Kaj je socialni inženiring?

Socialni inženiring ali osebno hekanje je izraz, ki opisuje dejanje prevare osebe s prevaro. Na primer, nekdo bi lahko poklical podjetje in prevaral zaposlenega, da misli, da so iz IT. Nato lahko zaprosijo posameznika, da potrdi svoje geslo, da lahko pridobijo dostop do omrežja ali obiščejo spletno stran, da lahko kradejo informacije.

Kevin Mitnick, ki je eden najbolj znanih hekerjev, je v svoji knjigi "Duh v žicah: moje pustolovščine kot najbolj iskani svetovni heker" opisal, kako je uporabil družbeni dobiček za nepooblaščen dostop do omrežij in telefonskih sistemov.

Primeri družabnih omrežij

Spodaj so navedeni primeri, kako bi lahko uporabil socialni inženiring za dostop do vašega omrežja, krajo zaupnih informacij ali brezplačno.

  • Sodelavci - Pretvarjajo se, da ste sodelavec, ki ima težave z dostopom do svojega računa in potrebuje varnost, prijavo ali druge podatke o računu.
  • Fake IT - Fake IT podpora, ki zahteva oddaljen dostop do računalnika zaradi ponarejenega problema ali varnostne grožnje.
  • Pretvarjanje zakonca - pretvarjajte se, da ste zakonec, ki kliče podjetje glede težav pri dostopu do računa njegovega zakonca in potrebuje podrobnosti o računu.
  • Študent - lažni študent, ki kliče podporno osebje in navaja, da spletna stran ne deluje. Ko član osebja obišče domnevno težavno stran, zbira informacije o računalniku in omrežju ali poskuša okužiti ta računalnik s trojancem ali drugo zlonamerno programsko opremo.
  • Fake customer - Fake nezadovoljna stranka, ki se pritožuje nad izdelki, ki jih niso kupili in ki zahtevajo povračilo ali odškodnino brez dokazila o nakupu.
  • Pretend vzdrževalec - Nekdo natisne priponko, ki daje videz, da je serviser, ki ga obišče, da popravi računalnik, tiskalnik, telefon ali drug sistem. Po dostopu do stavbe dobijo dostop do zaupnih dokumentov ali računalnikov, ki jim omogočajo dostop do omrežja.
  • Fake client - E-pošta lažnega odjemalca s poslovnim predlogom s prilogo, ki je trojanski ali zlonamerna programska oprema, ki okuži omrežje in omogoča oddaljen dostop.

Preprečevanje napadov na družabna omrežja

Izobraževanje

Vsi zaposleni, osebje, študenti ali družinski člani v istem omrežju morajo poznati vse morebitne grožnje, s katerimi se srečujejo. Prav tako je pomembno, da se izobražuje tudi vsakdo, ki ima dostop na daljavo, kot je tretje podjetje za informacijsko tehnologijo ali izvajalci.

Varnostni ukrepi

Večina podjetij ima (ali bi morala imeti) varnostni ukrep, kot je koda, ki je potrebna za dostop do podrobnosti o računu. Če stranka ali nekdo, ki kliče, reče, da stranka ne more zagotoviti teh informacij, se podatki o računu ne smejo posredovati po telefonu. Prav tako je treba pojasniti, da bi posredovanje informacij, da bi se izognili konfliktu s stranko, povzročilo, da bi zaposleni takoj izgubil svoje delo.

Vedno bodite pozorni na to, kar ne morete videti

Večina napadov socialnega inženiringa je po telefonu, elektronski pošti ali drugih oblikah komunikacije, ki ne zahtevajo osebne komunikacije. Če ne vidite, s kom se pogovarjate, morate vedno domnevati, da oseba, s katero se pogovarjate, ni tista, za katero pravijo, da je.

Varnost ali recepcija

Vsi napadi na socialni inženiring se ne dogajajo preko telefona ali interneta. Napadalec bi lahko obiskal podjetje z značko ali obliko identifikacije. Vsako podjetje mora imeti recepcijo ali varnostnika, ki se zaveda vseh varnostnih groženj in ve, da nihče ne more prestati brez ustreznega pooblastila. Prav tako bi se morali zavedati, da če se ti ukrepi ne upoštevajo (npr. Nekdo pravi, da so pozabili svojo značko), bi to povzročilo, da bodo izgubili svoje delo.

Prav tako je dobra ideja imeti bolj občutljiva območja, kot je strežniška soba, ki zahtevajo dodatno varnost, kot je bralnik značk, ki pooblaščenim zaposlenim omogoča dostop do sobe. Prav tako morajo zaposleni, ki dostopajo do stavbe ali sobe s pomočjo značke, zavedati, da tudi oni ne smejo nikomur priti skozi vrata hkrati z njimi.

Shred

Nekateri ljudje se ne bojijo potopitve v dumpster, da bi našli zaupne informacije o podjetju ali druge informacije, ki bi jim omogočile dostop do omrežja. Vse dokumente, ki jih vaši zaposleni zavržejo, je treba zdrobiti.

Ustrezno zavrzite opremo podjetja

Prepričajte se, da je vsaka oprema pravilno uničena ali zavržena. Večina ljudi se lahko zaveda, da ima trdi disk računalnika (tudi če je izbrisan) občutljive podatke, ki jih je mogoče obnoviti. Vendar pa veliko ljudi ne ve, da naprave, kot so kopirni stroji, tiskalniki in faksi, vsebujejo tudi pomnilnik in da se lahko občutljivi podatki tudi izterjajo iz teh naprav. Razen če menite, da je varno, da nekdo bere vse, kar ste kdaj natisnili, skenirali ali poslali po faksu (ni verjetno), poskrbite, da napravo zavržete.

Varnostni izrazi, deskanje po ramenih