Ismerje meg a Társadalmi tervezést – Védelem az emberi hackelés ellen
Egy friss hír ráébredt arra, hogy az emberi érzelmeket és gondolatokat hogyan lehet (vagy használják) mások javára. Majdnem mindenki ismeri Edward Snowdent(Edward Snowden) , az NSA bejelentőjét, aki szerte a világon leskelődik. A Reuters arról számolt be, hogy körülbelül 20-25 NSA - embert kért rá, hogy adja át neki jelszavát, hogy visszaszerezzen bizonyos adatokat, amelyeket később kiszivárogtatott [1]. Képzelje el(Imagine) , milyen törékeny lehet vállalati hálózata még a legerősebb és legjobb biztonsági szoftverekkel is!
Mi az a Social Engineering
Az emberi(Human) gyengeséget, kíváncsiságot, érzelmeket és egyéb jellemzőket gyakran felhasználták az illegális adatkinyerés során – legyen szó bármilyen iparágról. Az IT-ipar(IT Industry) azonban a social engineering nevet adta neki. A social engineering fogalmát a következőképpen definiálom:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Íme egy másik sor ugyanabból a hírből [1], amelyet szeretnék idézni: „ A biztonsági ügynökségek nehezen viselik a gondolatot, hogy a következő fülkében lévő fickó nem biztos, hogy megbízható(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ”. Kicsit módosítottam az állításon, hogy illeszkedjen az itteni kontextusba. A teljes hírt a Referenciák(References) rovatban található linken olvashatja .
Más szóval, nincs teljes ellenőrzése szervezete biztonsága felett, mivel a social engineering sokkal gyorsabban fejlődik, mint a vele való megbirkózás technikái. A social(Social) engineering bármi lehet olyan, mint felhívni valakit, aki azt mondja, hogy műszaki támogatást nyújt, és elkéri tőle a bejelentkezési adatait. Biztosan kapott adathalász e-maileket lottójátékokról, Közép-Keleten(Mid East) és Afrikában(Africa) élő gazdag emberekről, akik üzleti partnereket keresnek, és állásajánlatokat kértek az Ön adatairól.
Ellentétben az adathalász támadásokkal, a közösségi manipuláció nagyrészt a közvetlen személyek közötti interakcióból áll. Az előbbi (adathalászat) csalit alkalmaz – vagyis a „halászó” emberek kínálnak neked valamit, abban a reményben, hogy bedőlsz neki. A social(Social) engineering sokkal inkább a belső alkalmazottak bizalmának elnyeréséről szól, hogy nyilvánosságra hozzák a szükséges cégadatokat.
Olvassa el: (Read:) A Social Engineering népszerű módszerei .
Ismert szociális tervezési technikák
Sok van, és mindegyik alapvető emberi hajlamot alkalmaz, hogy bármely szervezet adatbázisába kerüljön. A leggyakrabban használt (valószínűleg elavult) social engineering technika az, hogy felhívnak és találkoznak emberekkel, és elhitetik velük, hogy a műszaki támogatástól származnak, akiknek ellenőrizniük kell számítógépét. Hamis személyi igazolványokat is készíthetnek a bizalom megteremtése érdekében. Egyes esetekben a tettesek állami tisztviselőnek adják ki magukat.
Egy másik híres technika, hogy személyét alkalmazottként alkalmazza a célszervezetben. Nos, mivel ez a csaló az Ön kollégája, rábízhatja a cég adatait. A külső munkatárs esetleg segíthet valamiben, ezért kötelességednek érzed magad, és ilyenkor tudják kihozni a maximumot.
Olvastam néhány beszámolót az elektronikus ajándékokat használó emberekről is. A cége címére szállított díszes USB pendrive vagy az autóban heverő pendrive katasztrófa lehet. Egy esetben valaki szándékosan hagyott néhány USB -meghajtót a parkolóban csaliként [2].
Ha a vállalati hálózat minden csomópontján jó biztonsági intézkedésekkel rendelkezik, akkor áldott. Ellenkező esetben ezek a csomópontok könnyű átjutást biztosítanak a rosszindulatú programoknak – az ajándékokban vagy az „elfelejtett” pendrive-okban – a központi rendszerek felé.
Mint ilyen, nem tudunk átfogó listát adni a social engineering módszerekről. Ez egy tudomány a lényeg, kombinálva a művészettel a csúcson. És tudod, hogy egyiküknek sincs határa. A social(Social) engineering srácok folyamatosan kreatívkodnak, miközben olyan szoftvereket fejlesztenek, amelyek a vállalati Wi-Fi-hálózathoz(Wi-Fi) hozzáférést biztosító vezeték nélküli eszközöket is visszaélhetnek .
Olvassa el: (Read:) Mi az a társadalmilag tervezett rosszindulatú program ?
A társadalmi tervezés megakadályozása
Személy szerint nem hiszem, hogy létezik olyan tétel, amellyel az adminisztrátorok megakadályozhatnák a social engineering feltöréseket. A social engineering technikák folyamatosan változnak, és ezért az informatikai rendszergazdák számára nehéz nyomon követni, mi történik.
Természetesen figyelemmel kell kísérni a social engineering híreket, hogy kellően tájékozott legyen a megfelelő biztonsági intézkedések megtételéhez. Például az USB -eszközök esetében az adminisztrátorok letilthatják az USB -meghajtókat az egyes csomópontokon, és csak a jobb biztonsági rendszerrel rendelkező szerveren engedélyezhetik azokat. Hasonlóképpen(Likewise) , a Wi-Fi- nek jobb titkosításra lenne szüksége, mint amit a legtöbb helyi internetszolgáltató(ISPs) biztosít.
Az alkalmazottak képzése és véletlenszerű tesztek elvégzése különböző alkalmazotti csoportokon segíthet azonosítani a szervezet gyenge pontjait. Könnyű lenne edzeni és óvatosságra inteni a gyengébb egyedeket. Az éberség(Alertness) a legjobb védekezés. A hangsúly az kell legyen, hogy a bejelentkezési információkat még a csapatvezetőkkel sem szabad megosztani – a nyomástól függetlenül. Ha a csoportvezetőnek hozzá kell férnie egy tag bejelentkezéséhez, használhat mester jelszót. Ez csak egy javaslat a biztonság megőrzésére és a social engineering hackek elkerülésére.
A lényeg az, hogy a rosszindulatú programokon és az online hackereken kívül az informatikusoknak gondoskodniuk kell a social engineeringről is. Az adatvédelmi incidens módszereinek azonosítása során (például jelszavak felírása stb.) az adminisztrátoroknak gondoskodniuk kell arról is, hogy munkatársaik elég okosak legyenek ahhoz, hogy azonosítsák a social engineering technikát, hogy elkerüljék azt. Ön szerint melyek a legjobb módszerek a social engineering megelőzésére? Ha érdekes esettel találkozik, kérjük, ossza meg velünk.
Töltse le ezt a Microsoft által kiadott Social Engineering Attacks e-könyvet, és tanulja meg, hogyan észlelheti és előzheti meg az ilyen támadásokat szervezetében.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)
Hivatkozások(References)
[1] Reuters , Snowden rávette az NSA alkalmazottait(NSA Employees Into) , hogy szerezzék meg bejelentkezési adataikat(Info)
[2] Boing Net , rosszindulatú programok terjesztésére használt (Spread Malware)Pen Drives .
Related posts
Internet és közösségi oldalak függőség
Álhír-webhelyek: Egyre nagyobb probléma és mit jelent ez a mai világban
Az Instagram tekercsek beállítása, rögzítése, szerkesztése és közzététele
A Reddit-fiók kétfaktoros hitelesítésének engedélyezése
Csatlakozzon a Windows Clubhoz
Hogyan lehet véglegesen törölni vagy ideiglenesen letiltani az Instagram-fiókot
Hogyan használd a Facebookot a közösségi média befolyásolójává
Zene, effektusok és fejlesztések hozzáadása az Instagram tekercsekhez
10 Reddit-tipp és trükk, amelyek segítségével mester Redditorrá válhatsz
Az Instagram adatok letöltése az Instagram Data Export Tool segítségével
Mi történik az online fiókokkal, amikor meghalsz: Digitális vagyonkezelés
Olyan dolgok listája, amelyeket nem szabad megosztani vagy közzétenni a Facebookon vagy a közösségi médiában
Hogyan tölthet le dalokat a SoundCloudból
A legjobb ingyenes Canva-sablonok prezentációhoz
Hogyan válhat YouTube-befolyásolóvá
Blokkolja az Instagram-hirdetéseket és a szponzorált tartalmakat a Filtergram segítségével
Mi a teendő, ha a Facebook-fiókot feltörték?
A közösségi médiában való túlzott megosztás veszélyei és következményei
Az Instagram és a WhatsApp összekapcsolása a Facebook oldallal
Hogyan lehetsz Instagramon Influencer