Mis on sotsiaalne tehnika ja kuidas seda vältida?
Pahavara ei ole ainus online-oht, mis peaks muretsema. Sotsiaalne inseneriteadus on suur oht ja see võib sind tabada mis tahes operatsioonisüsteemis. Tegelikult võib sotsiaalne inseneritöö toimuda ka telefoni ja näost-näkku olukordades.
Oluline on olla teadlik sotsiaalsest insenerist ja olla vaade. Turvaprogrammid ei kaitse teid enamiku sotsiaalsete tehniliste ohtude eest, seega peate ennast kaitsma.
Sotsiaaltehnoloogia selgitus
Traditsioonilised arvutipõhised rünnakud sõltuvad sageli arvuti koodi haavatavuse leidmisest. Näiteks kui kasutate Adobe Flashi - või jumala keelatud - Java-i vananenud versiooni, mis põhjustas Cisco andmetel 2013. aastal 91% rünnakutest - võite külastada pahatahtlikku veebisaiti ja seda veebisaiti kasutaks teie tarkvara haavatavust, et pääseda juurde teie arvutile. Ründaja manipuleerib tarkvaras olevate vigadega, et pääseda juurde ja koguda privaatset teavet, võib-olla oma installitud keyloggeriga.
Sotsiaalse inseneri nipid on erinevad, sest need hõlmavad pigem psühholoogilist manipuleerimist. Teisisõnu, nad kasutavad inimesi, mitte nende tarkvara.
Olete ilmselt juba kuulnud andmepüügist, mis on sotsiaalse tehnika vorm. Võite saada e-kirja, mis väidab end olevat teie pangast, krediitkaardifirmast või mõnest muust usaldusväärsest ettevõttest. Nad võivad suunata teid võltsitud veebisaidile, mis on varjatud, et see näeks välja nagu tõeline või paluge teil alla laadida ja installida pahatahtlik programm. Kuid sellised sotsiaalse inseneri nipid ei pea hõlmama võltsitud veebisaite ega pahavara. Andmepüügi e-kiri võib lihtsalt paluda teil saata e-posti vastus isikliku teabega. Selle asemel, et proovida tarkvara viga ära kasutada, püüavad nad kasutada normaalseid inimtegevusi. Spearfishing võib olla veelgi ohtlikum, kuna see on andmepüügi vorm, mis on mõeldud konkreetsete isikute sihtimiseks.
Sotsiaalse tehnika näited
Üks populaarne trikk vestlusteenustes ja võrgumängudes on olnud konto registreerimine nimega "Administrator" ja saata inimestele hirmutavaid sõnumeid nagu "HOIATUS. Oleme avastanud, et keegi võib teie kontot häkkida, vastake oma parooliga, et ennast ise autentida." Kui sihtmärk vastab oma paroolile, on nad langenud trikkide eest ja ründajal on nüüd oma konto parool.
Kui keegi on teie kohta isiklikku teavet, võivad nad seda kasutada oma kontodele juurdepääsuks. Näiteks teie identifitseerimiseks kasutatakse sageli sellist teavet nagu teie sünniaeg, sotsiaalkindlustuse number ja krediitkaardi number. Kui kellelgi sellist teavet on, võivad nad äriga ühendust võtta ja teeselda, et oled teie. See trikk oli ründaja poolt tuntud, et saada juurdepääs Sarah Palini Yahoo! Mail konto 2008. aastal, esitades piisavalt isikuandmeid, et saada kontole juurdepääs Yahoo! Sama meetodit saab kasutada telefoni teel, kui teil on isiklik teave, mida ettevõte teie autentimiseks vajab. Ründaja, kellel on mõningaid andmeid sihtmärgi kohta, võib teesklema, et nad on need ja saavad juurde rohkem asju.
Sotsiaalset inseneritööd võiks kasutada ka isiklikult. Ründaja võib ettevõttesse siseneda, teatada sekretärile, et ta on remonditöötaja, uus töötaja või tuletõrjuja autoriteetse ja veenva tooniga ning seejärel rändab saali ja võib varastada konfidentsiaalseid andmeid või taimevigu, et teha ettevõtte spionaaži. See trikk sõltub sellest, kas ründaja esitab ennast kui keegi, keda nad pole. Kui sekretär, uksehoidja või keegi teine, kes vastutab, ei küsi liiga palju küsimusi või näeb liiga lähedalt, on trikk edukas.
Sotsiaal-insenerirünnakud katavad võltsitud veebisaitide, petturlike e-kirjade ja ebameeldivate vestlussõnumite ulatuse, kuni keegi on telefonis või isiklikus vormis. Need rünnakud on mitmesugustes vormides, kuid neil kõigil on üks ühine asi - nad sõltuvad psühholoogilisest trikkusest. Sotsiaaltehnika on kutsutud psühholoogilise manipuleerimise kunstiks. See on üks peamisi viise "häkkerite" tegelikult "häkkida" kontosid online.
Kuidas vältida sotsiaalset tehnikat
Sotsiaalse inseneri olemasolu teadmine aitab teil seda võidelda. Ole kahtlane soovimatute kirjade, vestlussõnumite ja telefonikõnede puhul, mis nõuavad isiklikku teavet. Ärge kunagi avaldage e-posti teel finantsinformatsiooni ega olulist isiklikku teavet. Ärge laadige potentsiaalselt ohtlikke e-posti manuseid alla ega käivitage neid, isegi kui e-kiri väidab, et nad on olulised.
Samuti ei tohiks te linke jälgida tundlikele veebilehtedele. Näiteks ärge klikkige lingil e-posti aadressil, mis näib olevat teie pangast ja logige sisse. See võib viia teid võltsitud andmepüügisaitile, mis on varjatud, et otsida teie panga saidina, kuid pisut erineva URL-iga. Külastage veebisaiti otse.
Kui te saate kahtlase päringu - näiteks teie pangakutsung küsib isiklikke andmeid - võtke otse ühendust päringu allikaga ja küsige kinnitust. Selles näites helistate oma pangale ja küsite, mida nad tahavad, selle asemel et avaldada teavet kellelegi, kes väidab, et on teie pank.
E-posti programmidel, veebibrauseritel ja turva sviitidel on üldiselt andmepüügifiltrid, mis hoiatavad teid, kui külastate teadaolevat andmepüügisaiti. Kõik, mida nad saavad teha, on hoiatada teid, kui külastate teadaolevat andmepüügisaiti või saate teadaolevat andmepüügi e-posti, ning nad ei tea kõigist andmepüügisaitidest või e-kirjadest seal. Enamasti on see sinu ülesanne kaitsta ennast - turvaprogrammid saavad vaid natuke aidata.
See on hea mõte teostada tervislikku kahtlust, kui tegelda privaatsete andmete taotlemisega ja mis tahes muu, mis võiks olla sotsiaal-insenerirünnak. Kahtlus ja ettevaatlikkus aitavad teid kaitsta nii võrgus kui ka võrgus.
Image Credit: Jeff Turnet Flickris