Et stykke seneste nyhed fik mig til at indse, hvordan menneskelige følelser og tanker kan (eller bruges) til andres fordel. Næsten alle af jer kender Edward Snowden , whistlebloweren fra NSA , der snuser verden over. Reuters rapporterede, at han fik omkring 20-25 NSA -folk til at udlevere deres adgangskoder til ham for at gendanne nogle data, han lækket senere [1]. Forestil dig^(Imagine) , hvor skrøbeligt dit virksomhedsnetværk kan være, selv med den stærkeste og bedste sikkerhedssoftware!

Hvad er Social Engineering

Menneskelig^(Human) svaghed, nysgerrighed, følelser og andre egenskaber er ofte blevet brugt til at udtrække data ulovligt - uanset om det er enhver industri. IT-Branchen^{(IT Industry)} har dog givet det navnet social engineering. Jeg definerer social engineering som:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Her er en anden linje fra den samme nyhed [1], som jeg vil citere - " Sikkerhedsbureauer har det svært med tanken om, at fyren i den næste aflukke måske ikke er pålidelig^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} ". Jeg modificerede udsagnet lidt for at passe det ind i konteksten her. Du kan læse hele nyheden ved at bruge linket i afsnittet Referencer^(References) .

Med andre ord, du har ikke fuldstændig kontrol over sikkerheden i dine organisationer med social engineering, der udvikler sig meget hurtigere end teknikker til at klare det. Social engineering kan være noget som at ringe op til nogen og sige, at du er teknisk support og bede dem om deres loginoplysninger. Du må have modtaget phishing-e-mails om lotterier, rige mennesker i Mellemøsten^{(Mid East)} og Afrika^(Africa) , der ønsker forretningspartnere, og jobtilbud for at spørge dig om dine detaljer.

I modsætning til phishing-angreb er social engineering meget af direkte person-til-person interaktion. Førstnævnte (phishing) bruger en lokkemad - det vil sige, at folket "fisker" tilbyder dig noget i håb om, at du vil falde for det. Social engineering handler mere om at vinde de interne medarbejderes tillid, så de afslører de virksomhedsdetaljer, du har brug for.

Læs: ^(Read:) Populære metoder til Social Engineering .

Kendte sociale ingeniørteknikker

Der er mange, og alle bruger de grundlæggende menneskelige tendenser til at komme ind i enhver organisations database. Den mest brugte (sandsynligvis forældede) social engineering-teknik er at ringe og møde folk og få dem til at tro, at de er fra teknisk support, som skal tjekke din computer. De kan også oprette falske ID-kort for at skabe tillid. I nogle tilfælde udgiver de skyldige sig som statslige embedsmænd.

En anden berømt teknik er at ansætte din person som medarbejder i målorganisationen. Nu, da denne svindel er din kollega, kan du måske stole på ham med firmaoplysninger. Den eksterne medarbejder kan måske hjælpe dig med noget, så du føler dig forpligtet, og det er der, de kan få det maksimale ud.

Jeg læste også nogle rapporter om folk, der bruger elektroniske gaver. En smart USB -stick leveret til dig på din virksomhedsadresse eller et pendrev, der ligger i din bil, kan bevise katastrofer. I et tilfælde efterlod nogen nogle USB -drev bevidst på parkeringspladsen som lokkemad [2].

Hvis dit firmanetværk har gode sikkerhedsforanstaltninger ved hver knude, er du velsignet. Ellers giver disse noder en nem passage for malware - i den gave eller "glemte" pennedrev - til de centrale systemer.

Som sådan kan vi ikke give en udtømmende liste over sociale ingeniørmetoder. Det er en videnskab i kernen, kombineret med kunst på toppen. Og du ved, at ingen af ​​dem har nogen grænser. Socialingeniører^(Social) bliver ved med at være kreative, mens de udvikler software, der også kan misbruge trådløse enheder og få adgang til virksomhedens Wi-Fi .

Læs: ^(Read:) Hvad er socialt udviklet malware .

Forebyg Social Engineering

Personligt tror jeg ikke, at der er nogen teorem, som administratorer kan bruge til at forhindre social engineering hacks. De sociale ingeniørteknikker bliver ved med at ændre sig, og derfor bliver det svært for it-administratorer at holde styr på, hvad der sker.

Selvfølgelig er der behov for at holde øje med nyheder om social engineering, så man er informeret nok til at tage passende sikkerhedsforanstaltninger. For eksempel, i tilfælde af USB -enheder, kan administratorer blokere USB - drev på individuelle noder, hvilket kun tillader dem på den server, der har et bedre sikkerhedssystem. Ligeledes^(Likewise) ville Wi-Fi have brug for bedre kryptering, end de fleste af de lokale internetudbydere^(ISPs) tilbyder.

Træning af medarbejdere og udførelse af stikprøver på forskellige medarbejdergrupper kan hjælpe med at identificere svage punkter i organisationen. Det ville være nemt at træne og advare de svagere personer. Årvågenhed^(Alertness) er det bedste forsvar. Det skal understreges, at loginoplysninger ikke skal deles med teamlederne – uanset presset. Hvis en teamleder har brug for at få adgang til et medlems login, kan han/hun bruge en hovedadgangskode. Det er blot et forslag til at forblive sikker og undgå hacks fra social engineering.

Den nederste linje er, bortset fra malware og online hackere, at it-folkene også skal tage sig af social engineering. Mens de identificerer metoder til et databrud (som at nedskrive adgangskoder osv.), bør administratorerne også sikre, at deres personale er smart nok til at identificere en social engineering-teknik for at undgå det helt. Hvad synes du er de bedste metoder til at forhindre social engineering? Hvis du er stødt på en interessant sag, så del gerne med os.

Download denne e-bog om Social Engineering Attacks udgivet af Microsoft og lær, hvordan du kan opdage og forhindre sådanne angreb i din organisation.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Referencer^(References)

[1] Reuters , Snowden overtalte NSA-medarbejdere til at få ^{(NSA Employees Into)}deres^(Info) loginoplysninger

[2] Boing Net , Pen Drives bruges til at sprede malware^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

Α рiece of recent news made me realize how human emotions and thoughts can be (or, аre) υsed for others’ benefit. Almost every one of you knows Edward Snowden, the whistleblower of NSA snooping the world over. Rеυters reported that he got around 20-25 NSA people to hand over their pаsswords to him for recovering some data hе leaked later [1]. Imagine how fragile your cоrporate network can be, evеn wіth the strоngest and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Internet og sociale netværkssider afhængighed

• Falske nyhedswebsteder: Et voksende problem og hvad det betyder i dagens verden

• Sådan opsætter, optager, redigerer, udgiver du Instagram Reels

• Sådan aktiveres to-faktor-godkendelse for Reddit-konto

• Opret forbindelse til Windows Club

• Sådan bliver du en influencer på Instagram

• Sådan får du Instagram eller Snapchat på en Windows-pc

• Cold Turkey Distraktion Blocker blokerer online-distraktioner

• Bedste gratis Canva skabeloner til præsentation

• Sådan opretter du en gruppe i Telegram og bruger Voice Chat-funktionen

• Sådan administrerer du Facebook-annoncepræferencer og fravælger annoncesporing

• Sådan bruger du Instagram Reels til at oprette eller se videoer

• Hvad skal man gøre, når Facebook-konto er hacket?

• 10 Reddit tips og tricks til at hjælpe dig med at blive en mester Redditor

• Tilbagekald tredjepartsadgang fra Facebook, Google, Microsoft, Twitter

• Sådan søger du i Reddit på den mest effektive måde

• Sådan slår du lyden fra, slår til og begrænser Instagram-brugere på Windows-pc

• Sådan bliver du en influencer på Twitter

• Bedste gratis Canva-skabeloner til Instagram

• Sådan bliver du en YouTube-influencer