Skadelig programvare er ikke den eneste online trusselen du trenger å bekymre deg for. Samfunnsingeniør er en stor trussel, og den kan treffe deg på ethvert operativsystem. Faktisk kan sosialteknikk også forekomme over telefon og i ansikt til ansikt situasjoner.
Det er viktig å være oppmerksom på sosialteknikk og være på utkikk. Sikkerhetsprogrammer beskytter deg ikke mot de fleste sosialtekniske trusler, så du må beskytte deg selv.
Social Engineering Explained
Tradisjonelle databaserte angrep avhenger ofte av å finne et sikkerhetsproblem i datamaskinkoden. Hvis du for eksempel bruker en utdatert versjon av Adobe Flash - eller, gud forby, Java , som var årsaken til 91% av angrepene i 2013 ifølge Cisco - du kan besøke et ondsinnet nettsted, og det nettstedet vil utnytte sårbarheten i programvaren din for å få tilgang til datamaskinen din. Angriperen manipulerer feil i programvare for å få tilgang og samle privat informasjon, kanskje med en nøkkellogger de installerer.
Sosialtekniske triks er forskjellige fordi de involverer psykologisk manipulasjon i stedet. Med andre ord, de utnytter mennesker, ikke programvaren deres.
I SLEKT: Online sikkerhet: Bryte ned anatomien til en phishing-e-post
Du har sikkert allerede hørt om phishing , som er en form for sosial ingeniørfag. Du kan motta en e-post som hevder å være fra banken din, kredittkortselskapet eller en annen pålitelig virksomhet. De kan lede deg til et falskt nettsted som er forkledd for å se ut som et ekte, eller be deg om å laste ned og installere et ondsinnet program. Men slike sosialtekniske triks trenger ikke å involvere falske nettsteder eller skadelig programvare. Phishing-e-posten kan bare be deg om å sende et e-postsvar med privat informasjon. I stedet for å prøve å utnytte en feil i en programvare, prøver de å utnytte normale menneskelige interaksjoner. Spyd phishing kan være enda farligere, siden det er en form for phishing designet for å målrette mot bestemte personer.
Eksempler på sosial ingeniørfag
Et populært triks i chattetjenester og online spill har vært å registrere en konto med et navn som "Administrator" og sende folk skumle meldinger som "ADVARSEL: Vi har oppdaget at noen kan hacke kontoen din, svare med passordet ditt for å godkjenne deg selv." Hvis et mål svarer med passordet sitt, har de falt for trikset, og angriperen har nå kontopassordet sitt.
Hvis noen har personlig informasjon om deg, kan de bruke den til å få tilgang til kontoene dine. For eksempel blir informasjon som fødselsdato, personnummer og kredittkortnummer ofte brukt til å identifisere deg. Hvis noen har denne informasjonen, kan de kontakte en bedrift og late som om du er deg. Dette trikset ble kjent brukt av en angriper for å få tilgang til Sarah Palins Yahoo! Mail-konto i 2008, og sendte inn nok personlige detaljer for å få tilgang til kontoen gjennom Yahoo! S skjema for gjenoppretting av passord. Den samme metoden kan brukes over telefon hvis du har den personlige informasjonen virksomheten krever for å autentisere deg. En angriper med litt informasjon om et mål kan late som om de er og få tilgang til flere ting.
Sosialteknikk kan også brukes personlig. En angriper kan gå inn i en bedrift, informere sekretæren om at de er en reparatør, nyansatt eller branninspektør i en autoritativ og overbevisende tone, og deretter streife omkring i hallene og potensielt stjele konfidensielle data eller plante insekter for å utføre bedriftsspionasje. Dette trikset avhenger av at angriperen presenterer seg som en de ikke er. Hvis en sekretær, dørvakt eller den andre som har ansvaret ikke stiller for mange spørsmål eller ser for nøye, vil trikset lykkes.
I SLEKT: Hvordan angripere faktisk "hacker kontoer" på nettet og hvordan du kan beskytte deg selv
Sosialtekniske angrep spenner over falske nettsteder, falske e-postmeldinger og skumle chat-meldinger helt opp til å utgi seg for noen på telefon eller personlig. Disse angrepene kommer i mange forskjellige former, men de har alle en ting til felles - de er avhengige av psykologiske lureri. Samfunnsingeniør har blitt kalt kunsten å psykologisk manipulasjon. Det er en av de viktigste måtene “hackere” faktisk “hacker” kontoer på nettet .
Hvordan unngå sosialteknikk
Å vite at sosialteknikk eksisterer kan hjelpe deg med å bekjempe det. Vær mistenksom over uønskede e-poster, chatmeldinger og telefonsamtaler som ber om privat informasjon. Ikke avslør finansiell informasjon eller viktig personlig informasjon via e-post. Ikke last ned potensielt farlige e-postvedlegg og kjør dem, selv om en e-post påstår at de er viktige.
Du bør heller ikke følge lenker i en e-post til sensitive nettsteder. For eksempel, ikke klikk på en lenke i en e-post som ser ut til å komme fra banken din og logg inn. Det kan ta deg til et falskt phishing-nettsted som er forkledd for å se ut som bankens nettsted, men med en subtil annen nettadresse. Besøk nettstedet direkte i stedet.
Hvis du mottar en mistenkelig forespørsel - for eksempel en telefonsamtale fra banken din ber om personlig informasjon - kontakt kilden til forespørselen direkte og be om bekreftelse. I dette eksemplet vil du ringe banken din og spørre hva de vil i stedet for å videreformidle informasjonen til noen som hevder å være banken din.
E-postprogrammer, nettlesere og sikkerhetsserier har generelt phishing-filtre som vil advare deg når du besøker et kjent phishing-nettsted. Alt de kan gjøre er å advare deg når du besøker et kjent phishing-nettsted eller mottar en kjent phishing-e-post, og de vet ikke om alle phishing-nettsteder eller e-postmeldinger der ute. For det meste er det opp til deg å beskytte deg selv - sikkerhetsprogrammer kan bare hjelpe litt.
Det er en god idé å utvise en sunn mistanke når du arbeider med forespørsler om private data og alt annet som kan være et sosialteknisk angrep. Mistanke og forsiktighet vil bidra til å beskytte deg, både online og offline.
Bildekreditt: Jeff Turnet på Flickr
