Socijalni inženjering: glavna prijetnja vašoj privatnosti

Socijalni inženjeringSocijalni inženjering

Zaštita vaše privatnosti zahtijeva više od pokretanja distribucije Linuxa usmjerene na privatnost i upotrebe upravitelja lozinki. Mnogi sigurnosni stručnjaci vjeruju da je najslabija karika u bilo kojem sustavu čovjek koji njime upravlja.

U ovom ćemo članku naučiti što je socijalni inženjering i zašto je to takva prijetnja. Zatim ćemo pogledati neke napade socijalnog inženjeringa koje negativci mogu upotrijebiti protiv vas, kako online, tako i offline. Završavamo ga s nekoliko savjeta kako se zaštititi od napada socijalnog inženjeringa.

Što je socijalni inženjering?

Merriam-Webster definira socijalni inženjering kao „upravljanje ljudima u skladu s njihovim mjestom i funkcijom u društvu“. To samo po sebi zvuči pomalo jezivo. No, posljednjih godina fraza je dobila manipulativnije, zlokobnije značenje.

Danas socijalni inženjering znači nešto poput “manipuliranje ljudima radi davanja povjerljivih informacija”. Kad ovdje govorimo o socijalnom inženjeringu, to je osjećaj koji koristimo.

Zašto je socijalni inženjering takva prijetnja

Kriminalci se koriste socijalnim inženjeringom jer je to lakše od hakiranja računalnog sustava. Prevariti nekoga da vam kaže nešto što ne bi trebao relativno je lako. Većina ljudi vjeruje drugima.

Nije važno koliko je siguran vaš računalni sustav. Ili gdje ste sakrili svoje osobne dokumente. Ili koliko je stražara ispred vaših ureda. Napadi socijalnog inženjeringa zaobilaze sve to.

Poznati bivši haker Kevin Mitnick često je koristio napade socijalnog inženjeringa kako bi ušao u “sigurne” računalne sustave.

“Svatko tko misli da sigurnosni proizvodi sami nude istinsku sigurnost zadovoljava se iluzijom sigurnosti.” – Kevin D. Mitnick, Umijeće obmane: Kontrola ljudskog elementa sigurnosti

Kriminalci koriste napade socijalnog inženjeringa, kako online, tako i offline. Sada ćemo pogledati neke od najčešćih vrsta napada i što možete učiniti da biste se obranili od njih.

Krenimo od nekih mrežnih napada socijalnog inženjeringa koje vole hakeri.

“Haker je netko tko koristi kombinaciju visokotehnoloških cyber alata i socijalnog inženjeringa kako bi stekao nezakonit pristup tuđim podacima.” – John McAfee

Neki napadi na mrežni socijalni inženjering

Evo nekoliko najčešćih napada na socijalni inženjering na mreži:

  • Phishing
  • Podvodno krađa koplja
  • Vabanje

Phishing

Prema Web stranica Odjela za nacionalnu sigurnost, phishing napad “koristi e-poštu ili zlonamjerne web stranice za prikupljanje osobnih podataka predstavljajući se kao pouzdana organizacija.”

Vidjeli ste ovu vrstu napada. Svi dobivamo e-poruke od službenih organizacija koje tvrde da postoji problem s našim računom ili da trebaju potvrditi podatke o našoj kreditnoj kartici.

Cilj je da kliknete na vezu u e-poruci. Ta će vas veza odvesti na web mjesto organizacije koje izgleda legitimno, ali lažno. Web stranica bit će postavljena kako bi vas prevarila da unesete podatke o svojoj kreditnoj kartici, broju socijalnog osiguranja ili bilo čemu što prevaranti žele ukrasti.

Podvodno krađa koplja

Podvodni krađa je vrsta phishing napada gdje napadač prilagođava phishing e-poštu koristeći osobne podatke o namjeravanoj žrtvi. U prosincu 2018. godine Američka porezna služba (IRS) Objavljeno Upozorenje o nekoliko prijevara s kopljem.

Te su prevare trebale prikupiti informacije koje se nastavljaju Obrazac IRS W-2. Cilj tih prijevara bile su male tvrtke. Loši dečki koristili bi podatke za otvaranje računa kreditnih kartica, podnošenje lažnih prijava poreza, otvaranje kreditnih linija i tako dalje.

Napadi s krađom koplja u velikoj se mjeri oslanjaju na napredovanje teksta. U sljedećem smo odjeljku obradili napade predtekstiranja.

Vabanje

Vabanje napadi su donekle slični phishing napadima. Razlika je u tome što napadi mamaca nude meti nešto što žele umjesto da riješe problem. U ovim vrstama napada mogu vam se ponuditi besplatna glazba, kopije novih filmova ili bilo koja druga vrsta nagrade. Da biste dobili nagradu, trebali biste unijeti bilo koju vrstu osobnih podataka koje je prevarant tražio.

Napadi mamaca mogu se dogoditi i izvan mreže. Jedan takav napad uključuje odlazak USB stickovi ležeći negdje negdje bi ih zaposlenici ciljane tvrtke mogli pronaći. Velike su šanse da će ih netko uzeti i priključiti na svoje računalo, pustivši sav zlonamjerni softver koji se nalazi unutar organizacije.

Neki napadi na izvanmrežni socijalni inženjering

Evo nekoliko tipičnih napada napada na društveni inženjering:

  • Predtekst
  • Praćenje / prase
  • Vishing (krađa glasa)

Predtekst

Predtekst koristi neki oblik laži da prevari nekoga da se odrekne informacija koje ne bi trebao dijeliti. Pretekstualni napadi mogu se izvoditi i na mreži i izvan nje. Često se koriste za dobivanje osobnih podataka potrebnih za postavljanje napada Spear Phishinga.

Izvanmrežni primjer može biti netko tko vas zove pretvarajući se da ste iz odvjetničkog ureda. Upravo ste naslijedili puno novca od dalekog rođaka. Sve što trebate je pružiti određene podatke kako biste dokazali svoj identitet, a odvjetnik će vam poslati novac. The izgovor jer je poziv lažno nasljedstvo.

Praćenje / prase

Tailgiranje obično uključuje prolazak kroz neku vrstu elektroničkog sigurnosnog sustava koristeći tuđi pristup. Netko tko vas prati iza prolaska kroz elektroničko osiguranje možda uopće nije kolega. Umjesto toga, oni bi mogli biti netko tko vam na putu pristupa negdje gdje im nije mjesto.

Vishing (krađa glasa)

Vishing, ili Glasovno krađa identiteta, je izvanmrežni ekvivalent Phishing napada. Postoji nekoliko verzija ovog napada, ali svi koriste telefonski sustav. Cilj im je natjerati žrtvu da otkrije broj kreditne kartice ili neke druge osobne podatke kao odgovor na službeni telefonski poziv.

Te se prevare obično koriste VoIP (Voice over IP) tehnologija za simulaciju automatiziranog telefonskog sustava koji bi prava tvrtka mogla koristiti. Telefonski sustavi nekada su se smatrali sigurnima i pouzdanima, što je ljude činilo ranjivijima na Vishing prevare.

Kako se obraniti od ONLINE napada socijalnog inženjerstva

Pregledali smo neke od češćih napada na socijalni inženjering na mreži koji se danas koriste. Ali što možete učiniti da se zaštitite od njih?

Evo nekoliko praksi koje će smanjiti vaše šanse za prijevaru:

  • Ne otvarajte neočekivano privitke e-pošte. Ako primite neočekivanu privitku, velike su šanse da je zlonamjerna. Obratite se odjelu za informatiku tvrtke (ako radite). Ako niste na poslu, kontaktirajte pošiljatelja (ako ih poznajete). Saznajte zašto ste ga dobili prije otvaranja bilo kakvog neočekivanog privitka.
  • Potražite web stranice sami. Imajte na umu da vas napadi tipa phishing obično usmjeravaju na lažno web mjesto. Njihovu zamku možete izbjeći tako što ćete sami potražiti adresu web mjesta, a ne kliknuti vezu u poruci e-pošte ili privitku. Ako se nađete na web mjestu u koje niste sigurni, pogledajte URL (adresa) koja se pojavljuje u okviru adrese preglednika. Iako je moguće napraviti točan duplikat legitimne web stranice, niti jedna web lokacija ne može imati isti URL. Traženje tvrtke u tražilici trebalo bi vas odvesti na stvarno mjesto.
  • Nikada ne otkrivajte svoju lozinku nikome na mreži. Nijedna legitimna organizacija neće pitati korisnika za lozinku.
  • Koristite VPN za dodatnu privatnost prilikom pregledavanja weba.

Kako se obraniti od OFFLINE napada socijalnog inženjerstva

Također smo pogledali uobičajene napade društvenog inženjeringa izvan mreže. Evo nekoliko stvari koje možete učiniti kako biste se zaštitili od izvanmrežnih napada:

  • Ne dajte osobne podatke pozivima. To je možda bilo sigurno prije mnogo godina, ali sada nije. Ako vas netko nazove i kaže da trebaju da potvrdite neke osobne podatke, spusti slušalicu!
  • Ne dopustite da vas itko prođe iza vrata da biste prošli sigurnost. Poznato je da redovni kriminalci ili bivši zaposlenici koriste ovu tehniku ​​da bi se vratili na mjesto i ukrali stvari ili se točno osvetili.
  • Uvijek zahtijevajte osobni dokument od svih koji se pojave tražeći informacije.
  • Nikada ništa ne priključujte na računalo ako ne znate odakle je došlo!
Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map