Indholdsfortegnelse:
- Brug internettet
- Dumpster dykkere
- Attackere kan indhente oplysninger ved at bruge funktionen til opkald efter navn, der er indbygget i de fleste telefonsvarer. For at få adgang til denne funktion, skal du som regel trykke på 0 efter at have ringet til firmaets hovednummer eller efter at du har indtastet en persons telefonsvarer. Dette trick virker bedst efter timer for at sikre, at ingen svarer.
- Den seneste kriminelle hacking dille er
Video: Privacy, Security, Society - Computer Science for Business Leaders 2016 2024
Når social ingeniører har et mål i tankerne, starter de typisk angrebet ved at indsamle offentlig information om deres offer (e). Mange sociale ingeniører erhverver information langsomt over tid, så de ikke rejser mistanker. En åbenbar informationsindsamling er et tip-off, når man forsvarer mod socialteknik.
Uanset den oprindelige forskningsmetode kan alle hacker måske trænge ind i en organisation, der er en medarbejderliste, nogle få vigtige interne telefonnumre, de seneste nyheder fra et socialmediewebsted eller en firmakalender.
Brug internettet
Nogle få minutter på Google eller andre søgemaskiner, der bruger enkle søgeord, f.eks. Firmanavn eller bestemte medarbejdernavne, producerer ofte en masse oplysninger. Du kan finde endnu mere information i SEC-arkiver på og på sådanne websteder som Hoover's og Yahoo Finance. Ved at bruge denne søgemaskineinformation og gennemse virksomhedens hjemmeside har angriberen ofte tilstrækkelig information til at starte et socialteknikangreb.
De dårlige kan betale nogle få dollars for en omfattende online baggrundskontrol af enkeltpersoner. Disse søgninger kan vise næsten enhver offentlig - og undertiden privat - information om en person om få minutter.
Dumpster dykkere
Dumpster dykning er lidt mere risikabelt - og det er helt sikkert rodet. Men det er en meget effektiv metode til at indhente oplysninger. Denne metode involverer bogstaveligt talt rummaging gennem skraldespand til information om et firma.
Dumpster dykning kan vise frem de mest fortrolige oplysninger, fordi mange ansatte antager, at deres oplysninger er sikre, når de går i skraldespanden. De fleste mennesker tænker ikke på den potentielle værdi af papiret, de smider væk. Disse dokumenter indeholder ofte et væld af oplysninger, der kan tipse den sociale ingeniør med oplysninger, der er nødvendige for at trænge ind i organisationen. Den stakkels sociale ingeniør søger efter følgende trykte dokumenter:
-
Indre telefonlister
-
Organisationsdiagrammer
-
Medarbejderhåndbøger, som ofte indeholder sikkerhedspolitikker
-
Netværksdiagrammer
-
Løftelister
-
Møde notater > Regneark og rapporter
-
Udskrifter af e-mails, der indeholder fortrolige oplysninger
-
Makuleringsdokumenter er kun effektive, hvis papiret er
krydsskåret i små stykker konfetti. Billige shredders, der kun makulerer dokumenter i lange strimler, er grundlæggende værdiløse mod en bestemt social ingeniør. Med en lille tid og en bånd kan en social ingeniør dele et dokument sammen igen, hvis det er det, han er fast besluttet på at gøre. De dårlige ser også ud i skraldet til cd-rom og dvd'er, gamle computerhuse (især dem med harddiske stadig intakte) og backup-bånd.
Telefonsystemer
Attackere kan indhente oplysninger ved at bruge funktionen til opkald efter navn, der er indbygget i de fleste telefonsvarer. For at få adgang til denne funktion, skal du som regel trykke på 0 efter at have ringet til firmaets hovednummer eller efter at du har indtastet en persons telefonsvarer. Dette trick virker bedst efter timer for at sikre, at ingen svarer.
Attackere kan beskytte deres identiteter, hvis de kan gemme, hvor de ringer fra. Her er nogle måder, hvorpå de kan skjule deres placeringer:
Residential telefoner
-
kan nogle gange skjule deres tal fra opkalds-id ved at ringe * 67 før telefonnummeret. Denne funktion virker ikke, når du ringer til gratis numre (800, 888, 877, 866) eller 911.
Business telefoner
-
på et kontor, der bruger en telefonkontakt, er sværere at spoofe. Imidlertid er alle angriberne som regel brug, brugervejledningen og administratoradgangskoden til telefonens switch-software. I mange kontakter kan angriberen indtaste kildenummeret - herunder et forfalsket nummer, som f.eks. Ofrets hjemstednummer. Voice over Internet Protocol (VoIP) telefonsystemer gør dette imidlertid til et ikke-problem. VoIP-servere
-
såsom open source-stjernen kan bruges og konfigureres til at sende et hvilket som helst nummer, de ønsker. Phish e-mails
Den seneste kriminelle hacking dille er
phishing - kriminelle sender falske e-mails til potentielle ofre for at få dem til at videregive følsomme oplysninger eller klikke ondsindede links. Phishing har faktisk eksisteret i årevis, men det har for nylig fået større synlighed givet nogle højt profilerede udnyttelser mod tilsyneladende uigennemtrængelige organisationer. Phishing effektivitet er fantastisk, og konsekvenserne er ofte grimme. Et par velplacerede e-mails er alt det kræver for kriminelle at opsamle adgangskoder, stjæle følsomme oplysninger eller injicere malware i målrettede computere.
Du kan udføre din egen phishing-øvelse. En rudimentær metode er at oprette en falsk e-mail-konto, der anmoder om information eller link til et ondsindet websted, sende e-mails til medarbejdere eller andre brugere, du vil teste, og se hvad der sker. Det er virkelig så enkelt som det.
Du vil blive overrasket over, hvor modtagelige dine brugere virkelig er for dette trick. De fleste phishing-tests har en succesrate på 10-15 procent. Det kan være så højt som 80 procent. Disse satser er ikke gode for sikkerhed eller for erhvervslivet!
Et mere formelt middel til at udføre din phishing-test er at bruge et værktøj, der er lavet specifikt til jobbet. Selvom du har en god oplevelse med kommercielle leverandører, skal du tænke længe og hårdt på at opgive potentielt følsomme oplysninger, som direkte eller utilsigtet kan sendes offsite, aldrig at blive kontrolleret igen.
Hvis du går ned ad denne sti, skal du sørge for, at du fuldt ud forstår, hvad der bliver videregivet til disse tredjeparts phishing-leverandører, ligesom du ville med nogen cloud-serviceudbyder. Stol på, men bekræft.
Et open source-alternativ til kommercielle phishing-værktøjer er Simple Phishing Toolkit, også kendt som SPT.Oprettelse af et spt-projektmiljø er ikke nødvendigvis enkelt, men efter at du har fået det på plads, kan det gøre fantastiske ting til dine phishing-initiativer.
Du har forudinstallerede e-mail-skabeloner, evnen til at
skrabe (kopiere side fra) levende websteder, så du kan tilpasse din egen kampagne og forskellige rapporteringsfunktioner, så du kan spore hvilken e -mail-brugere tager agn og fejler dine test. Social ingeniører kan finde interessante oplysninger, til tider, f.eks. Når deres ofre er ude af byen, bare ved at lytte til voicemail meddelelser. De kan endda studere ofre stemmer ved at lytte til deres telefonsvarer, podcasts eller webcasts, så de kan lære at efterligne dem.
