat security chain, kami ang kadalasang pinakamahinang link dahil madaling kapitan kami ng iba't ibang panlilinlang. Ginagamit ng mga diskarte sa social engineering ang kahinaang ito sa mga tao para linlangin ang mga biktima na magbunyag ng pribadong impormasyon.
Palaging umuunlad ang social engineering, gaya ng karamihan sa mga banta sa cyber.
Sa artikulong ito, tatalakayin natin ang kasalukuyang kalagayan ng social engineering, iba't ibang uri ng pag-atake na dapat bantayan, at mga babalang palatandaan na dapat abangan.
Simulan natin ang pagpapakilala sa social engineering.
Ano ang Social Engineering?
Ang social engineering sa computing ay tumutukoy sa mga diskarteng ginagamit ng mga cyber criminal upang hikayatin ang mga biktima na gumawa ng kahina-hinalang aksyon, na kadalasang nagsasangkot ng paglabag sa seguridad, pagpapadala ng pera, o pagsisiwalat ng personal na impormasyon.
Ang mga aktibidad na ito ay madalas na humahamon sa lohika at sumasalungat sa aming mas mahusay na paghatol.
Gayunpaman, makukumbinsi tayo ng mga manloloko na huminto sa pag-iisip nang lohikal at magsimulang kumilos ayon sa instinct nang hindi iniisip kung ano talaga ang ginagawa natin sa pamamagitan ng pagmamanipula sa ating mga emosyon—parehong positibo at negatibo—tulad ng galit, takot, at pagmamahal.
Sa simpleng kahulugan, ang social engineering ay kung paano kinokompromiso ng mga hacker ang ating utak, tulad ng ginagawa nila sa malware at mga virus upang ikompromiso ang ating mga makina.
Ang mga umaatake ay madalas na gumagamit ng social engineering dahil ito ay madalas na mas simple upang samantalahin ang mga indibidwal kaysa sa pagtukoy ng isang network o kahinaan ng software.
Dahil ang mga kriminal at ang kanilang mga biktima ay hindi na kailangang makipag-ugnayan nang personal, ang social engineering ay palaging bahagi ng isang mas malawak na scam.
Ang pagkuha ng mga biktima sa: sa pangkalahatan ay ang pangunahing layunin:
- Nakakahamak na software sa kanilang smartphone.
- Itakwil ang iyong username at password.
- Magbigay ng pahintulot para sa isang nakakahamak na plugin, extension, o application ng third-party.
- Magpadala ng pera sa pamamagitan ng money order, electronic fund transfer, o gift card.
- Gampanan ang papel ng isang mola ng pera upang magpadala at maglaba ng ilegal na pera.
Ang mga diskarte sa social engineering ay ginagamit ng mga kriminal dahil madalas na mas simple na samantalahin ang iyong likas na tendensya na magtiwala sa iba kaysa malaman kung paano i-hack ang iyong programa.
Halimbawa, maliban na lang kung mahina talaga ang password, mas madaling linlangin ang isang tao na sabihin sa iyo ang kanilang password kaysa subukang i-hack ito.
Paano gumagana ang social engineering?
Ang mga social engineer ay nagsasagawa ng cyberattacks gamit ang isang hanay ng mga diskarte. Karamihan sa mga pag-atake sa social engineering ay nagsisimula sa pagsasagawa ng pag-atake at pagsasaliksik sa biktima.
Halimbawa, kung ang target ay isang enterprise, maaaring malaman ng hacker ang tungkol sa istruktura ng organisasyon ng kumpanya, mga panloob na proseso, jargon sa industriya, mga potensyal na kasosyo sa negosyo, at iba pang mga detalye.
Ang pagtuon sa mga aksyon at gawi ng mga manggagawa na may mababang antas ngunit paunang pag-access, tulad ng isang security guard o receptionist, ay isang diskarte na ginagamit ng mga social engineer.
Maaaring maghanap ang mga umaatake social media account para sa personal na impormasyon at obserbahan ang kanilang pag-uugali sa online at sa personal.
Ang social engineer ay maaaring susunod na gumamit ng ebidensya na nakolekta upang magplano ng isang pag-atake at samantalahin ang mga bahid na natuklasan sa yugto ng reconnaissance.
Kung talagang nangyari ang pag-atake, maaaring makakuha ang umaatake ng mga protektadong system o network, pera mula sa mga target, o access sa pribadong data tulad ng mga numero ng Social Security, mga detalye ng credit card, o mga detalye ng pagbabangko.
Mga karaniwang uri ng pag-atake ng social engineering
Ang pag-aaral tungkol sa mga tipikal na pamamaraan na ginagamit sa social engineering ay isa sa mga pinakamahusay na diskarte upang ipagtanggol ang iyong sarili mula sa isang pag-atake ng social engineering.
Sa ngayon, ang social engineering ay karaniwang nangyayari online, kabilang ang sa pamamagitan ng mga social media scam, kapag ang mga umaatake ay nagpapalagay ng pagkakakilanlan ng isang mapagkakatiwalaang source o isang mataas na ranggo na opisyal upang linlangin ang mga biktima sa pagsisiwalat ng sensitibong impormasyon.
Narito ang ilang iba pang laganap na pag-atake sa social engineering:
Phishing
Ang phishing ay isang uri ng social engineering na diskarte kung saan ang mga komunikasyon ay nakabalatkayo upang sila ay magmukhang mula sa mapagkakatiwalaang pinagmulan.
Ang mga komunikasyong ito, na kadalasang mga email, ay naglalayong linlangin ang mga biktima sa pagsisiwalat ng personal o pinansyal na impormasyon.
Pagkatapos ng lahat, bakit natin dapat paghinalaan ang pagiging lehitimo ng isang email mula sa isang kaibigan, miyembro ng pamilya, o kumpanyang kilala natin? Sinasamantala ng mga scammer ang kumpiyansa na ito.
Pagnanasa
Ang Vishing ay isang kumplikadong uri ng phishing assault. Kilala rin ito bilang "voice phishing." Sa mga pag-atakeng ito, ang isang numero ng telepono ay madalas na pineke para mukhang tunay – ang mga umaatake ay maaaring magpanggap bilang IT staff, katrabaho, o bangkero.
Ang ilang mga umaatake ay maaaring gumamit ng mga nagpapalit ng boses upang mas ikubli ang kanilang mga pagkakakilanlan.
sibat phishing
Ang mga malalaking kumpanya o partikular na tao ang mga target ng spear phishing, isang uri ng social engineering assault. Ang mga target ng spear phishing assaults ay mga malalakas na indibidwal o maliliit na grupo, gaya ng mga pinuno ng negosyo at public figure.
Ang paraan ng pag-atake ng social engineering ay madalas na sinasaliksik nang mabuti at mapanlinlang na naka-camouflag, na ginagawa itong mahirap na makita.
Paninigarilyo
Ang smishing ay isang uri ng phishing assault na gumagamit ng mga text (SMS) na mensahe bilang medium ng komunikasyon. Sa pamamagitan ng pagpapakita ng mga mapaminsalang URL upang i-click o mga numero ng telepono upang makipag-ugnayan, ang mga pag-atakeng ito ay karaniwang nangangailangan ng mabilis na aksyon mula sa kanilang mga biktima.
Ang mga biktima ay madalas na sinenyasan na magbigay ng pribadong impormasyon na magagamit ng mga umaatake laban sa kanila.
Upang mahikayat ang mga biktima na kumilos nang mabilis at mahulog sa pag-atake, madalas na naglalarawan ng isang pakiramdam ng pagkaapurahan.
Scareware
Ang paggamit ng social engineering upang takutin ang mga indibidwal sa pag-install ng huwad na software ng seguridad o pag-access sa mga website na nahawaan ng malware ay kilala bilang scareware.
Karaniwang lumalabas ang Scareware bilang mga pop-up window na nag-aalok upang tulungan ka sa pagtanggal ng sinasabing impeksyon sa computer mula sa iyong laptop. Sa pamamagitan ng pag-click sa pop-up, maaari mong hindi sinasadyang mag-install ng karagdagang malware o maipadala sa isang mapanganib na website.
Gumamit ng isang maaasahang programa sa pagtanggal ng virus upang madalas na i-scan ang iyong computer kung sa tingin mo ay mayroon kang scareware o isa pang mapanghimasok na pop-up. Mahalaga para sa digital hygiene na pana-panahong suriin ang iyong device para sa mga panganib.
Maaari rin itong tumulong sa pagprotekta sa iyong personal na impormasyon sa pamamagitan ng pagpigil sa mga pag-atake sa social engineering sa hinaharap.
Baon
Ang mga pag-atake sa social engineering ay maaari ding magsimula nang offline; ang mga ito ay hindi kinakailangang inilunsad online.
Ang pag-bait ay ang kasanayan ng isang umaatake na nag-iiwan ng isang bagay na nahawaan ng malware, tulad ng isang USB drive, sa isang lugar kung saan ito ay malamang na matuklasan. Ang mga device na ito ay madalas na may tatak sa layuning magpukaw ng interes.
Ang isang gumagamit na kunin ang gadget at inilagay ito sa kanilang sariling computer dahil sa pag-usisa o kasakiman ay nanganganib na hindi sinasadyang mahawaan ng virus ang makinang iyon.
Whaling
Ang isa sa pinakamapangahas na pagtatangka sa phishing, na may mga mapaminsalang resulta, ay ang panghuhuli ng balyena. Ang karaniwang target ng ganitong uri ng pag-atake sa social engineering ay isang solong tao na may mataas na halaga.
Ang terminong "CEO fraud" ay ginagamit paminsan-minsan upang ilarawan ang panghuhuli ng balyena, na nagbibigay sa iyo ng indikasyon ng target.
Dahil epektibo nilang ipinapalagay ang isang angkop na tono ng pananalita na parang negosyo at ginagamit nila ang kaalaman sa industriya ng insider para sa kanilang kalamangan, mas mahirap matukoy ang mga pag-atake sa panghuhuli ng balyena kaysa sa iba pang pag-atake ng phishing.
Paunang pag-text
Ang pagkukunwari ay ang proseso ng paggawa ng maling pangyayari, o “pagkukunwari,” na ginagamit ng mga manloloko upang linlangin ang kanilang mga biktima.
Ang mga pag-atake sa pagkukunwari, na maaaring mangyari offline o online, ay kabilang sa mga pinakamatagumpay na diskarte sa social engineering dahil nagsusumikap ang mga umaatake upang magmukhang mapagkakatiwalaan.
Maging maingat kapag nagbubunyag ng pribadong impormasyon sa mga estranghero dahil maaaring mahirap makita ang panloloko ng isang dahilan.
Upang alisin ang isang pagtatangka sa social engineering, makipag-ugnayan nang direkta sa kumpanya kung may tumawag sa iyo tungkol sa isang agarang pangangailangan.
Bitag ng pulot
Ang honey trap ay isang uri ng social engineering approach kung saan inaakit ng salarin ang biktima sa isang hindi ligtas na setting ng sekswal.
Pagkatapos ay sinasamantala ng umaatake ang pangyayari upang gumawa ng blackmail o makisali sa sextortion. Sa pamamagitan ng pagpapadala ng mga spam na email na may maling pagkukunwari na "nakikita ka nila sa pamamagitan ng iyong camera" o isang bagay na kasuklam-suklam din, ang mga social engineer ay madalas na naglalagay ng mga bitag ng pulot.
Kung makakatanggap ka ng mensaheng tulad nito, tiyaking protektado ang iyong webcam.
Pagkatapos, manatiling binubuo at iwasang tumugon, dahil ang mga email na ito ay hindi hihigit sa spam.
Quid Pro Quo
Ang ibig sabihin ng Latin ay "isang bagay para sa isang bagay," sa pagkakataong ito ay tumutukoy ito sa biktima na tumatanggap ng gantimpala bilang kapalit sa kanilang pakikipagtulungan.
Ang isang mahusay na paglalarawan ay kapag ang mga hacker ay nagpapanggap bilang mga IT assistant. Tatawagan nila ang pinakamaraming empleyado hangga't maaari sa isang kompanya at sinasabing mayroon silang simpleng solusyon, at idinagdag na "kailangan mo lang i-disable ang iyong AV."
Ang sinumang sumuko dito ay may ransomware o iba pang mga virus na naka-install sa kanilang computer.
Nakikipag-usap
Ang tailgating, na kilala rin bilang piggybacking, ay nangyayari kapag sinundan ng isang hacker ang isang tao gamit ang isang valid na access card papunta sa isang secured na gusali.
Upang maisakatuparan ang pag-atakeng ito, ipinapalagay na ang taong may pahintulot na pumasok sa gusali ay sapat na makonsiderasyon upang buksan ang pinto para sa taong darating sa likuran nila.
Paano mo mapipigilan ang mga pag-atake ng Social Engineering?
Sa pamamagitan ng paggamit ng mga hakbang na ito sa pag-iwas, ikaw at ang iyong mga tauhan ay magkakaroon ng pinakamagandang pagkakataon na maiwasan ang mga pag-atake sa social engineering.
Turuan ang mga empleyado
Ang pangunahing sanhi ng pagkakamali ng empleyado sa mga pag-atake ng social engineering ay kamangmangan. Upang turuan ang mga tauhan kung paano tumugon sa karaniwang mga pagtatangka sa paglabag, dapat mag-alok ang mga organisasyon ng pagsasanay sa kaalaman sa seguridad.
Halimbawa, ano ang gagawin kung may sumubok na isunod ang isang empleyado sa lugar ng trabaho o humingi ng sensitibong impormasyon.
Ang ilan sa mga pinakamadalas na cyberattack ay inilarawan sa listahan sa ibaba:
- Atake ng DDoS
- Atake ng phishing
- Mga pag-atake ng clickjacking
- Atake ng Ransomware
- Pag-atake ng malware
- Paano tumugon sa tailgating
Suriin ang Attack Resistance
Magsagawa ng kinokontrol na mga pag-atake sa social engineering sa iyong kumpanya upang subukan ito. Magpadala ng mga maling email sa phishing, at malumanay na pagsabihan ang mga miyembro ng kawani na nagbubukas ng mga attachment, nag-click sa mga nakakapinsalang link, o nagre-react.
Sa halip na ituring bilang mga pagkabigo sa cybersecurity, ang mga pagkakataong ito ay dapat na makita bilang mga sitwasyong may mataas na edukasyon.
Seguridad sa Operasyon
Ang OPSEC ay isang paraan para makita ang magiliw na gawi na maaaring maging kapaki-pakinabang sa isang umaatake sa hinaharap. Maaaring ilantad ng OPSEC ang sensitibo o mahalagang data kung ito ay naaangkop na naproseso at nakapangkat sa iba pang data.
Maaari mong limitahan ang dami ng impormasyong makukuha ng mga social engineer sa pamamagitan ng paggamit ng mga pamamaraan ng OPSEC.
Maghanap ng Data Leaks
Ang pag-alam kung ang mga kredensyal ay nalantad bilang resulta ng isang pagtatangka sa phishing ay maaaring maging mahirap.
Ang iyong kumpanya ay dapat na patuloy na maghanap ng mga pagkakalantad ng data at mga nag-leak na kredensyal dahil ang ilang mga phisher ay maaaring tumagal ng ilang buwan o kahit na taon upang samantalahin ang mga kredensyal na kanilang nakolekta.
Ipatupad ang multi-factor authentication
Magpatupad ng multi-factor na paraan ng pagpapatotoo na nangangailangan ng mga user na magkaroon ng token, malaman ang isang password, at magkaroon ng kanilang biometrics upang makakuha ng access sa mga kritikal na mapagkukunan.
Magpatupad ng isang third-party na sistema ng pamamahala sa peligro
Bago magdala ng mga bagong vendor o magpatuloy sa pakikipagtulungan sa mga kasalukuyang supplier, lumikha ng isang sistema para sa pamamahala ng mga panganib ng ikatlong partido, isang patakaran sa pamamahala ng vendor, at magsagawa ng panganib sa cybersecurity pagtatasa
Lalo na pagkatapos maibenta ang ninakaw na data sa dark web, mas simple ang pag-iwas sa mga paglabag sa data kaysa linisin ang mga ito.
Maghanap ng software na maaaring awtomatikong pamahalaan ang panganib ng vendor at regular na subaybayan, ranggo, at suriin ang cybersecurity ng iyong mga vendor.
Baguhin ang iyong mga kagustuhan sa spam na email.
Ang pagpapalit ng iyong mga setting ng email ay isa sa mga pinakasimpleng paraan upang ipagtanggol ang iyong sarili mula sa mga pagtatangka sa social engineering. Maaari mong pagbutihin ang iyong mga filter ng spam upang panatilihing wala sa iyong inbox ang mga email ng social engineering scam.
Maaari mo ring direktang idagdag ang mga email address ng mga indibidwal at organisasyong alam mong totoo sa iyong mga digital na listahan ng contact – sinumang nagpapanggap bilang sila ngunit ang paggamit ng ibang address sa hinaharap ay malamang na isang social engineer.
Konklusyon
Sa wakas, ang social engineering ay isang medyo simpleng pamamaraan na maaaring magamit upang gumawa ng mga pandaraya, pandaraya, o iba pang mga krimen. Maaari itong mangyari sa sinuman nang personal, sa telepono, o online.
Ang mga social engineer ay hindi kailangang maging masyadong teknikal; kailangan lang nilang maakit ka sa pagbibigay sa kanila ng pribadong impormasyon.
Ito ay isang potensyal na nakapipinsalang panloloko dahil lahat tayo ay nasa panganib. Ang social media ay nagbigay-daan din sa mga social engineer na maging mas tuso sa pamamagitan ng pagbibigay-daan sa kanila na lumikha ng mga maling account na madaling mapagkamalang tunay o kahit na magpanggap bilang mga aktwal na indibidwal.
Palaging mag-ingat habang nakakakita ng kakaiba o hindi pamilyar na mga profile sa social media.
Mag-iwan ng Sagot