Τι είναι η Κοινωνική Μηχανική: Ορισμός, Επιθέσεις
Τι είναι η Κοινωνική Μηχανική; Που σημαίνει
Η κοινωνική μηχανική είναι η τέχνη της χειραγώγησης των χρηστών ενός υπολογιστικού συστήματος για την αποκάλυψη εμπιστευτικών πληροφοριών που μπορούν να χρησιμοποιηθούν για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα υπολογιστή. Ο όρος μπορεί επίσης να περιλαμβάνει δραστηριότητες όπως η εκμετάλλευση της ανθρώπινης καλοσύνης, της απληστίας και της περιέργειας για να αποκτήσουν πρόσβαση σε κτίρια περιορισμένης πρόσβασης ή να παρακινήσουν τους χρήστες να εγκαταστήσουν λογισμικό backdoor.
Η γνώση των τεχνασμάτων που χρησιμοποιούν οι χάκερ για να εξαπατήσουν τους χρήστες να απελευθερώσουν ζωτικής σημασίας πληροφορίες σύνδεσης μεταξύ άλλων είναι θεμελιώδους σημασίας για την προστασία των συστημάτων υπολογιστών
Σε αυτό το σεμινάριο, θα σας παρουσιάσουμε τις κοινές τεχνικές κοινωνικής μηχανικής και πώς μπορείτε να βρείτε μέτρα ασφαλείας για να τις αντιμετωπίσετε.
Πώς λειτουργεί η Κοινωνική Μηχανική;
ΕΔΩ,
- Συγκεντρώστε πληροφορίες: Αυτό είναι το πρώτο στάδιο, μαθαίνει όσα περισσότερα μπορεί για το επιδιωκόμενο θύμα. Οι πληροφορίες συλλέγονται από ιστότοπους της εταιρείας, άλλες δημοσιεύσεις και μερικές φορές μέσω συνομιλίας με τους χρήστες του συστήματος-στόχου.
- Σχέδιο επίθεσης: Οι επιτιθέμενοι περιγράφουν πώς σκοπεύει να εκτελέσει την επίθεση
- Αποκτήστε εργαλεία: Περιλαμβάνουν προγράμματα υπολογιστή που θα χρησιμοποιήσει ένας εισβολέας κατά την εκτόξευση της επίθεσης.
- Επίθεση: Εκμεταλλευτείτε τις αδυναμίες του συστήματος στόχου.
- Χρησιμοποιήστε την Επίκτητη Γνώση: Πληροφορίες που συλλέγονται κατά τη διάρκεια των τακτικών κοινωνικής μηχανικής, όπως ονόματα κατοικίδιων ζώων, ημερομηνίες γέννησης των ιδρυτών του οργανισμού κ.λπ. χρησιμοποιούνται σε επιθέσεις όπως η εικασία κωδικού πρόσβασης.
Τύποι επιθέσεων κοινωνικής μηχανικής
Οι τεχνικές κοινωνικής μηχανικής μπορούν να λάβουν πολλές μορφές. Ακολουθεί ο κατάλογος των τεχνικών που χρησιμοποιούνται συνήθως.
Εκμετάλλευση εξοικείωσης:
Οι χρήστες είναι λιγότερο καχύποπτοι με τα άτομα που γνωρίζουν. Ένας εισβολέας μπορεί να εξοικειωθεί με τους χρήστες του συστήματος στόχου πριν από την επίθεση κοινωνικής μηχανικής. Ο εισβολέας μπορεί να αλληλεπιδρά με τους χρήστες κατά τη διάρκεια των γευμάτων, όταν οι χρήστες καπνίζουν μπορεί να συμμετέχει, σε κοινωνικές εκδηλώσεις κ.λπ. Αυτό κάνει τον εισβολέα οικείο στους χρήστες. Ας υποθέσουμε ότι ο χρήστης εργάζεται σε ένα κτίριο που απαιτεί κωδικό πρόσβασης ή κάρτα για να αποκτήσει πρόσβαση. ο εισβολέας μπορεί να ακολουθήσει τους χρήστες καθώς εισέρχονται σε τέτοια μέρη. Οι χρήστες προτιμούν να κρατούν ανοιχτή την πόρτα για να μπει ο εισβολέας καθώς είναι εξοικειωμένοι με αυτούς. Ο εισβολέας μπορεί επίσης να ζητήσει απαντήσεις σε ερωτήσεις όπως πού συναντήσατε τη σύζυγό σας, το όνομα του καθηγητή μαθηματικών στο γυμνάσιο κ.λπ. Οι χρήστες είναι πολύ πιθανό να αποκαλύψουν απαντήσεις καθώς εμπιστεύονται το γνωστό πρόσωπο. Αυτές οι πληροφορίες θα μπορούσαν να χρησιμοποιηθούν για χακάρει λογαριασμούς email και άλλους λογαριασμούς που κάνουν παρόμοιες ερωτήσεις εάν κάποιος ξεχάσει τον κωδικό πρόσβασής του.
Εκφοβιστικές Περιστάσεις:
Οι άνθρωποι τείνουν να αποφεύγουν τους ανθρώπους που εκφοβίζουν τους άλλους γύρω τους. Χρησιμοποιώντας αυτήν την τεχνική, ο εισβολέας μπορεί να προσποιηθεί ότι έχει μια έντονη διαφωνία στο τηλέφωνο ή με έναν συνεργό στο σχέδιο. Στη συνέχεια, ο εισβολέας μπορεί να ζητήσει από τους χρήστες πληροφορίες που θα χρησιμοποιηθούν για να θέσουν σε κίνδυνο την ασφάλεια του συστήματος των χρηστών. Οι χρήστες είναι πολύ πιθανό να δώσουν τις σωστές απαντήσεις μόνο και μόνο για να αποφύγουν μια αντιπαράθεση με τον εισβολέα. Αυτή η τεχνική μπορεί επίσης να χρησιμοποιηθεί για να αποφευχθεί ο έλεγχος σε σημείο ελέγχου ασφαλείας.
phishing:
Αυτή η τεχνική χρησιμοποιεί δόλο και δόλο για να αποκτήσει προσωπικά δεδομένα από τους χρήστες. Ο κοινωνικός μηχανικός μπορεί να προσπαθήσει να μιμηθεί έναν γνήσιο ιστότοπο όπως το Yahoo και στη συνέχεια να ζητήσει από τον ανυποψίαστο χρήστη να επιβεβαιώσει το όνομα του λογαριασμού και τον κωδικό πρόσβασής του. Αυτή η τεχνική θα μπορούσε επίσης να χρησιμοποιηθεί για τη λήψη πληροφοριών πιστωτικής κάρτας ή άλλων πολύτιμων προσωπικών δεδομένων.
Οπισθοδρόμηση:
Αυτή η τεχνική περιλαμβάνει την παρακολούθηση των χρηστών από πίσω καθώς εισέρχονται σε απαγορευμένες περιοχές. Ως ανθρώπινη ευγένεια, ο χρήστης είναι πολύ πιθανό να αφήσει τον κοινωνικό μηχανικό να μπει στην απαγορευμένη περιοχή.
Εκμετάλλευση της ανθρώπινης περιέργειας:
Χρησιμοποιώντας αυτήν την τεχνική, ο κοινωνικός μηχανικός μπορεί να ρίξει σκόπιμα έναν μολυσμένο από ιό δίσκο flash σε μια περιοχή όπου οι χρήστες μπορούν εύκολα να τον παραλάβουν. Ο χρήστης πιθανότατα θα συνδέσει τη μονάδα flash στον υπολογιστή. Ο δίσκος flash μπορεί να εκτελέσει αυτόματα τον ιό ή ο χρήστης μπορεί να μπει στον πειρασμό να ανοίξει ένα αρχείο με όνομα όπως Υπάλληλοι Revaluation Report 2013.docx το οποίο μπορεί στην πραγματικότητα να είναι ένα μολυσμένο αρχείο.
Εκμετάλλευση της ανθρώπινης απληστίας:
Χρησιμοποιώντας αυτήν την τεχνική, ο κοινωνικός μηχανικός μπορεί να δελεάσει τον χρήστη με υποσχέσεις ότι θα βγάλει πολλά χρήματα στο διαδίκτυο συμπληρώνοντας μια φόρμα και επιβεβαιώνει τα στοιχεία του χρησιμοποιώντας στοιχεία πιστωτικής κάρτας κ.λπ.
Πώς να αποτρέψετε τις επιθέσεις κοινωνικής μηχανικής;
Ακολουθούν ορισμένοι σημαντικοί τρόποι προστασίας από όλους τους τύπους επιθέσεων κοινωνικής μηχανικής:
- Αποφύγετε τη σύνδεση άγνωστου USB στον υπολογιστή σας.
- Ποτέ μην κάνετε κλικ σε συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα.
- Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης (και διαχειριστή κωδικών πρόσβασης).
- Χρησιμοποιήστε έλεγχο ταυτότητας πολλαπλών παραγόντων.
- Να είστε πολύ προσεκτικοί όταν δημιουργείτε φιλίες μόνο στο διαδίκτυο.
- Διατηρήστε όλο το λογισμικό σας ενημερωμένο.
- Ασφαλίστε τις υπολογιστικές σας συσκευές.
- Αγορά λογισμικού προστασίας από ιούς.
- Δημιουργήστε αντίγραφα ασφαλείας των δεδομένων σας τακτικά.
- Καταστρέφετε τακτικά ευαίσθητα έγγραφα.
- Χρησιμοποιήστε ένα VPN.
- Κλειδώστε τον φορητό υπολογιστή σας
Αντιμέτρα Κοινωνικής Μηχανικής
Οι περισσότερες τεχνικές που χρησιμοποιούνται από κοινωνικούς μηχανικούς περιλαμβάνουν χειρισμό ανθρώπινων προκαταλήψεων. Για να αντιμετωπίσει τέτοιες τεχνικές, ένας οργανισμός μπορεί να
- Για να αντιμετωπιστεί η εκμετάλλευση της εξοικείωσης, οι χρήστες πρέπει να εκπαιδευτούν ώστε να μην υποκαθιστούν την εξοικείωση με τα μέτρα ασφαλείας. Ακόμη και τα άτομα με τα οποία γνωρίζουν πρέπει να αποδείξουν ότι έχουν την άδεια πρόσβασης σε ορισμένες περιοχές και πληροφορίες.
- Για την αντιμετώπιση των επιθέσεων εκφοβιστικών περιστάσεων, Οι χρήστες πρέπει να εκπαιδευτούν να εντοπίζουν τεχνικές κοινωνικής μηχανικής που ψαρεύουν ευαίσθητες πληροφορίες και να λένε ευγενικά όχι.
- Για την αντιμετώπιση των τεχνικών phishing, οι περισσότεροι ιστότοποι όπως το Yahoo χρησιμοποιούν ασφαλείς συνδέσεις κρυπτογράφηση δεδομένων και να αποδείξουν ότι είναι αυτοί που ισχυρίζονται ότι είναι. Ο έλεγχος της διεύθυνσης URL μπορεί να σας βοηθήσει να εντοπίσετε ψεύτικους ιστότοπους. Αποφύγετε να απαντάτε σε email που σας ζητούν να δώσετε προσωπικά στοιχεία.
- Για την αντιμετώπιση επιθέσεων ουράς, Οι χρήστες πρέπει να εκπαιδεύονται ώστε να μην επιτρέπουν σε άλλους να χρησιμοποιούν την άδεια ασφαλείας τους για να αποκτήσουν πρόσβαση σε απαγορευμένες περιοχές. Κάθε χρήστης πρέπει να χρησιμοποιεί τη δική του άδεια πρόσβασης.
- Για την αντιμετώπιση της ανθρώπινης περιέργειας, είναι καλύτερα να υποβάλετε συλλεγμένους δίσκους flash διαχειριστές συστήματος που θα πρέπει να τους σαρώσουν για ιούς ή άλλες μολύνσεις κατά προτίμηση σε απομονωμένο μηχάνημα.
- Για την αντιμετώπιση τεχνικών που εκμεταλλεύονται την ανθρώπινη απληστία, οι εργαζόμενοι πρέπει να είναι εκπαιδευμένο σχετικά με τους κινδύνους να πέσουν σε τέτοιες απάτες.
Σύνοψη
- Η κοινωνική μηχανική είναι η τέχνη της εκμετάλλευσης των ανθρώπινων στοιχείων για την απόκτηση πρόσβασης σε μη εξουσιοδοτημένους πόρους.
- Οι κοινωνικοί μηχανικοί χρησιμοποιούν μια σειρά από τεχνικές για να ξεγελάσουν τους χρήστες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες.
- Οι οργανισμοί πρέπει να έχουν πολιτικές ασφάλειας που έχουν αντίμετρα κοινωνικής μηχανικής.