Kas yra socialinė inžinerija ir kodėl turėtumėte jaudintis?

„Tie, kurie gali atsisakyti esminės laisvės, kad gautų šiek tiek laikino saugumo, nėra nusipelnę nei laisvės, nei saugumo“. – Benjaminas Franklinas


Socialinė inžinerija kurį laiką buvo pagrindinis saugumo klausimų degiklis. Tai plačiai aptarė pramonės ekspertai. Tačiau nedaugelis iki galo supranta galimą pavojų, kurį jis gali kelti, ir koks jis gali būti labai pavojingas.

Įsilaužėliams socialinė inžinerija yra turbūt lengviausias ir efektyviausias būdas saugumo protokolams nulaužti. Interneto plėtimasis suteikė mums labai galingų galimybių sujungiant įrenginius be atstumo kliūčių. Tai padėjo mums patobulinti bendravimą ir tarpusavio ryšius, tačiau atsirado spragų, dėl kurių buvo pažeista asmeninė informacija ir privatumas.

Nuo seniausių laikų, kai atsirado technologijos, žmonės šifravo ir saugojo informaciją. Nuo seno populiarus metodas Cezario šifras kur žinutės užkoduojamos keičiant vietas abėcėlės sąraše. Pvz., „sveikas pasaulis“, jei būtų pakeista viena vieta, galėtų būti parašytas kaip „ifmmp xpsmf“, dekoderis, skaitantis pranešimą „ifmmp xpsmf“, turės suprasti raidę viena vieta atgal abėcėlių sąraše, kad suprastų pranešimą.

Paprasta, kaip ši kodavimo technika buvo, ji veikė beveik 2000 metų!

Šiandien turime išplėtotas pažangias ir tvirtesnes saugumo sistemas, tačiau saugumas yra iššūkis.

Svarbu pažymėti, kad hakeriai naudoja daugybę metodų, reikalingų gyvybiškai svarbiai informacijai gauti. Trumpai apžvelgsime kai kuriuos iš šių būdų, kad suprastume, kodėl socialinė inžinerija yra tokia didelė problema.

Brutali jėga & Žodyno išpuoliai

Neautomatinės jėgos nulaužimas apima įsilaužėlį su patobulintu įrankių rinkiniu, sukurtu įsiskverbti į apsaugos sistemą naudojant apskaičiuotą slaptažodį, gaunant visas įmanomas simbolių kombinacijas. Žodyno ataka apima užpuoliką, kuris vykdo žodžių sąrašą (iš žodyno), tikėdamasis rasti atitiktį su vartotojo slaptažodžiu.

Žiaurių pajėgų išpuolis šiais laikais, nors ir labai stiprus, atrodo, kad dėl dabartinių saugumo algoritmų pobūdžio jie nėra tikėtini. Reziumė, jei mano paskyros slaptažodis yra „[apsaugotas el. paštu]!!!, Bendra simbolių suma yra 22; taigi kompiuteriui apskaičiuoti visus įmanomus derinius reikės 22 faktorių. Tai yra daug.

Dar daugiau, yra maišos algoritmų, kurie paima tą slaptažodį ir paverčia jį maišos kodu, kad būtų dar sunkiau atspėti apgaulingą sistemą. E. g. gali būti pakeistas anksčiau parašytas slaptažodis d734516b1518646398c1e2eefa2dfe99. Tai prideda dar rimtesnį slaptažodžio saugos lygį. Vėliau saugos metodus išnagrinėsime išsamiau.

Jei esate „WordPress“ svetainės savininkas ir ieškote apsaugos nuo žiaurios jėgos, peržiūrėkite šį vadovą.

DDoS išpuoliai

Šaltinis: comodo.com

Paskirstytos paslaugų atsisakymo atakos įvyksta, kai vartotojui užblokuojama prieiga prie teisėtų interneto išteklių. Tai gali būti vartotojo pusėje arba paslauga, kurią vartotojas bando pasiekti.

DDoS paprastai praranda pajamas ar vartotojų bazę. Kad toks išpuolis būtų įmanomas, įsilaužėlis gali valdyti kelis kompiuterius visame internete, kurie gali būti naudojami kaip „BotNet“ dalis, siekiant destabilizuoti tinklą arba kai kuriais atvejais tinklo srautą užtvindyti nenaudingais paketais. informacijos, dėl kurios per daug naudojama, taigi, tinklo ištekliai ir mazgai suskirstomi.

Sukčiavimas

sukčiavimas

Tai yra įsilaužimo forma, kai užpuolikas bando pavogti vartotojo kredencialus, padarydamas padirbtus prisijungimo puslapių pakaitalus. Paprastai užpuolikas siunčia kenksmingą el. Laišką vartotojui, veikiančiam kaip patikimas šaltinis, pavyzdžiui, bankas ar socialinės žiniasklaidos svetainė, su nuoroda vartotojui įvesti savo kredencialus. Paprastai nuorodos sukuriamos kaip teisėtos svetainės, tačiau atidžiau pažvelgus paaiškėja, kad jos yra klaidingos.

Pavyzdžiui, sukčiavimo apsikeitimo nuoroda kažkada naudojo paypai.com, kad sukčiautų „Paypal“ vartotojus, kad jie atsisakytų savo prisijungimo duomenų.

Įprastas sukčiavimo elektroninio pašto formatas.

„Mielas vartotojas,

Pastebėjome įtartiną jūsų paskyros veiklą. Spustelėkite čia, kad pakeistumėte slaptažodį dabar, kad išvengtumėte savo paskyros.

Yra 50% tikimybė, kad jūs buvote sukčiauti iškart. Ne? Ar kada nors esate prisijungę prie svetainės ir paspaudę prisijungti / prisijungti, ji vis tiek grįžta į prisijungimo puslapį, taip? Jūs sėkmingai sukčiavote.

Kaip atliekama socialinė inžinerija?

Net šifravimo algoritmai tampa dar griežtesni ir saugesni, socialinės inžinerijos hacks vis dar yra tokie stiprūs kaip visada.

Paprastai socialinis inžinierius renka informaciją apie jus, kad galėtų pasiekti jūsų internetines paskyras ir kitus saugomus išteklius. Paprastai užpuolikas auką priverčia norėdamas atskleisti asmeninę informaciją per psichologines manipuliacijas. Baisiausia tai, kad šios informacijos nebūtinai turi ateiti iš jūsų, o tik kažkas, kas žino.

Paprastai taikinys nėra tas, kuris tampa socialiniu inžinieriumi.

Pavyzdžiui, populiari Kanados telekomunikacijų įmonė šių metų pradžioje buvo naujiena apie savo kliento socialinę inžineriją, kurioje klientų aptarnavimo personalas buvo socialiai sukonstruotas siekiant atskleisti tikslinės detales masiniame sim apsikeitimo hack’e. 30 000 USD pinigų praradimas.

Socialiniai inžinieriai žaidžia dėl žmonių neužtikrintumo, aplaidumo ir nežinojimo, kad priverstų juos atskleisti gyvybiškai svarbią informaciją. Amžiuje, kai plačiai naudojama nuotolinė parama, organizacijos susidūrė su daugybe kitų įsilaužimų atvejų, tokių kaip šie, dėl neišvengiamų žmogiškųjų klaidų.

Kiekvienas gali tapti socialinės inžinerijos auka. Dar baisiau yra tai, kad jūs galite būti nulaužtas net nežinodamas!

Kaip apsisaugoti nuo socialinės inžinerijos?

  • Venkite asmeninės informacijos, tokios kaip gimimo data, augintinio vardas, vaiko vardas ir kt., Prisijungimo slaptažodžiais
  • Nenaudokite silpno slaptažodžio. Jei negalite atsiminti sudėtingo, naudokite slaptažodžio tvarkyklę.
  • Ieškokite akivaizdaus melo. Socialinis inžinierius iš tikrųjų nepakankamai žino, kad iškart galėtų nulaužti jus; jie pateikia neteisingą informaciją, tikėdamiesi, kad pateiksite teisingą, ir tada imsis tolesnių klausimų. Nepatenk už tai!
  • Prieš imdamiesi el. Pašto pranešimų, patikrinkite siuntėjo ir domeno autentiškumą.
  • Pastebėję įtartiną veiklą jūsų paskyroje, nedelsdami susisiekite su banku.
  • Staiga praradę signalo priėmimą mobiliajame telefone, nedelsdami kreipkitės į tinklo teikėją. Tai gali būti sim apsikeitimo nulaužimas.
  • Įjungti 2 faktorių autentifikavimą (2-FA) paslaugas, kurios tai palaiko.

Išvada

Šie veiksmai nėra tiesioginis vaistas nuo socialinės inžinerijos įsilaužimų, tačiau jie padeda apsunkinti įsilaužėlį.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map