Vad är socialteknik? [MakeUseOf Förklarar]
Du kan installera branschens starkaste och dyraste brandvägg Hur fungerar en brandvägg? [MakeUseOf Förklarar] Hur fungerar en brandvägg? [MakeUseOf Explains] Det finns tre mjukvaror som enligt min mening gör ryggraden för en anständig säkerhetsinstallation på din hemdator. Det här är anti-viruset, brandväggen och lösenordshanteraren. Av dessa, den ... Läs mer. Du kan utbilda anställda om grundläggande säkerhetsprocedurer och vikten av att välja starka lösenord Hur du skapar starka lösenord som du enkelt kan komma ihåg Hur man skapar starka lösenord som du kan komma ihåg enkelt Läs mer. Du kan till och med låsa ner serverns rummet - men hur skyddar du ett företag från hotet om socialteknikattacker?
Från ett socialt tekniskt perspektiv är medarbetare den svaga länken i kedjan av säkerhetsåtgärder Få en säkerhetskonfiguration för din WordPress-webbplats med WebsiteDefender Få en säkerhetskonfiguration för din WordPress-webbplats med WebsiteDefender Med Wordpress popularitet någonsin ökat har säkerhetsfrågor aldrig varit mer relevanta - men förutom att helt enkelt hålla sig uppdaterad, hur kan en nybörjare eller medelnivån stanna kvar på saker? Skulle du ens ... Läs mer på plats. Människor är inte bara mottagliga för grundläggande mänskliga fel utan även riktade attacker från individer som hoppas kunna övertyga dem om att ge upp känslig information. Idag utforskar vi några av de sociala teknikerna som används för att lura och lura.
Grunderna för socialteknik
Socialteknik är en handling att manipulera en person till att få tillgång till eller känslig data genom att predika på grundläggande mänsklig psykologi. Skillnaden mellan socialtekniska attacker och till exempel en hacker som försöker få tillgång till en webbplats är valet av verktyg som används. En hackare kan leta efter en svaghet i säkerhetsprogramvaran eller en sårbarhet på servern medan en social ingenjör ska använda sociala tekniker som tvingar offret att fritt ge bort information eller åtkomst.
Dessa taktik är inget nytt och har funnits så länge som människor bestämde sig för att lura varandra var en godtagbar sätt att leva på. Nu när samhället har utvecklats för att förlita sig på den omedelbara karaktären av internet och on-demand information, blir fler än någonsin utsatta för socialtekniska attacker i stor skala.
Mycket av tiden kommer angriparen inte komma ansikte mot ansikte med sitt offer, istället förlitar sig på email, IM och telefonsamtal för att utföra attacken. Det finns en mängd tekniker som allmänt anses vara socialtekniska attacker, så låt oss ta en titt på dem mer detaljerat.
Teknik för socialteknik förklaras
phishing
En av de mer kända teknikerna, tack vare medvetenheten från e-postleverantörer som Google och Yahoo, är phishing ett ganska grundläggande och mycket vanligt förekommande exempel på socialteknik.
Den vanligaste typen av bedrägeri som oftast sker via e-post är att man övertygar offeret om att du lovligt begär känslig information. En av de vanligaste typerna av phishing-attacker innebär att du begär offer “kontrollera” deras bankkonto eller PayPal-information Så här håller du ditt Paypal-konto säkert från hackare Så här håller du ditt PayPal-konto säkert från hackare Läs mer för att undvika att deras konton sparas. Anfallaren, eller phisher, kommer ofta att köpa en domän som är utformad för att imitera en officiell resurs och avvikelser i webbadressen ger ofta spelet borta.
Online phishing blir lättare att upptäcka och rapportera tack vare filtreringstekniker som används av e-postleverantörer. Det är också bra att aldrig avslöja känslig eller finansiell information via e-post - ingen legitim organisation kommer någonsin att begära att du gör det - och att dubbelklicka på webbadresser för legitimitet innan du anger viktiga uppgifter.
Telefonteknik eller “vishing”
Interaktivt röstsvar (IVR) eller vishing (röstfiskning) innebär att man använder liknande tekniker för de ovan beskrivna via en telefon eller ett VoIP-gränssnitt. Det finns ett antal olika vishing tekniker, och de är:
- Direkt ringer offeret med hjälp av en automatiserad “Ditt kreditkort har blivit stulen” eller “brådskande åtgärder krävs” bluff, sedan begär “säkerhetsverifiering” för att återställa normal åtkomst till kontot.
- Skicka e-post till offret och instruera dem att ringa ett telefonnummer och verifiera kontouppgifter innan de beviljar åtkomst.
- Använda faux interaktiv telefonteknik eller direkt mänsklig interaktion för att extrahera information, t.ex.. “tryck 1 för ... ” eller “Ange ditt kreditkortsnummer efter pipen”.
- Ringa offeret, övertyga dem om ett säkerhetshot på datorn och instruera dem att köpa eller installera programvara (ofta skadlig programvara eller fjärrskrivbordsprogramvara) för att åtgärda problemet.
Jag har personligen varit på mottagaränden på mjukvaruapparatens bluff och, även om jag inte föll för något, skulle jag inte bli förvånad om någon gjorde tack vare de jobbade taktikerna. Mitt möte innebar en “Microsoft-anställd” och några virus som inte existerade. Du kan läsa allt om det här Cold Calling Computer Technicians: Falla inte för ett bedrägeri som det här [Scam Alert!] Cold Calling Computer Technicians: Fall inte för en bluff så här [Scam Alert!] Du har nog hört termen "do not scam a scammer" men jag har alltid varit förtjust i "do not scam a tech writer" själv. Jag säger inte att vi är ofätliga, men om din bluff involverar Internet, en Windows ... Läs mer .
Hets
Denna speciella teknik förtar sig på en av mänsklighetens största svagheter - nyfikenhet. Om det medvetet lämnas fysiska medier, vare sig det är en diskett (osannolikt idag), optiskt media eller (oftast) en USB-stick någonstans är det troligt att det blir upptäckt, sätter scammaren helt enkelt tillbaka och väntar tills någon använder enheten.
Många datorer “autorun” USB-enheter, så när skadlig programvara som trojaner eller keyloggers binds på USB så är det möjligt för en maskin att smittas utan att offret ens inser. Svindlarar klä ofta upp sådana apparater med officiella logotyper eller etiketter som kan väcka intresse för potentiella offer.
pretexting
Denna teknik innebär att man övertygar offret i att ge upp information med hjälp av ett uppfunnet scenario. Scenariot är vanligen härledd från information som samlats om offret för att övertyga dem om att skummaren faktiskt är en auktoritativ eller officiell figur.
Beroende på vilken information skummaren är ute efter kan förskottet innebära grundläggande personlig information som hemadress eller födelsedatum, till mer specifik information som transaktionsbelopp på ett bankkonto eller avgifter på en räkning.
tailgating
En av de få tekniker som listas här, som involverar svindlaren, är fysiskt inblandad i attacken beskriver tailgating praktiken att få tillgång till ett begränsat område utan tillstånd genom att följa en annan (legitim) medarbetare i området. För många scammers tar bort behovet av att skaffa åtkomstkort eller nycklar och utgör ett potentiellt allvarligt brott mot säkerheten för det berörda företaget.
Denna speciella taktik förekommer på gemensam artighet, såsom att hålla en dörr för någon och har blivit ett sådant problem som många arbetsplatser har tagit för att ta itu med problemet med inlärning på inmatningar, som det meddelande som Apple använde i bilden ovan.
Andra tekniker
Det finns några andra tekniker förknippade med socialteknik, som något för någonting “motprestation” teknik som ofta används mot kontorsarbetare. Quid pro quo innebär att en angripare poserar som till exempel en teknisk supportanställd som returnerar ett samtal. Hållaren håller “ringer tillbaka” tills han eller hon finner någon som verkligen behöver stöd, erbjuder det men samtidigt extraherar annan information eller pekar offer för skadliga nedladdningar av programvaran.
En annan socialtekniksteknik är känd som “avledningsstöld” och är inte riktigt förknippad med datorer, Internet eller phishing. Istället är det en vanlig teknik som används för att övertygade legitima kurirer att tro att en leverans ska tas emot någon annanstans.
Slutsats
Om du misstänker att en person försöker att hugga dig med en socialteknisk bluff bör du meddela myndigheterna och (om tillämpligt) din arbetsgivare. Tekniker är inte begränsade till vad som har nämnts i denna artikel - nya bedrägerier och tricks utarbetas hela tiden - så håll dig vaken, fråga allt och bli inte offer för en bedrägeri.
Det bästa försvaret mot dessa attacker är kunskap - så informera dina vänner och familj att människor kan och kommer att använda dessa taktik mot dig.
Har du haft några run-ins med socialingenjörer? Har ditt företag utbildat arbetskraften om farorna med socialteknik? Lägg till dina tankar och frågor i kommentarerna nedan.
Bildkrediter: Wolf in Sheep's Clothing (Shutterstock), NetQoS Symposium USB-stick (Michael Coté), Paper Shredder (Sh4rp_i)
Utforska mer om: Phishing, bluffar.