Co je sociální inženýrství: definice, útoky

Od: Oliver Jones Oliver Jones
Hours aktualizováno

Co je sociální inženýrství? Prostředek

Sociální inženýrství je umění manipulace uživatelů počítačového systému, aby odhalili důvěrné informace, které lze použít k získání neoprávněného přístupu k počítačovému systému. Tento termín může také zahrnovat činnosti, jako je využívání lidské laskavosti, chamtivosti a zvědavosti k získání přístupu do budov s omezeným přístupem nebo přimět uživatele k instalaci softwaru pro zadní vrátka.

Znalost triků, které hackeři používají k oklamání uživatelů, aby uvolnili důležité přihlašovací údaje mezi ostatními, je zásadní pro ochranu počítačových systémů.

V tomto tutoriálu vás seznámíme s běžnými technikami sociálního inženýrství a jak můžete přijít s bezpečnostními opatřeními, jak jim čelit.

Jak funguje sociální inženýrství?

Sociální inženýrství

TADY,

  • Sbírat informace: Toto je první fáze, o zamýšlené oběti se dozví co nejvíce. Informace jsou shromažďovány z webových stránek společnosti, jiných publikací a někdy rozhovorem s uživateli cílového systému.
  • Plánovat útok: Útočníci nastíní, jak zamýšlí provést útok
  • Získejte nástroje: Patří sem počítačové programy, které útočník použije při zahájení útoku.
  • Útok: Využijte slabiny v cílovém systému.
  • Používejte získané znalosti: Informace shromážděné během taktiky sociálního inženýrství, jako jsou jména domácích zvířat, data narození zakladatelů organizace atd., se používají při útocích, jako je hádání hesla.

Typy útoků sociálního inženýrství

Techniky sociálního inženýrství mohou mít mnoho podob. Níže je uveden seznam běžně používaných technik.

Využití znalostí:

Uživatelé jsou méně podezřívaví k lidem, které znají. Útočník se může před útokem sociálního inženýrství seznámit s uživateli cílového systému. Útočník může interagovat s uživateli během jídla, když uživatelé kouří, může se připojit, na společenských akcích atd. Díky tomu jsou uživatelé seznámeni s útočníkem. Předpokládejme, že uživatel pracuje v budově, která pro získání přístupu vyžaduje přístupový kód nebo kartu; útočník může sledovat uživatele při vstupu do takových míst. Uživatelé nejraději ponechají dveře otevřené, aby útočník mohl vstoupit, protože je znají. Útočník může také požádat o odpovědi na otázky, jako je například, kde jste potkali svého manžela nebo manželku, jméno vašeho středoškolského učitele matematiky atd. Uživatelé s největší pravděpodobností prozradí odpovědi, protože důvěřují známé tváři. Tyto informace by se daly využít hackovat e-mailové účty a další účty, které kladou podobné otázky, pokud někdo zapomene své heslo.

Zastrašující okolnosti:

Lidé mají tendenci vyhýbat se lidem, kteří zastrašují ostatní kolem sebe. Pomocí této techniky může útočník předstírat vášnivou hádku po telefonu nebo s komplicem ve schématu. Útočník pak může požádat uživatele o informace, které by byly použity k ohrožení bezpečnosti systému uživatelů. Uživatelé s největší pravděpodobností dávají správné odpovědi jen proto, aby se vyhnuli konfrontaci s útočníkem. Tuto techniku ​​lze také použít, abyste se vyhnuli kontrole na místě bezpečnostní kontroly.

Phishing:

Tato technika využívá lsti a podvodu k získání soukromých dat od uživatelů. Sociální inženýr se může pokusit vydávat za skutečnou webovou stránku, jako je Yahoo, a poté požádat nic netušícího uživatele, aby potvrdil název svého účtu a heslo. Tuto techniku ​​lze také použít k získání informací o kreditní kartě nebo jakýchkoli jiných cenných osobních údajů.

Tailgating:

Tato technika zahrnuje sledování uživatelů vzadu, když vstoupí do zakázaných oblastí. Z lidské zdvořilosti uživatel s největší pravděpodobností pustí sociálního inženýra do omezené oblasti.

Využití lidské zvědavosti:

Pomocí této techniky může sociální inženýr úmyslně umístit virem infikovaný flash disk do oblasti, kde si jej uživatelé mohou snadno vyzvednout. Uživatel s největší pravděpodobností zapojí flash disk do počítače. Flash disk může automaticky spustit virus nebo může být uživatel v pokušení otevřít soubor s názvem jako Zaměstnanci Revaluation Report 2013.docx, což může být ve skutečnosti infikovaný soubor.

Využití lidské chamtivosti:

Pomocí této techniky může sociální inženýr nalákat uživatele na sliby, že vydělají spoustu peněz online tím, že vyplní formulář a potvrdí své údaje pomocí údajů o kreditní kartě atd.

Jak zabránit útokům sociálního inženýrství?

Zde je několik důležitých způsobů, jak se chránit před všemi typy útoků sociálního inženýrství:

  • Vyhněte se zapojování neznámého USB do počítače.
  • Nikdy neklikejte na odkazy v žádných e-mailech nebo zprávách.
  • Používejte silná hesla (a správce hesel).
  • Použijte vícefaktorové ověřování.
  • Buďte velmi opatrní při vytváření přátelství pouze online.
  • Udržujte veškerý svůj software aktualizovaný.
  • Zabezpečte svá výpočetní zařízení.
  • Koupit antivirový software.
  • Pravidelně zálohujte svá data.
  • Citlivé dokumenty pravidelně ničte.
  • Použijte VPN.
  • Zamkněte svůj notebook

Protiopatření sociálního inženýrství

Protiopatření sociálního inženýrství

Většina technik používaných sociálními inženýry zahrnuje manipulaci s lidskými předsudky. Proti takovým technikám může organizace;

  • Aby se zabránilo zneužití známosti, uživatelé musí být proškoleni, aby nenahrazovali obeznámenost s bezpečnostními opatřeními. I osoby, které znají, musí prokázat, že mají oprávnění k přístupu k určitým oblastem a informacím.
  • Abychom čelili útokům zastrašujících okolností, uživatelé musí být vyškoleni k identifikaci technik sociálního inženýrství, které loví citlivé informace, a zdvořile říci ne.
  • Proti phishingovým technikám, většina webů, jako je Yahoo, používá zabezpečené připojení šifrování dat a dokázat, že jsou tím, za koho se vydávají. Kontrola adresy URL vám může pomoci odhalit falešné stránky. Neodpovídejte na e-maily, které vás žádají o poskytnutí osobních údajů.
  • Chcete-li čelit tailgating útokům, uživatelé musí být vyškoleni, aby nedovolili ostatním používat jejich bezpečnostní prověrku k získání přístupu do zakázaných oblastí. Každý uživatel musí použít své vlastní povolení přístupu.
  • Proti lidské zvědavosti, je lepší odevzdat vyzvednuté flash disky na správci systému, kteří by je měli skenovat na viry nebo jinou infekci nejlépe na izolovaném stroji.
  • Bojovat proti technikám, které využívají lidskou chamtivost, zaměstnanci musí být vyškolení o nebezpečí, že takové podvody napadnou.

Shrnutí

  • Sociální inženýrství je umění využívat lidské prvky k získání přístupu k neoprávněným zdrojům.
  • Sociální inženýři používají řadu technik, aby oklamali uživatele, aby odhalili citlivé informace.
  • Organizace musí mít bezpečnostní politiku, která obsahuje protiopatření sociálního inženýrství.

Máš rád: