2024 Autor: Peter John Melton | [email protected]. Naposledy změněno: 2023-12-16 04:44
Nedávná zpráva mě uvědomila, jak mohou být lidské emoce a myšlenky využívány prospěšné pro druhé. Téměř každý z vás ví Edwarda Snowdena, informátora NSA, který slepí po celém světě. Reuters oznámil, že dostal kolem 20-25 lidí NSA, aby jim předali hesla, aby získali nějaké údaje, které vyšel později [1]. Představte si, jak může být vaše podniková síť křehká, a to i s nejsilnějším a nejlepším bezpečnostním softwarem!
Co je sociální inženýrství
Lidská slabost, zvědavost, emoce a další charakteristiky byly často používány při nelegálním získávání údajů - ať už je to jakýkoli průmysl. IT průmyslu však dává jménu sociálního inženýrství. Definuji sociální inženýrství jako:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Zde je další řada ze stejného zpravodajského příspěvku [1], který chci citovat - "Bezpečnostní agentury mají těžký čas s myšlenkou, že ten chlápek v příštím kabině nemusí být spolehlivý". Příkaz jsem trochu upravil, abych se do tohoto kontextu přizpůsobil. Celý článek o novinkách můžete přečíst pomocí odkazu v části Odkazy.
Jinými slovy, nemáte úplnou kontrolu nad bezpečností vašich organizací se sociálním inženýrstvím vyvíjejícím se mnohem rychleji než techniky, které se s ním vyrovnávají. Sociální inženýrství může být něco jako volání někdo říkat, že jste technická podpora a požádat je o jejich přihlašovací údaje. Museli jste dostávat phishingové pošty o loteriích, bohaté lidi na Středním Východě a Africe, kteří chtějí obchodní partnery a nabídky práce, aby se vás zeptali na vaše detaily.
Na rozdíl od phishingových útoků je sociální inženýrství velkou přímou interakcí mezi člověkem a člověkem. Bývalý (phishing) zaměstnává návnadu - to znamená, že lidé "rybaření" vám nabízejí něco, co doufá, že na to padnete. Sociální inženýrství spočívá spíše v získávání důvěry vnitřních zaměstnanců, aby vám poskytly informace o firmě, které potřebujete.
Číst: Populární metody sociálního inženýrství.
Známé techniky sociálního inženýrství
Existuje mnoho a všichni používají základní lidské tendence, jak se dostat do databáze jakékoli organizace. Nejčastěji používanou (pravděpodobně zastaralou) technikou sociálního inženýrství je volat a setkat se s lidmi a uvěřit jim, že jsou z technické podpory, kteří potřebují zkontrolovat váš počítač. Mohou také vytvářet falešné průkazy k získání důvěry. V některých případech představují viníci státní úředníci.
Další slavná technika je zaměstnat vaši osobu jako zaměstnance v cílové organizaci. Nyní, protože je to váš kolega, mohl byste mu důvěřovat detailům společnosti. Externí zaměstnanec vám může pomoci s něčím, takže se cítíte povinen, a to je, když dokáže vynaložit maximum.
Také jsem četl několik zpráv o tom, že lidé používají elektronické dárky. Fantastická USB klíčenka, která vám byla doručena na adresu vaší firmy nebo pero, které leží ve vašem voze, může být katastrofou. V takovém případě někdo nechal záměrně na parkovišti nějaké USB jednotky jako návnady [2].
Je-li vaše podniková síť v každém uzlu dobrá bezpečnostní opatření, jste požehnaní. V opačném případě tyto uzly poskytují snadný průchod škodlivým softwarem - v tomto daru nebo "zapomenutém" pohonu pero - do centrálních systémů.
Jako takové nemůžeme poskytnout komplexní seznam metod společenského inženýrství. Jde o vědu v jádru, v kombinaci s uměním na vrcholu. A vy víte, že žádný z nich nemá žádné hranice. Kluci sociálního inženýrství pokračují v získávání kreativity při vývoji softwaru, který může také zneužívat bezdrátová zařízení, která získávají přístup k podnikové síti Wi-Fi.
Číst: Co je společensky navržený malware.
Zabraňte sociálnímu inženýrství
Osobně si nemyslím, že existuje nějaká věta, kterou mohou administrátoři použít k tomu, aby zabránili hackům sociálního inženýrství. Techniky sociálního inženýrství se neustále mění, a proto je IT administrátorům obtížné sledovat, co se děje.
Samozřejmě existuje potřeba mít přehled o novinkách v oblasti sociálního inženýrství, aby byl člověk dostatečně informován, aby přijal vhodná bezpečnostní opatření. Například v případě zařízení USB mohou administrátoři blokovat jednotky USB na jednotlivých uzlech, což jim umožňuje pouze na serveru, který má lepší bezpečnostní systém. Stejně tak by Wi-Fi potřebovala lepší šifrování, než většina místních poskytovatelů internetových služeb.
Školení zaměstnanců a provádění náhodných testů na různých skupinách zaměstnanců může pomoci identifikovat slabé stránky v organizaci. Bylo by snadné trénovat a opatrně upozorňovat slabší jednotlivce. Varování je nejlepší obranou. Stres by měl být, že přihlašovací informace by neměly být sdíleny ani s vedoucími týmu - bez ohledu na tlak. Pokud vedoucí družstva potřebuje přístup k přihlašovacímu členu, může použít hlavní heslo. To je jen jeden návrh, jak zůstat v bezpečí a vyhnout se sociálnímu hackingu.
Spodní řádek je, kromě malware a hackerů online, že IT pracovníci se také musí starat o sociální inženýrství. Při identifikaci metod porušení dat (například zapisování hesel apod.) By administrátoři měli také zajistit, aby jejich zaměstnanci byli natolik inteligentní, aby identifikovali techniku sociálního inženýrství, aby se tomu zcela vyhnuli. Co si myslíte, že jsou nejlepším způsobem, jak zabránit sociálnímu inženýrství? Pokud jste narazili na nějaký zajímavý případ, sdělte nám prosím.
Stáhněte si tuto e-knihu o sociálních inženýrských útocích, které vydala společnost Microsoft, a zjistěte, jak tyto útoky ve vaší organizaci můžete odhalit a zabránit.
Reference
[1] Reuters a Snowden přesvědčili zaměstnance NSA, aby získali své přihlašovací údaje
[2] Boing Net, Penové disky používané k šíření malwaru.
Doporučuje:
Co je sociální inženýrství, a jak se jí můžete vyhnout?
Malware není jediným nebezpečím online, které by se mohlo bát. Sociální inženýrství je obrovská hrozba a může vás zasáhnout na libovolném operačním systému. Sociální inženýrství se ve skutečnosti může vyskytnout i telefonicky a tváří v tvář.
USB flash disk chráněný proti zápisu s ochranou proti zápisu USB
Funkce USB Write Protect for Windows zapisuje ochranu vašich USB flash disků před náhodným smazáním nebo úpravami souborů. Stáhněte si zdarma.
Populární metody sociálního inženýrství
Tento příspěvek se podívá na některé z nejpopulárnějších metod sociálního inženýrství, jako je použití vodních děr, honeckých pasti apod. Podívejte se, jak se můžete chránit.
Jak útočníci sociálního inženýrství používají přílohy PDF pro phishing
Tento útok typu phishing způsobí, že soubor PDF vypadá jako chráněný soubor aplikace Excel, který může být zobrazen pouze s aplikací Microsoft Excel po zadání pověření e-mailu.
Proč jsou webové stránky hackovány? Jak zabránit hackingu?
Proč se webové stránky dostanou do hackerů? Co dělat, pokud je váš blog napaden nebo jste čelili útokům? Jak můžete zabránit takovým útokům? Přečtěte si, abyste to zjistili.