Hvad er social engineering: definition, angreb

Af: Oliver Jones Oliver Jones
Hours Opdateret

Hvad er Social Engineering? Midler

Social engineering er kunsten at manipulere brugere af et computersystem til at afsløre fortrolig information, der kan bruges til at få uautoriseret adgang til et computersystem. Udtrykket kan også omfatte aktiviteter såsom udnyttelse af menneskelig venlighed, grådighed og nysgerrighed for at få adgang til bygninger med begrænset adgang eller få brugerne til at installere bagdørssoftware.

At kende de tricks, som hackere bruger til at narre brugere til blandt andet at frigive vitale loginoplysninger, er grundlæggende for at beskytte computersystemer

I denne tutorial vil vi introducere dig til de almindelige social engineering-teknikker, og hvordan du kan finde på sikkerhedsforanstaltninger for at imødegå dem.

Hvordan fungerer social engineering?

Socialingeniørarbejde

HER,

  • Samle information: Dette er den første fase, han lærer så meget han kan om det påtænkte offer. Oplysningerne indsamles fra virksomhedens hjemmesider, andre publikationer og nogle gange ved at tale med brugerne af målsystemet.
  • Planlæg angreb: Angriberne skitserer, hvordan han/hun har tænkt sig at udføre angrebet
  • Hent værktøjer: Disse inkluderer computerprogrammer, som en angriber vil bruge, når han starter angrebet.
  • Angrib: Udnyt svaghederne i målsystemet.
  • Brug erhvervet viden: Oplysninger indsamlet under social engineering taktik såsom kæledyrsnavne, fødselsdatoer for organisationens grundlæggere osv. bruges i angreb såsom password gætte.

Typer af sociale ingeniørangreb

Social engineering-teknikker kan antage mange former. Følgende er listen over de almindeligt anvendte teknikker.

Kendskabsudnyttelse:

Brugere er mindre mistænksomme over for folk, de kender. En angriber kan gøre sig bekendt med brugerne af målsystemet forud for social engineering-angrebet. Angriberen kan interagere med brugere under måltider, når brugere ryger kan han deltage, ved sociale arrangementer osv. Dette gør angriberen bekendt for brugerne. Lad os antage, at brugeren arbejder i en bygning, der kræver en adgangskode eller et kort for at få adgang; angriberen kan følge brugerne, når de kommer ind på sådanne steder. Brugerne holder mest af døren åben for angriberen at gå ind, da de er fortrolige med dem. Angriberen kan også bede om svar på spørgsmål, såsom hvor du mødte din ægtefælle, navnet på din gymnasielærer i matematik osv. Brugerne er mest tilbøjelige til at afsløre svar, da de stoler på det velkendte ansigt. Disse oplysninger kan bruges til hacke e-mail-konti og andre konti, der stiller lignende spørgsmål, hvis man glemmer deres adgangskode.

Truende omstændigheder:

Folk har en tendens til at undgå mennesker, der intimiderer andre omkring dem. Ved at bruge denne teknik kan angriberen foregive at have et heftigt skænderi i telefonen eller med en medskyldig i ordningen. Angriberen kan derefter bede brugere om oplysninger, som vil blive brugt til at kompromittere sikkerheden i brugernes system. Brugerne vil højst sandsynligt give de rigtige svar bare for at undgå at få en konfrontation med angriberen. Denne teknik kan også bruges til at undgå at blive tjekket ved et sikkerhedskontrolpunkt.

Phishing:

Denne teknik bruger tricks og bedrag til at indhente private data fra brugere. Den sociale ingeniør kan forsøge at efterligne et ægte websted som Yahoo og derefter bede den intetanende bruger om at bekræfte deres kontonavn og adgangskode. Denne teknik kan også bruges til at få kreditkortoplysninger eller andre værdifulde personlige data.

Bagklap:

Denne teknik involverer at følge brugere bagved, når de går ind i områder med begrænset adgang. Som en menneskelig høflighed er det mest sandsynligt, at brugeren lukker den sociale ingeniør indenfor i det afspærrede område.

Udnyttelse af menneskelig nysgerrighed:

Ved at bruge denne teknik kan den sociale ingeniør bevidst tabe en virusinficeret flashdisk i et område, hvor brugerne nemt kan samle den op. Brugeren vil højst sandsynligt tilslutte flashdisken til computeren. Flash-disken kan automatisk køre virussen, eller brugeren kan blive fristet til at åbne en fil med et navn som f.eks. Revaluationsrapport 2013.docx, som faktisk kan være en inficeret fil.

Udnyttelse af menneskelig grådighed:

Ved at bruge denne teknik kan den sociale ingeniør lokke brugeren med løfter om at tjene en masse penge online ved at udfylde en formular og bekræfte deres detaljer ved hjælp af kreditkortoplysninger osv.

Hvordan forebygger man socialingeniørangreb?

Her er nogle vigtige måder at beskytte sig mod alle typer af social engineering-angreb:

  • Undgå at tilslutte en ukendt USB til din computer.
  • Klik aldrig på links i nogen e-mails eller beskeder.
  • Brug stærke adgangskoder (og en adgangskodeadministrator).
  • Brug multifaktorautentificering.
  • Vær meget forsigtig med at opbygge venskaber, der kun er online.
  • Hold al din software opdateret.
  • Sikre dine computerenheder.
  • Køb antivirussoftware.
  • Sikkerhedskopier regelmæssigt dine data.
  • Ødelæg følsomme dokumenter regelmæssigt.
  • Brug en VPN.
  • Lås din bærbare computer

Socialtekniske modforanstaltninger

Socialtekniske modforanstaltninger

De fleste teknikker, der anvendes af sociale ingeniører, involverer manipulation af menneskelige skævheder. For at imødegå sådanne teknikker kan en organisation;

  • For at imødegå kendskabsudnyttelsen, skal brugerne trænes i ikke at erstatte fortrolighed med sikkerhedsforanstaltninger. Selv de personer, som de er bekendt med, skal bevise, at de har tilladelse til at få adgang til bestemte områder og information.
  • For at imødegå truende omstændigheder angreb, brugere skal trænes i at identificere social engineering-teknikker, der fisker efter følsom information og høfligt siger nej.
  • For at imødegå phishing-teknikker, de fleste websteder som Yahoo bruger sikre forbindelser til kryptere data og bevise, at de er, som de hævder at være. At tjekke URL'en kan hjælpe dig med at finde falske websteder. Undgå at svare på e-mails, der beder dig om at give personlige oplysninger.
  • For at imødegå bagende angreb, brugere skal trænes i ikke at lade andre bruge deres sikkerhedsgodkendelse til at få adgang til afspærrede områder. Hver bruger skal bruge deres egen adgangstilladelse.
  • For at imødegå menneskelig nysgerrighed, er det bedre at indsende afhentede flash-diske til systemadministratorer, der skal scanne dem for virus eller anden infektion helst på en isoleret maskine.
  • At imødegå teknikker, der udnytter menneskelig grådighed, skal medarbejdere være uddannet om farerne ved at falde for sådanne svindelnumre.

Resumé

  • Social engineering er kunsten at udnytte de menneskelige elementer for at få adgang til uautoriserede ressourcer.
  • Sociale ingeniører bruger en række teknikker til at narre brugerne til at afsløre følsomme oplysninger.
  • Organisationer skal have sikkerhedspolitikker, der har sociale ingeniørmæssige modforanstaltninger.

Du kan lide: