Lesley Fowler
0 
1974
207
I sidste uge kiggede vi på nogle af de vigtigste trusler mod social ingeniør Hvad er social teknik? [MakeUseOf Explains] Hvad er social engineering? [MakeUseOf Explains] Du kan installere branchens stærkeste og dyreste firewall. Du kan uddanne medarbejdere om grundlæggende sikkerhedsprocedurer og vigtigheden af at vælge stærke adgangskoder. Du kan endda låse serverrummet - men hvordan ... at du, din virksomhed eller dine medarbejdere skal være på udkig efter. Kort sagt svarer socialteknik til et tillids-trick, hvor en angriber får adgang, information eller penge ved at vinde offerets tillid.
Disse teknikker kan variere fra phishing-svindel via e-mail til detaljerede telefontricks og invasive påskudsangreb. Selvom der ikke er nogen endelig måde at stoppe sociale ingeniører på, er der et par ting at huske for at forhindre, at denne form for angreb bliver for alvorlige. Som altid er dit bedste forsvar viden og konstant årvågenhed.
Beskyttelse mod fysiske angreb
Mange virksomheder uddanner deres netværkssikkerhedsteam om farerne ved fysisk angreb. En metode kendt som “tailgating” bruges i mange fysiske angreb for at få adgang til områder, der er begrænset uden tilladelse. Dette angreb går på grundlæggende menneskelig høflighed - holder en dør for nogen - men når angriberen først får fysisk adgang, bliver sikkerhedsbruddet meget alvorligt.
Selvom dette ikke rigtig gælder i et hjemmescenarie (du er usandsynligt, at du holder din hoveddør åben for en fremmed nu, er du?), Er der et par ting, du kan gøre for at reducere chancerne for at blive offer for en social engineering angreb, der afhænger af fysiske materialer eller en placering.
Pretexting er en teknik, der bruges af angribere, der først finder information om deres offer (f.eks. Fra en regning eller kreditkortopgørelse), som de derefter kan bruge mod deres offer ved at overbevise dem om, at de har en følelse af autoritet. Den mest basale beskyttelse mod denne form for angreb (undertiden benævnt “dumpster dykning”) er ved at ødelægge ethvert materiale, der indeholder vigtige, personlige oplysninger.
Dette gælder også for digitale data, så gamle harddiske skal destrueres tilstrækkeligt (fysisk), og optiske medier kan også makuleres. Nogle virksomheder tager endda dette i en sådan grad, at de låser deres affald og har sikkerhed overvåger det. Overvej det uskrimlede papirarbejde, du smider væk - kalendere, kvitteringer, fakturaer og endda personlige notater - og overvej derefter, om disse oplysninger kunne bruges mod dig.
Tanken på et indbrud er ikke særlig flot, men hvis din bærbare computer blev stjålet Spor op og gendan din stjålne bærbare computer med bytte Spor ned og gendan din stjålne bærbar computer med bytte i morgen, ville den være tilstrækkeligt låst? Laptops, smartphones og andre enheder, der får adgang til dine personlige oplysninger, e-mail og sociale netværkskonti, skal altid være beskyttet med sikre adgangskoder Sådan opretter du en stærk adgangskode, som du ikke vil glemme, hvordan man opretter en stærk adgangskode, som du ikke vil glemme Ved du hvordan at oprette og huske en god adgangskode? Her er nogle tip og tricks til at opretholde stærke, separate adgangskoder til alle dine online konti. og koder. Hvis du virkelig er paranoid over tyveri, vil du måske endda kryptere dataene på din harddisk ved hjælp af noget som TrueCrypt Sådan opretter du krypterede mapper, som andre ikke kan se med Truecrypt 7 Sådan laver du krypterede mapper, andre ikke kan se med Truecrypt 7 eller BitLocker.
Husk - alle oplysninger, som en tyv kan udtrykke, kan bruges mod dig i fremtidige angreb, måneder eller år efter hændelsen.
At agte - at efterlade en ondsindet enhed, som f.eks. Kompromitteret USB-stick, hvor den let kan findes - undgås let ved ikke at lade dine nysgerrigheder blive bedre. Hvis du finder en USB-stick på din veranda, skal du behandle den med den største mistanke. USB-pinde kan bruges til at installere keyloggers, trojanere og anden uønsket software til at udtrække information og udgøre en meget reel trussel.
Forebyggelse af psykologiske angreb
Næsten alle socialtekniske angreb er psykologiske helt fra deres definition, men i modsætning til påskud, der kræver forudgående viden, er nogle angreb rent psykologiske. Beskyttelse mod disse slags angreb er i øjeblikket en stor prioritet for mange virksomheder, og dette involverer uddannelse, årvågenhed og ofte at tænke som en angriber.
Virksomheder begynder nu at uddanne personale på alle niveauer, da de fleste angreb starter med sikkerhedsvagten på porten eller receptionisten i receptionen. Dette involverer generelt at instruere medarbejderne om at passe på for mistænkelige anmodninger, påtrængende individer eller noget, der bare ikke tilføjer. Denne årvågenhed kan let overføres til dit daglige liv, men afhænger af din evne til at identificere anmodninger om fortrolige oplysninger.
Mens onlineangreb via e-mail og onlinemeddelelser stadig oftere forekommer, er socialtekniske angreb via telefon (og VoIP, som gør det sværere at spore kilden) stadig en reel trussel. Den enkleste måde at undgå et angreb er at afslutte opkaldet det andet du har mistanke om noget.
Det er muligt, at din bank ringer til dig, men sjældent at de beder om din adgangskode eller andre oplysninger direkte. Hvis et sådant opkald finder sted, skal du anmode om bankens telefonnummer, dobbeltkontrollere det og ringe tilbage. Det kan tage yderligere fem minutter, men dine midler og dine personlige oplysninger er sikre og banken vilje forstå. Tilsvarende er det meget usandsynligt, at et sikkerhedsfirma ringer for at advare dig om problemer med din computer. Behandl alle opkald som en fidus, vær mistænksom og kompromis ikke din pc Kolde opkald Computerteknikere: Må ikke falde efter en fidus som denne [Scam Alert!] Cold Calling Computerteknikere: Må ikke falde for en fidus som denne [ Scam Alert!] Du har sandsynligvis hørt udtrykket "bedrager ikke en svindler", men jeg har altid været begejstret for "ikke bedrager en teknisk forfatter" selv. Jeg siger ikke, at vi er ufejlbarlige, men hvis din fidus involverer internettet, en Windows ... eller køber det, de sælger!
Uddannelse er det bedste forsvar, så ved at følge med i sikkerhedsteknikker og nyheder vil du hjælpe dig med at få et potentielt angreb. Ressourcer som Social-Engineer.org forsøger at uddanne folk til teknikker, der bruges af sociale ingeniører, og der er en masse information tilgængelig.
Nogle få ting at huske
Tillid er en social ingeniørs hovedtaktik og vil blive brugt til at få adgang til fysiske placeringer, fortrolige oplysninger og i større skala følsomme virksomhedsdata. Et system er kun så stærkt som dets svageste forsvar, og i tilfælde af social ingeniørarbejde betyder dette personer, der ikke er opmærksomme på de anvendte trusler og teknikker.
Konklusion
For at citere Kevin Mitnick, der formåede at vandre rundt i den største sikkerhedskonference i verden, ubeskadiget og ukontrolleret (RSA 2001): “Du kan bruge en formue på at købe teknologi og tjenester fra enhver udstiller, taler og sponsor på RSA-konferencen, og din netværksinfrastruktur kan stadig forblive sårbar over for gammeldags manipulation.”. Dette gælder for låsene på dine døre og alarmen i dit hus, så hold øje med socialteknisk taktik på arbejde og hjemme.
Har du oplevet sådanne angreb? Arbejder du for en virksomhed, der for nylig er begyndt at uddanne ansatte om farerne? Fortæl os, hvad du synes, i kommentarerne nedenfor.
Billedkreditter: Ulv i fåretøj (Shutterstock) Paper Shredder (Chris Scheufele), harddisk (jon_a_ross), telefon på skrivebord (Radio.Guy), Mozilla-modtagelse (Niall Kennedy),