Mitä on sosiaalinen suunnittelu: määritelmä, hyökkäykset

by: Oliver Jones Oliver Jones
Hours Päivitetty

Mitä on sosiaalinen suunnittelu? Keinot

Sosiaalinen suunnittelu on taidetta manipuloida tietokonejärjestelmän käyttäjiä paljastamaan luottamuksellisia tietoja, joita voidaan käyttää luvaton pääsyyn tietokonejärjestelmään. Termi voi sisältää myös toimintoja, kuten ihmisystävällisyyden, ahneuden ja uteliaisuuden hyödyntämisen päästäkseen sisään rajoitettuihin rakennuksiin tai saada käyttäjät asentamaan takaoven ohjelmistoja.

Tietojen tekeminen temppuista, joita hakkerit huijaavat käyttäjiä muun muassa julkaisemaan tärkeitä kirjautumistietoja, on olennaista tietokonejärjestelmien suojaamisessa.

Tässä opetusohjelmassa esittelemme sinulle yleisiä sosiaalisen suunnittelun tekniikoita ja kuinka voit keksiä turvatoimia niiden torjumiseksi.

Kuinka sosiaalinen suunnittelu toimii?

Social Engineering Works

TÄSSÄ,

  • Kerätä tietoa: Tämä on ensimmäinen vaihe, jossa hän oppii mahdollisimman paljon aiotusta uhrista. Tietoja kerätään yritysten verkkosivuilta, muista julkaisuista ja joskus keskustelemalla kohdejärjestelmän käyttäjien kanssa.
  • Suunnittele hyökkäys: Hyökkääjät kertovat, kuinka hän aikoo suorittaa hyökkäyksen
  • Hanki työkaluja: Näitä ovat tietokoneohjelmat, joita hyökkääjä käyttää käynnistäessään hyökkäyksen.
  • Hyökkäys: Hyödynnä kohdejärjestelmän heikkouksia.
  • Käytä hankittua tietoa: Social engineering -taktiikkojen aikana kerättyjä tietoja, kuten lemmikkien nimiä, organisaation perustajien syntymäpäiviä jne., käytetään hyökkäyksissä, kuten salasanan arvaamisessa.

Sosiaalisen suunnittelun hyökkäystyypit

Sosiaalisen suunnittelun tekniikoilla voi olla monia muotoja. Seuraavassa on luettelo yleisesti käytetyistä tekniikoista.

Tutun hyväksikäyttö:

Käyttäjät ovat vähemmän epäluuloisia ihmisiä kohtaan, jotka he tuntevat. Hyökkääjä voi tutustua kohdejärjestelmän käyttäjiin ennen manipulointihyökkäystä. Hyökkääjä voi olla vuorovaikutuksessa käyttäjien kanssa ruokailun aikana, kun käyttäjät tupakoivat, hän voi liittyä, sosiaalisissa tapahtumissa jne. Tämä tekee hyökkääjän tutuksi käyttäjille. Oletetaan, että käyttäjä työskentelee rakennuksessa, joka vaatii pääsykoodin tai kortin; hyökkääjä voi seurata käyttäjiä heidän saapuessaan tällaisiin paikkoihin. Käyttäjät pitävät mieluiten oven auki, jotta hyökkääjä pääsee sisään, koska he tuntevat heidät. Hyökkääjä voi myös pyytää vastauksia kysymyksiin, kuten missä tapasit puolisosi, lukion matematiikan opettajan nimi jne. Käyttäjät paljastavat vastaukset todennäköisimmin, koska he luottavat tuttuihin kasvoihin. Tätä tietoa voisi käyttää hyväksi hakkeroida sähköpostitilejä ja muut tilit, jotka kysyvät samankaltaisia ​​kysymyksiä, jos joku unohtaa salasanansa.

Pelottavat olosuhteet:

Ihmisillä on taipumus välttää ihmisiä, jotka pelottavat muita ympärillään. Tätä tekniikkaa käyttämällä hyökkääjä voi teeskennellä kiivasta riitaa puhelimessa tai rikoskumppanin kanssa. Hyökkääjä voi sitten pyytää käyttäjiltä tietoja, joita voitaisiin käyttää vaarantamaan käyttäjien järjestelmän turvallisuutta. Käyttäjät antavat todennäköisesti oikeat vastaukset vain välttääkseen vastakkainasettelua hyökkääjän kanssa. Tätä tekniikkaa voidaan käyttää myös turvatarkastuksen välttämiseen.

phishing:

Tämä tekniikka käyttää huijausta ja petosta saadakseen käyttäjiltä yksityisiä tietoja. Sosiaalinen insinööri voi yrittää esiintyä aidona verkkosivustona, kuten Yahoona, ja pyytää sitten pahaa aavistamatonta käyttäjää vahvistamaan tilinimensä ja salasanansa. Tätä tekniikkaa voitaisiin käyttää myös luottokorttitietojen tai muiden arvokkaiden henkilötietojen hankkimiseen.

Takalautus:

Tämä tekniikka sisältää käyttäjien seuraamisen takana heidän saapuessaan rajoitetuille alueille. Inhimillisen kohteliaisuuden vuoksi käyttäjä todennäköisimmin päästää sosiaalisen insinöörin rajoitetulle alueelle.

Ihmisen uteliaisuuden hyödyntäminen:

Tätä tekniikkaa käyttämällä sosiaalinen suunnittelija voi tarkoituksella pudottaa viruksen saastuttaman flash-levyn alueelle, josta käyttäjät voivat helposti poimia sen. Käyttäjä todennäköisesti kytkee flash-levyn tietokoneeseen. Flash-levy voi käynnistää viruksen automaattisesti, tai käyttäjä voi houkutella avaamaan tiedoston, jonka nimi on esim. Työntekijät. Revaluation Report 2013.docx, joka voi itse asiassa olla saastunut tiedosto.

Ihmisen ahneuden hyväksikäyttö:

Tätä tekniikkaa käyttämällä sosiaalinen insinööri voi houkutella käyttäjän lupauksilla ansaita paljon rahaa verkossa täyttämällä lomakkeen ja vahvistamalla tietonsa luottokorttitiedoilla jne.

Kuinka ehkäistä sosiaalisen suunnittelun hyökkäyksiä?

Tässä on joitain tärkeitä tapoja suojautua kaikenlaisilta manipulointihyökkäyksiltä:

  • Vältä tuntemattoman USB:n kytkemistä tietokoneeseesi.
  • Älä koskaan napsauta sähköpostissa tai viestissä olevia linkkejä.
  • Käytä vahvoja salasanoja (ja salasananhallintaohjelmaa).
  • Käytä monivaiheista todennusta.
  • Ole erittäin varovainen rakentaessasi ystävyyssuhteita vain verkossa.
  • Pidä kaikki ohjelmistosi ajan tasalla.
  • Suojaa tietokonelaitteesi.
  • Osta virustorjuntaohjelmisto.
  • Varmuuskopioi tietosi säännöllisesti.
  • Tuhoa arkaluontoiset asiakirjat säännöllisesti.
  • Käytä VPN-verkkoa.
  • Lukitse kannettavasi

Social Engineering -vastatoimenpiteet

Social Engineering -vastatoimenpiteet

Suurin osa sosiaalisten insinöörien käyttämistä tekniikoista sisältää inhimillisten ennakkoluulojen manipuloinnin. Tällaisten tekniikoiden torjumiseksi organisaatio voi;

  • Tuttuuden hyväksikäyttöä vastaan, käyttäjiä on koulutettava olemaan korvaamatta tietoturvatoimenpiteitä. Jopa heidän tuntemiensa ihmisten on todistettava, että heillä on valtuudet käyttää tiettyjä alueita ja tietoja.
  • Pelottavien olosuhteiden hyökkäyksiä vastaan käyttäjiä on koulutettava tunnistamaan sosiaalisen manipuloinnin tekniikat, jotka kalastavat arkaluontoisia tietoja ja sanovat kohteliaasti ei.
  • Tietojenkalastelutekniikoita vastaan, useimmat sivustot, kuten Yahoo, käyttävät suojattuja yhteyksiä salaa tiedot ja todistaa olevansa niitä, joita he väittävät olevansa. URL-osoitteen tarkistaminen voi auttaa sinua havaitsemaan väärennettyjä sivustoja. Vältä vastaamasta sähköposteihin, joissa sinua pyydetään antamaan henkilökohtaisia ​​tietoja.
  • Takaa peräkkäisiä hyökkäyksiä vastaan, käyttäjiä on koulutettava olemaan antamatta muiden käyttää turvaselvitystään päästäkseen rajoitetuille alueille. Jokaisen käyttäjän on käytettävä omaa pääsylupaansa.
  • Inhimillisen uteliaisuuden torjumiseksi, on parempi lähettää poimitut flash-levyt osoitteeseen järjestelmänvalvojat, joiden tulee tarkistaa ne virusten tai muiden infektioiden varalta mieluiten erillisessä koneessa.
  • Vastustaa tekniikoita, jotka hyödyntävät ihmisen ahneutta, työntekijöiden on oltava koulutettu tällaisiin huijauksiin joutumisen vaaroista.

Yhteenveto

  • Sosiaalinen suunnittelu on taidetta hyödyntää inhimillisiä elementtejä päästäkseen käsiksi luvattomiin resursseihin.
  • Sosiaaliset insinöörit käyttävät useita tekniikoita huijatakseen käyttäjiä paljastamaan arkaluonteisia tietoja.
  • Organisaatioilla on oltava tietoturvapolitiikka, jossa on sosiaalisen suunnittelun vastatoimia.