Indholdsfortegnelse:
Video: This is how hackers hack you using simple social engineering 2024
Du vil blive testet på sikkerhedsemner på A + eksamenerne, når du søger din CompTIA A + -certificering. En social engineering angreb opstår, når en hacker forsøger at indhente oplysninger eller få adgang til et system gennem social kontakt med en bruger. Typisk udgør hackeren som en anden og forsøger at narre en bruger til at afsløre personlige eller virksomhedsoplysninger, der gør det muligt for hacker adgang til et system eller netværk.
En hacker kalder f.eks. Dit firmas telefonnummer, som er opført i telefonbogen og udgør som teknisk supportperson for dit firma. Han fortæller den bruger, der svarer på telefonen, at en ny applikation er blevet implementeret på netværket, og for at applikationen skal fungere, skal brugerens adgangskode nulstilles. Når adgangskoden er nulstillet til, hvad hackeren ønsker, kan han "verificere" med brugerens legitimation, som brugeren bruger. En bruger, der ikke er uddannet på socialteknik, kan afsløre vigtige oplysninger uden at tænke.
Et socialteknisk angreb er et angreb, hvor en hacker forsøger at narre en bruger eller administrator til at afdække følsomme oplysninger gennem social kontakt. Efter at den følsomme information er opnået, kan hackeren derefter bruge disse oplysninger til at kompromittere systemet eller netværket.
Dette eksempel kan være urealistisk, men det sker hele tiden. Hvis du arbejder for et lille firma, kan du ikke opleve et socialteknikangreb. I et stort erhvervsklima er det dog yderst muligt, at et socialteknisk angreb lykkes, hvis virksomheden ikke uddanner sine brugere. Et stort firma har normalt IT-personale eller ledelse placeret på hovedkontoret, men de fleste filialer har aldrig talt med it-ledelsen, så de filialmedarbejdere ville ikke genkende IT-folks stemmer. En hacker kunne efterligne nogen fra hovedkontoret, og brugeren på filialen ville aldrig vide forskellen.
Der er en række populære socialtekniske angrebsscenarier - og netværksadministratorer er lige så tilbøjelige til at være socialteknikofre som "faste" medarbejdere, så de skal være opmærksomme. Her er nogle populære samfundstekniske scenarier:
- Hacker imiterer it-administrator. Hackeren ringer eller e-mails en medarbejder og foregiver at være netværksadministrator. Hackeren taster medarbejderen til at oplyse et kodeord eller endda nulstille adgangskoden.
- Hacker imiterer brugeren. Hackeren ringer eller e-mailer netværksadministratoren og foregiver at være en bruger, der har glemt sit kodeord, og beder administratoren om at nulstille sit kodeord til hende.
- Hacker e-mails program. Hackeren sender e-mails alle brugere på et netværk og fortæller dem om en sikkerhedsfejl i operativsystemet, og at de skal køre opdateringen. exe-fil vedhæftet til e-mailen. I dette eksempel opdateringen. exe er angrebet - det åbner computeren op, så hackeren kan få adgang til computeren.
Uddann dine brugere til aldrig at køre et program, der er blevet sendt til dem. De fleste softwareleverandører, som Microsoft, angiver, at de aldrig vil sende et program til en person: I stedet vil de e-maile webadressen til en opdatering, men det er op til den person, der skal hen til webadressen og downloade den.
Phishing
Phishing er en type social engineering, der involverer hacker, der sender dig en e-mail, der udgiver et websted som en bank eller et online-websted som eBay. E-mail-meddelelsen fortæller typisk, at der foreligger et presserende spørgsmål, som f.eks. Et sikkerhedskompromis med din konto, og at du skal logge på din konto for at bekræfte dine transaktioner. E-mail-beskeden giver dig et link til brug for at navigere til webstedet, men i stedet for at navigere til det rigtige websted, fører hackeren dig til et falsk websted, som han eller hun har oprettet. Dette falske websted ligner det rigtige websted, men når du indtaster dit brugernavn og adgangskode, indfanger hackeren disse oplysninger og bruger den til at få adgang til din konto på det rigtige websted!
En form for phishing er kendt som spyd phishing. Spyd phishing er et phishing-angreb, der er målrettet mod en bestemt person eller virksomhed. Mens phishing er en generel email sendt til nogen, sporer phishing phishing sig mod en bestemt person eller virksomhed i håb om at narre denne person til at gå på kompromis med sikkerheden.
Det er vigtigt at uddanne medarbejderne om phishing-angreb og ved, at de ikke skal klikke på linket, der er tilgængeligt i e-mail-beskeden. Navigere til webstedet manuelt via browseren ved at indtaste webadressen selv.
Shoulder Surfing
Shoulder Surfing er en anden type social engineering angreb, hvor nogen hænger ud bag dig og ser hvad du skriver på tastaturet. Personen håber at opdage følsomme oplysninger som et kodeord. Nøglen til at beskytte mod skulder surfing er at uddanne medarbejdere og informere dem om, at de aldrig bør skrive følsomme oplysninger, mens nogen kigger over deres skulder eller på deres skærm.
