Forstå Social Engineering - Beskyttelse mod menneskelig hacking
Et stykke seneste nyhed fik mig til at indse, hvordan menneskelige følelser og tanker kan (eller bruges) til andres fordel. Næsten alle af jer kender Edward Snowden , whistlebloweren fra NSA , der snuser verden over. Reuters rapporterede, at han fik omkring 20-25 NSA -folk til at udlevere deres adgangskoder til ham for at gendanne nogle data, han lækket senere [1]. Forestil dig(Imagine) , hvor skrøbeligt dit virksomhedsnetværk kan være, selv med den stærkeste og bedste sikkerhedssoftware!
Hvad er Social Engineering
Menneskelig(Human) svaghed, nysgerrighed, følelser og andre egenskaber er ofte blevet brugt til at udtrække data ulovligt - uanset om det er enhver industri. IT-Branchen(IT Industry) har dog givet det navnet social engineering. Jeg definerer social engineering som:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Her er en anden linje fra den samme nyhed [1], som jeg vil citere - " Sikkerhedsbureauer har det svært med tanken om, at fyren i den næste aflukke måske ikke er pålidelig(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ". Jeg modificerede udsagnet lidt for at passe det ind i konteksten her. Du kan læse hele nyheden ved at bruge linket i afsnittet Referencer(References) .
Med andre ord, du har ikke fuldstændig kontrol over sikkerheden i dine organisationer med social engineering, der udvikler sig meget hurtigere end teknikker til at klare det. Social engineering kan være noget som at ringe op til nogen og sige, at du er teknisk support og bede dem om deres loginoplysninger. Du må have modtaget phishing-e-mails om lotterier, rige mennesker i Mellemøsten(Mid East) og Afrika(Africa) , der ønsker forretningspartnere, og jobtilbud for at spørge dig om dine detaljer.
I modsætning til phishing-angreb er social engineering meget af direkte person-til-person interaktion. Førstnævnte (phishing) bruger en lokkemad - det vil sige, at folket "fisker" tilbyder dig noget i håb om, at du vil falde for det. Social engineering handler mere om at vinde de interne medarbejderes tillid, så de afslører de virksomhedsdetaljer, du har brug for.
Læs: (Read:) Populære metoder til Social Engineering .
Kendte sociale ingeniørteknikker
Der er mange, og alle bruger de grundlæggende menneskelige tendenser til at komme ind i enhver organisations database. Den mest brugte (sandsynligvis forældede) social engineering-teknik er at ringe og møde folk og få dem til at tro, at de er fra teknisk support, som skal tjekke din computer. De kan også oprette falske ID-kort for at skabe tillid. I nogle tilfælde udgiver de skyldige sig som statslige embedsmænd.
En anden berømt teknik er at ansætte din person som medarbejder i målorganisationen. Nu, da denne svindel er din kollega, kan du måske stole på ham med firmaoplysninger. Den eksterne medarbejder kan måske hjælpe dig med noget, så du føler dig forpligtet, og det er der, de kan få det maksimale ud.
Jeg læste også nogle rapporter om folk, der bruger elektroniske gaver. En smart USB -stick leveret til dig på din virksomhedsadresse eller et pendrev, der ligger i din bil, kan bevise katastrofer. I et tilfælde efterlod nogen nogle USB -drev bevidst på parkeringspladsen som lokkemad [2].
Hvis dit firmanetværk har gode sikkerhedsforanstaltninger ved hver knude, er du velsignet. Ellers giver disse noder en nem passage for malware - i den gave eller "glemte" pennedrev - til de centrale systemer.
Som sådan kan vi ikke give en udtømmende liste over sociale ingeniørmetoder. Det er en videnskab i kernen, kombineret med kunst på toppen. Og du ved, at ingen af dem har nogen grænser. Socialingeniører(Social) bliver ved med at være kreative, mens de udvikler software, der også kan misbruge trådløse enheder og få adgang til virksomhedens Wi-Fi .
Læs: (Read:) Hvad er socialt udviklet malware .
Forebyg Social Engineering
Personligt tror jeg ikke, at der er nogen teorem, som administratorer kan bruge til at forhindre social engineering hacks. De sociale ingeniørteknikker bliver ved med at ændre sig, og derfor bliver det svært for it-administratorer at holde styr på, hvad der sker.
Selvfølgelig er der behov for at holde øje med nyheder om social engineering, så man er informeret nok til at tage passende sikkerhedsforanstaltninger. For eksempel, i tilfælde af USB -enheder, kan administratorer blokere USB - drev på individuelle noder, hvilket kun tillader dem på den server, der har et bedre sikkerhedssystem. Ligeledes(Likewise) ville Wi-Fi have brug for bedre kryptering, end de fleste af de lokale internetudbydere(ISPs) tilbyder.
Træning af medarbejdere og udførelse af stikprøver på forskellige medarbejdergrupper kan hjælpe med at identificere svage punkter i organisationen. Det ville være nemt at træne og advare de svagere personer. Årvågenhed(Alertness) er det bedste forsvar. Det skal understreges, at loginoplysninger ikke skal deles med teamlederne – uanset presset. Hvis en teamleder har brug for at få adgang til et medlems login, kan han/hun bruge en hovedadgangskode. Det er blot et forslag til at forblive sikker og undgå hacks fra social engineering.
Den nederste linje er, bortset fra malware og online hackere, at it-folkene også skal tage sig af social engineering. Mens de identificerer metoder til et databrud (som at nedskrive adgangskoder osv.), bør administratorerne også sikre, at deres personale er smart nok til at identificere en social engineering-teknik for at undgå det helt. Hvad synes du er de bedste metoder til at forhindre social engineering? Hvis du er stødt på en interessant sag, så del gerne med os.
Download denne e-bog om Social Engineering Attacks udgivet af Microsoft og lær, hvordan du kan opdage og forhindre sådanne angreb i din organisation.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)
Referencer(References)
[1] Reuters , Snowden overtalte NSA-medarbejdere til at få (NSA Employees Into)deres(Info) loginoplysninger
[2] Boing Net , Pen Drives bruges til at sprede malware(Spread Malware) .
Related posts
Internet og sociale netværkssider afhængighed
Falske nyhedswebsteder: Et voksende problem og hvad det betyder i dagens verden
Sådan opsætter, optager, redigerer, udgiver du Instagram Reels
Sådan aktiveres to-faktor-godkendelse for Reddit-konto
Opret forbindelse til Windows Club
Sådan bliver du en influencer på Instagram
Sådan får du Instagram eller Snapchat på en Windows-pc
Cold Turkey Distraktion Blocker blokerer online-distraktioner
Bedste gratis Canva skabeloner til præsentation
Sådan opretter du en gruppe i Telegram og bruger Voice Chat-funktionen
Sådan administrerer du Facebook-annoncepræferencer og fravælger annoncesporing
Sådan bruger du Instagram Reels til at oprette eller se videoer
Hvad skal man gøre, når Facebook-konto er hacket?
10 Reddit tips og tricks til at hjælpe dig med at blive en mester Redditor
Tilbagekald tredjepartsadgang fra Facebook, Google, Microsoft, Twitter
Sådan søger du i Reddit på den mest effektive måde
Sådan slår du lyden fra, slår til og begrænser Instagram-brugere på Windows-pc
Sådan bliver du en influencer på Twitter
Bedste gratis Canva-skabeloner til Instagram
Sådan bliver du en YouTube-influencer