Την περασμένη εβδομάδα, ρίξαμε μια ματιά σε μερικές από τις βασικές απειλές κοινωνικής μηχανικής. Τι είναι η κοινωνική μηχανική; [Το MakeUseOf Εξηγεί] Τι είναι η Κοινωνική Μηχανική; [Επεξήγηση MakeUseOf] Μπορείτε να εγκαταστήσετε το ισχυρότερο και ακριβότερο τείχος προστασίας της βιομηχανίας. Μπορείτε να εκπαιδεύσετε τους εργαζομένους σχετικά με τις βασικές διαδικασίες ασφαλείας και τη σημασία της επιλογής ισχυρών κωδικών πρόσβασης. Μπορείτε να κλειδώσετε ακόμη και το δωμάτιο server - αλλά πώς ... Διαβάστε περισσότερα ότι εσείς, η εταιρεία σας ή οι υπάλληλοί σας θα πρέπει να ψάχνουν έξω. Με λίγα λόγια, η κοινωνική μηχανική είναι παρόμοια με ένα τέχνασμα εμπιστοσύνης στο οποίο ένας εισβολέας αποκτά πρόσβαση, πληροφορίες ή χρήματα κερδίζοντας την εμπιστοσύνη του θύματος.
Αυτές οι τεχνικές μπορεί να κυμαίνονται από απάτες ηλεκτρονικού "ψαρέματος" (phishing) μέσω ηλεκτρονικού ταχυδρομείου σε περίπλοκα τηλεφωνικά κόλπα και επεμβατικές επιθέσεις προσβολής. Παρόλο που δεν υπάρχει οριστικός τρόπος για να σταματήσουν οι κοινωνικοί μηχανικοί, υπάρχουν λίγα πράγματα που πρέπει να θυμόμαστε για να αποτρέψουμε αυτές τις επιθέσεις να γίνουν πολύ σοβαρές. Όπως πάντα, η καλύτερη άμυνά σας είναι η γνώση και η συνεχής επαγρύπνηση.
Προστασία από φυσικές επιθέσεις
Πολλές εταιρείες εκπαιδεύουν την ομάδα ασφάλειας του δικτύου τους για τους κινδύνους της σωματικής επίθεσης. Μια μέθοδος που ονομάζεται "tailgating" χρησιμοποιείται σε πολλές φυσικές επιθέσεις για να αποκτήσει πρόσβαση σε περιοχές περιορισμένες χωρίς άδεια. Η επίθεση αυτή βασίζεται στη βασική ανθρώπινη ευγένεια - κρατώντας μια πόρτα για κάποιον - αλλά όταν ο επιτιθέμενος αποκτήσει φυσική πρόσβαση, η παραβίαση της ασφάλειας γίνεται πολύ σοβαρή.
Ενώ αυτό δεν ισχύει στην πραγματικότητα σε ένα οικιακό σενάριο (είναι απίθανο να κρατάτε την μπροστινή πόρτα ανοιχτή για έναν ξένο τώρα, έτσι;) υπάρχουν μερικά πράγματα που μπορείτε να κάνετε για να μειώσετε τις πιθανότητες να πέσετε θύμα κοινωνικής μηχανικής επίθεση που εξαρτάται από φυσικά υλικά ή τοποθεσία.
Το Pretexting είναι μια τεχνική που χρησιμοποιείται από τους εισβολείς που βρίσκουν για πρώτη φορά πληροφορίες σχετικά με το θύμα τους (π.χ. από μια δήλωση λογαριασμού ή πιστωτικής κάρτας) την οποία μπορούν να χρησιμοποιήσουν ενάντια στο θύμα τους, πείνοντάς τους ότι έχουν αίσθηση εξουσίας. Η πιο βασική προστασία ενάντια σε αυτό το είδος επίθεσης (που μερικές φορές αναφέρεται ως "κατάδυση κατά την αλυσίδα καταλοίπων") είναι η καταστροφή οποιουδήποτε υλικού που περιέχει σημαντικές, προσωπικές πληροφορίες.
Αυτό ισχύει και για τα ψηφιακά δεδομένα, έτσι ώστε οι παλιοί σκληροί δίσκοι πρέπει να καταστρέφονται επαρκώς (φυσικά) και τα οπτικά μέσα μπορούν επίσης να τεμαχιστούν. Ορισμένες εταιρείες το παίρνουν ακόμη και σε τέτοιο βαθμό ώστε να κλειδώνουν τα απορρίμματα τους και να το παρακολουθούν με ασφάλεια. Λάβετε υπόψη σας τα άχρηστα χαρτιά που πετάτε - ημερολόγια, αποδείξεις, τιμολόγια και ακόμη και προσωπικά μηνύματα - και στη συνέχεια εξετάστε εάν αυτές οι πληροφορίες θα μπορούσαν να χρησιμοποιηθούν εναντίον σας.
Η σκέψη μιας διάρρηξης δεν είναι ιδιαίτερα ωραία, αλλά αν το laptop σας κλαπεί Track Down και να ανακτήσει τον κλεμμένο φορητό υπολογιστή σας με το θήραμα Track Down και να ανακτήσει τον κλεμμένο φορητό υπολογιστή σας με το θήραμα Διαβάστε αύριο θα ήταν επαρκώς κλειδωμένο κάτω; Οι φορητοί υπολογιστές, τα smartphones και άλλες συσκευές που έχουν πρόσβαση στις προσωπικές σας πληροφορίες, ηλεκτρονικό ταχυδρομείο και λογαριασμούς κοινωνικής δικτύωσης θα πρέπει πάντα να προστατεύονται με ασφαλή κωδικούς πρόσβασης. Πώς να δημιουργήσετε έναν ισχυρό κωδικό πρόσβασης που δεν θα ξεχάσετε Πώς να δημιουργήσετε έναν ισχυρό κωδικό πρόσβασης που δεν θα ξεχάσετε Ξέρετε πώς για να δημιουργήσετε και να θυμάστε έναν καλό κωδικό πρόσβασης; Ακολουθούν μερικές συμβουλές και κόλπα για να διατηρήσετε ισχυρούς, ξεχωριστούς κωδικούς πρόσβασης για όλους τους λογαριασμούς σας στο διαδίκτυο. Διαβάστε περισσότερα και κωδικούς. Εάν είστε πραγματικά παρανοϊκοί για κλοπή, ίσως θελήσετε ακόμη και να κρυπτογραφήσετε τα δεδομένα στο σκληρό σας δίσκο χρησιμοποιώντας κάτι σαν TrueCrypt Πώς να κάνετε κρυπτογραφημένους φακέλους Άλλοι δεν μπορούν να δουν με το Truecrypt 7 Πώς να κάνετε κρυπτογραφημένους φακέλους Άλλοι δεν μπορούν να δουν με το Truecrypt 7 Διαβάστε περισσότερα ή BitLocker.
Θυμηθείτε - οποιαδήποτε πληροφορία μπορεί να αποκτήσει ένας κλέφτης μπορεί να χρησιμοποιηθεί εναντίον σας σε μελλοντικές επιθέσεις, μήνες ή χρόνια μετά το περιστατικό.
Το μαστίγιο - αφήνοντας μια κακόβουλη συσκευή, όπως το compromised USB stick όπου μπορεί εύκολα να βρεθεί - αποφεύγεται εύκολα, μη αφήνοντας τις περιέργειές σας να σας πάρουν το καλύτερο. Αν βρεθεί ένα ραβδί USB στη βεράντα σας, θεραπεύστε το με τη μέγιστη υποψία. Τα USB sticks μπορούν να χρησιμοποιηθούν για την εγκατάσταση keyloggers, trojans και άλλων ανεπιθύμητων λογισμικών για την εξαγωγή πληροφοριών και την εμφάνιση μιας πολύ πραγματικής απειλής.
Πρόληψη ψυχολογικών επιθέσεων
Σχεδόν όλες οι επιθέσεις της κοινωνικής μηχανικής είναι ψυχολογικές από τον ίδιο τον ορισμό τους, αλλά σε αντίθεση με το pretexting που απαιτεί προηγούμενη γνώση, ορισμένες επιθέσεις είναι καθαρά ψυχολογικές. Η προστασία από τέτοιου είδους επιθέσεις είναι σήμερα μια μεγάλη προτεραιότητα για πολλές εταιρείες, και αυτό περιλαμβάνει εκπαίδευση, επαγρύπνηση και συχνά σκέφτεται σαν εισβολέας.
Οι εταιρείες αρχίζουν τώρα να εκπαιδεύουν το προσωπικό σε κάθε επίπεδο, καθώς οι περισσότερες επιθέσεις ξεκινούν με τον φρουρό στην πύλη ή τον ρεσεψιονίστ στη ρεσεψιόν. Αυτό γενικά περιλαμβάνει την εκπαίδευση των υπαλλήλων να προσέχουν ύποπτες υποψηφιότητες, τα άτομα με έντονη πίεση ή οτιδήποτε δεν προστίθεται. Αυτή η επαγρύπνηση μεταφέρεται εύκολα στην καθημερινή σας ζωή, αλλά εξαρτάται από την ικανότητά σας να εντοπίσετε αιτήματα για πληροφορίες που είναι εμπιστευτικές.
Ενώ οι ηλεκτρονικές επιθέσεις με ηλεκτρονικό ταχυδρομείο και ανταλλαγή άμεσων μηνυμάτων γίνονται όλο και πιο συχνές, οι επιθέσεις κοινωνικής μηχανικής μέσω τηλεφώνου (και του VoIP, που καθιστά δυσκολότερη την ανίχνευση της πηγής) εξακολουθούν να αποτελούν πραγματική απειλή. Ο απλούστερος τρόπος για να αποφύγετε μια επίθεση είναι να τερματίσετε την κλήση η δεύτερη υποψιάζεστε οτιδήποτε.
Είναι πιθανό η τράπεζά σας να σας καλέσει, αλλά σπανιότατα θα ζητούσαν τον κωδικό σας ή άλλες πληροφορίες εντελώς. Εάν πραγματοποιηθεί μια τέτοια κλήση, ζητήστε τον τηλεφωνικό αριθμό της τράπεζας, ελέγξτε το και τηλεφωνήστε ξανά. Μπορεί να χρειαστούν επιπλέον πέντε λεπτά, αλλά τα χρήματα και τα προσωπικά σας στοιχεία είναι ασφαλή και η τράπεζα θα καταλάβει. Ομοίως, μια εταιρεία ασφάλειας είναι πολύ απίθανο να καλέσει για να σας προειδοποιήσει για προβλήματα με τον υπολογιστή σας. Αντιμετωπίστε όλες τις κλήσεις ως απάτη, να είστε ύποπτοι και να μην υπονομεύετε τον υπολογιστή σας Τεχνικοί Υπολογιστών Ψυχρού Τηλεφωνητή: Μην πέσετε για Απάτη σαν αυτό [Ειδοποίηση απάτης!] Ψυχρός Τηλεφωνητής Τεχνικοί Υπολογιστών: Μην πέσετε για μια απάτη όπως αυτή [ Απάτη Alert!] Έχετε πιθανώς ακούσει τον όρο "Μην απάτη ένα scammer", αλλά έχω πάντα λάτρης του "Μην απάτη ένας τεχνολογικός συγγραφέας" ο ίδιος. Δεν λέω ότι είμαστε αλάνθαστοι, αλλά αν η απάτη σας περιλαμβάνει το Διαδίκτυο, ένα Windows ... Διαβάστε περισσότερα ή αγοράστε αυτό που πουλάει!
Η εκπαίδευση είναι η καλύτερη άμυνα, οπότε η τήρηση των τεχνικών ασφαλείας και των ειδήσεων θα σας βοηθήσει να εντοπίσετε πιθανή επίθεση. Πόροι όπως το Social-Engineer.org επιχειρούν να εκπαιδεύσουν τους ανθρώπους στις τεχνικές που χρησιμοποιούν οι κοινωνικοί μηχανικοί και υπάρχουν πολλές διαθέσιμες πληροφορίες.
Λίγα πράγματα που πρέπει να θυμάστε
Η εμπιστοσύνη είναι η κύρια τακτική του κοινωνικού μηχανικού και θα χρησιμοποιηθεί για να αποκτήσει πρόσβαση σε φυσικές τοποθεσίες, εμπιστευτικές πληροφορίες και, σε μεγαλύτερη κλίμακα, ευαίσθητα δεδομένα της εταιρείας. Ένα σύστημα είναι τόσο ισχυρό όσο η ασθενέστερη του άμυνα, και στην περίπτωση της κοινωνικής μηχανικής αυτό σημαίνει άτομα που αγνοούν τις απειλές και τις τεχνικές που χρησιμοποιούνται.
συμπέρασμα
Για να αναφέρω τον Kevin Mitnick, ο οποίος κατάφερε να περιπλανηθεί γύρω από τη μεγαλύτερη διάσκεψη για την ασφάλεια στον κόσμο, unbadged and unchecked (RSA 2001): "Θα μπορούσατε να περάσετε μια τεχνολογία αγορών περιουσίας από κάθε εκθέτη, ομιλητή και χορηγό στη Συνδιάσκεψη RSA και το δίκτυό σας η υποδομή θα μπορούσε να παραμείνει ευάλωτη σε παρωχημένη χειραγώγηση ». Αυτό ισχύει για τις κλειδαριές στις πόρτες σας και τον συναγερμό στο σπίτι σας, οπότε παρακολουθείτε τις τακτικές κοινωνικής μηχανικής στην εργασία και στο σπίτι.
Έχετε βιώσει τέτοιες επιθέσεις; Εργάζεστε για μια εταιρεία που ξεκίνησε πρόσφατα να εκπαιδεύει υπαλλήλους για τους κινδύνους; Ενημερώστε μας τι πιστεύετε, στα παρακάτω σχόλια.
Εικόνες Συντελεστές: Λύκος σε ρούχα προβάτων (Shutterstock) Χαρτοκοπείο (Chris Scheufele), σκληρός δίσκος (jon_a_ross), τηλέφωνο στο γραφείο (Radio.Guy), υποδοχή Mozilla (Niall Kennedy)