Video: This is how hackers hack you using simple social engineering 2024
Social ingeniørvirksomhed udnytter den svageste forbindelse i enhver organisations informationssikkerhedsforsvar: mennesker. Social engineering er "folk hacking" og involverer ondsindet udnyttelse af menneskers tillidsfulde karakter til at indhente oplysninger, som kan bruges til personlig fortjeneste.
Socialteknik er en af de hårdeste hacks at begå, fordi det kræver bravado og færdighed at komme på tværs som troværdig for en fremmed. Det er også langt den hårdeste ting at beskytte imod, fordi folk, der træffer deres egne sikkerhedsbeslutninger, er involveret.
I et samfundsmæssige scenarie udviser de med dårlig hensigt som en anden at få oplysninger, de sandsynligvis ikke kunne få adgang til ellers. De tager så de oplysninger, de får fra deres ofre, og ødelægger netværksressourcerne, stjæler eller sletter filer, og endog begår virksomhedsspionage eller anden form for svig mod den organisation, de angriber. Social ingeniørvirksomhed er forskellig fra fysisk sikkerhed udnyttelse, såsom skuldersurfing og dumpster-dykning, men de to typer hacking er relaterede og bruges ofte i tandem.
Her er nogle eksempler på social engineering:
-
" Supportpersonale ", der hævder at de skal installere en patch eller en ny version af software på en brugers computer, tal bruger til at downloade softwaren og få fjernbetjening af systemet.
-
" Forhandlere ", der hævder at skulle opdatere organisationens regnskabspakke eller telefonsystem, bede om administratoradgangskoden og få fuld adgang.
-
" Medarbejdere " meddeler sikkerhedsbureauet, at de har mistet deres adgangskilt til datacenteret, modtager et sæt nøgler fra sikkerhed og opnår uautoriseret adgang til fysisk og elektronisk Information.
-
Phishing-e-mails sendt af hvem som helst for at indsamle bruger-id'er og adgangskoder til intetanende modtagere. Disse angreb kan være generiske eller mere målrettede - noget kaldet spydsfishing angreb. De kriminelle bruger derefter disse adgangskoder til at installere malware, få adgang til netværket, fange intellektuel ejendom og meget mere.
Somme tider fungerer social ingeniører som selvsikker og kyndige ledere eller ledere. På andre tidspunkter kan de spille roller af yderst uinformerede eller naive medarbejdere. De kan også udgøre udenforstående, såsom IT-konsulenter eller vedligeholdelsesarbejdere. Social ingeniører er gode til at tilpasse sig til deres publikum. Det kræver en særlig type personlighed at trække det af, som ofte ligner en sociopat.
Effektiv informationssikkerhed - især den sikkerhed, der kræves for at bekæmpe social ingeniørarbejde - begynder ofte og slutter med dine brugere. Glem aldrig, at grundlæggende menneskelig kommunikation og interaktion har en dyb indvirkning på sikkerhedsniveauet i din organisation på et givent tidspunkt.
The candy-security ordsprog er "hårdt, knap udenfor; blødt, sejt inde. "Den hårde, knaprige udenfor er mekanismen - som f.eks. Firewalls, indbrudsforebyggelsessystemer og indholdsfiltrering - som organisationer typisk stoler på for at sikre deres information. Den bløde, sej inde er menneskene og processerne i organisationen. Hvis de dårlige kan komme forbi det tykke ydre lag, kan de kompromittere det (for det meste) forsvarsløse indre lag.
