Egy friss hír ráébredt arra, hogy az emberi érzelmeket és gondolatokat hogyan lehet (vagy használják) mások javára. Majdnem mindenki ismeri Edward Snowdent^{(Edward Snowden)} , az NSA bejelentőjét, aki szerte a világon leskelődik. A Reuters arról számolt be, hogy körülbelül 20-25 NSA - embert kért rá, hogy adja át neki jelszavát, hogy visszaszerezzen bizonyos adatokat, amelyeket később kiszivárogtatott [1]. Képzelje el^(Imagine) , milyen törékeny lehet vállalati hálózata még a legerősebb és legjobb biztonsági szoftverekkel is!

Mi az a Social Engineering

Az emberi^(Human) gyengeséget, kíváncsiságot, érzelmeket és egyéb jellemzőket gyakran felhasználták az illegális adatkinyerés során – legyen szó bármilyen iparágról. Az IT-ipar^{(IT Industry)} azonban a social engineering nevet adta neki. A social engineering fogalmát a következőképpen definiálom:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Íme egy másik sor ugyanabból a hírből [1], amelyet szeretnék idézni: „ A biztonsági ügynökségek nehezen viselik a gondolatot, hogy a következő fülkében lévő fickó nem biztos, hogy megbízható^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} ”. Kicsit módosítottam az állításon, hogy illeszkedjen az itteni kontextusba. A teljes hírt a Referenciák^(References) rovatban található linken olvashatja .

Más szóval, nincs teljes ellenőrzése szervezete biztonsága felett, mivel a social engineering sokkal gyorsabban fejlődik, mint a vele való megbirkózás technikái. A social^(Social) engineering bármi lehet olyan, mint felhívni valakit, aki azt mondja, hogy műszaki támogatást nyújt, és elkéri tőle a bejelentkezési adatait. Biztosan kapott adathalász e-maileket lottójátékokról, Közép-Keleten^{(Mid East)} és Afrikában^(Africa) élő gazdag emberekről, akik üzleti partnereket keresnek, és állásajánlatokat kértek az Ön adatairól.

Ellentétben az adathalász támadásokkal, a közösségi manipuláció nagyrészt a közvetlen személyek közötti interakcióból áll. Az előbbi (adathalászat) csalit alkalmaz – vagyis a „halászó” emberek kínálnak neked valamit, abban a reményben, hogy bedőlsz neki. A social^(Social) engineering sokkal inkább a belső alkalmazottak bizalmának elnyeréséről szól, hogy nyilvánosságra hozzák a szükséges cégadatokat.

Olvassa el: ^(Read:) A Social Engineering népszerű módszerei .

Ismert szociális tervezési technikák

Sok van, és mindegyik alapvető emberi hajlamot alkalmaz, hogy bármely szervezet adatbázisába kerüljön. A leggyakrabban használt (valószínűleg elavult) social engineering technika az, hogy felhívnak és találkoznak emberekkel, és elhitetik velük, hogy a műszaki támogatástól származnak, akiknek ellenőrizniük kell számítógépét. Hamis személyi igazolványokat is készíthetnek a bizalom megteremtése érdekében. Egyes esetekben a tettesek állami tisztviselőnek adják ki magukat.

Egy másik híres technika, hogy személyét alkalmazottként alkalmazza a célszervezetben. Nos, mivel ez a csaló az Ön kollégája, rábízhatja a cég adatait. A külső munkatárs esetleg segíthet valamiben, ezért kötelességednek érzed magad, és ilyenkor tudják kihozni a maximumot.

Olvastam néhány beszámolót az elektronikus ajándékokat használó emberekről is. A cége címére szállított díszes USB pendrive vagy az autóban heverő pendrive katasztrófa lehet. Egy esetben valaki szándékosan hagyott néhány USB -meghajtót a parkolóban csaliként [2].

Ha a vállalati hálózat minden csomópontján jó biztonsági intézkedésekkel rendelkezik, akkor áldott. Ellenkező esetben ezek a csomópontok könnyű átjutást biztosítanak a rosszindulatú programoknak – az ajándékokban vagy az „elfelejtett” pendrive-okban – a központi rendszerek felé.

Mint ilyen, nem tudunk átfogó listát adni a social engineering módszerekről. Ez egy tudomány a lényeg, kombinálva a művészettel a csúcson. És tudod, hogy egyiküknek sincs határa. A social^(Social) engineering srácok folyamatosan kreatívkodnak, miközben olyan szoftvereket fejlesztenek, amelyek a vállalati Wi-Fi-hálózathoz^(Wi-Fi) hozzáférést biztosító vezeték nélküli eszközöket is visszaélhetnek .

Olvassa el: ^(Read:) Mi az a társadalmilag tervezett rosszindulatú program ?

A társadalmi tervezés megakadályozása

Személy szerint nem hiszem, hogy létezik olyan tétel, amellyel az adminisztrátorok megakadályozhatnák a social engineering feltöréseket. A social engineering technikák folyamatosan változnak, és ezért az informatikai rendszergazdák számára nehéz nyomon követni, mi történik.

Természetesen figyelemmel kell kísérni a social engineering híreket, hogy kellően tájékozott legyen a megfelelő biztonsági intézkedések megtételéhez. Például az USB -eszközök esetében az adminisztrátorok letilthatják az USB -meghajtókat az egyes csomópontokon, és csak a jobb biztonsági rendszerrel rendelkező szerveren engedélyezhetik azokat. Hasonlóképpen^(Likewise) , a Wi-Fi- nek jobb titkosításra lenne szüksége, mint amit a legtöbb helyi internetszolgáltató^(ISPs) biztosít.

Az alkalmazottak képzése és véletlenszerű tesztek elvégzése különböző alkalmazotti csoportokon segíthet azonosítani a szervezet gyenge pontjait. Könnyű lenne edzeni és óvatosságra inteni a gyengébb egyedeket. Az éberség^(Alertness) a legjobb védekezés. A hangsúly az kell legyen, hogy a bejelentkezési információkat még a csapatvezetőkkel sem szabad megosztani – a nyomástól függetlenül. Ha a csoportvezetőnek hozzá kell férnie egy tag bejelentkezéséhez, használhat mester jelszót. Ez csak egy javaslat a biztonság megőrzésére és a social engineering hackek elkerülésére.

A lényeg az, hogy a rosszindulatú programokon és az online hackereken kívül az informatikusoknak gondoskodniuk kell a social engineeringről is. Az adatvédelmi incidens módszereinek azonosítása során (például jelszavak felírása stb.) az adminisztrátoroknak gondoskodniuk kell arról is, hogy munkatársaik elég okosak legyenek ahhoz, hogy azonosítsák a social engineering technikát, hogy elkerüljék azt. Ön szerint melyek a legjobb módszerek a social engineering megelőzésére? Ha érdekes esettel találkozik, kérjük, ossza meg velünk.

Töltse le ezt a Microsoft által kiadott Social Engineering Attacks e-könyvet, és tanulja meg, hogyan észlelheti és előzheti meg az ilyen támadásokat szervezetében.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Hivatkozások^(References)

[1] Reuters , Snowden rávette az NSA alkalmazottait^{(NSA Employees Into)} , hogy szerezzék meg bejelentkezési adataikat^(Info)

[2] Boing Net , rosszindulatú programok terjesztésére használt ^{(Spread Malware)}Pen Drives .

Understand Social Engineering - Protection against Human Hacking

A piece оf recent news made me realize how human emotions and thoughts сan be (or, are) used for otherѕ’ benefit. Almost every one of you knows Edward Snowden, the whistleblower of NSA snooping the world over. Reuters reported that he got around 20-25 NSA people to hand ovеr their passwords to hіm for rеcovering somе data he leaked later [1]. Imagine how fragile your corрorаte network can be, even with thе strongest and best of ѕecurity software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Internet és közösségi oldalak függőség

• Álhír-webhelyek: Egyre nagyobb probléma és mit jelent ez a mai világban

• Az Instagram tekercsek beállítása, rögzítése, szerkesztése és közzététele

• A Reddit-fiók kétfaktoros hitelesítésének engedélyezése

• Csatlakozzon a Windows Clubhoz

• Hogyan lehet véglegesen törölni vagy ideiglenesen letiltani az Instagram-fiókot

• Hogyan használd a Facebookot a közösségi média befolyásolójává

• Zene, effektusok és fejlesztések hozzáadása az Instagram tekercsekhez

• 10 Reddit-tipp és trükk, amelyek segítségével mester Redditorrá válhatsz

• Az Instagram adatok letöltése az Instagram Data Export Tool segítségével

• Mi történik az online fiókokkal, amikor meghalsz: Digitális vagyonkezelés

• Olyan dolgok listája, amelyeket nem szabad megosztani vagy közzétenni a Facebookon vagy a közösségi médiában

• Hogyan tölthet le dalokat a SoundCloudból

• A legjobb ingyenes Canva-sablonok prezentációhoz

• Hogyan válhat YouTube-befolyásolóvá

• Blokkolja az Instagram-hirdetéseket és a szponzorált tartalmakat a Filtergram segítségével

• Mi a teendő, ha a Facebook-fiókot feltörték?

• A közösségi médiában való túlzott megosztás veszélyei és következményei

• Az Instagram és a WhatsApp összekapcsolása a Facebook oldallal

• Hogyan lehetsz Instagramon Influencer