Što je socijalni inženjering i zašto bi vas trebalo zabrinjavati?

“Oni koji se mogu odreći osnovne slobode radi dobivanja privremene sigurnosti ne zaslužuju ni slobodu ni sigurnost.” – Benjamin Franklin


Socijalni inženjering već je neko vrijeme na prednjem plamenu sigurnosnih pitanja. Stručnjaci iz industrije opširno su raspravljali. Ipak, mnogi u potpunosti ne shvaćaju potencijalnu opasnost koju ona predstavlja i koliko može biti opasna.

Za hakere, Social Engineering je vjerojatno najlakši i najučinkovitiji način za provaljivanje sigurnosnih protokola. Uspon interneta pružio nam je vrlo moćne mogućnosti povezivanjem uređaja bez prepreka udaljenosti. Dajući nam napredak u komunikaciji i međusobnom povezivanju, ovo je, pak, uvelo rupe koje vode kršenju osobnih podataka i privatnosti.

Od najranijih vremena prije tehnologije ljudi kodiraju i osiguravaju informacije. Popularna metoda iz davnina je Caeser Cipher gdje se poruke kodiraju pomicanjem mjesta na popisu abeceda. npr., “zdravo svijetu” ako se pomakne za jedno mjesto može se napisati kao “ifmmp xpsmf”, dekoder koji čita poruku “ifmmp xpsmf” morat će pomaknuti slova jedno mjesto unatrag na popisu abecede da bi mogao razumjeti poruku.

Koliko god jednostavna bila ova tehnika kodiranja, postojala je gotovo 2000 godina!

Danas smo razvili naprednije i robusnije sustave sigurnosti, ali sigurnost je izazov.

Važno je napomenuti da postoji veliki broj tehnika koje su hakeri iskoristili za dobivanje vitalnih informacija. Ukratko ćemo se osvrnuti na neke od ovih tehnika kako bismo razumjeli zašto je socijalni inženjering tako velik posao.

Sirova snaga & Rječnik napada

Snaga grubog napada uključuje hakera s naprednim setom alata izgrađenim za prodor u sigurnosni sustav koristeći izračunatu lozinku dobivanjem svih mogućih kombinacija znakova. Napad u rječniku uključuje napadača koji vodi popis riječi (iz rječnika) u nadi da će pronaći podudaranje s korisničkom lozinkom.

U današnje vrijeme, iako vrlo moćan, čini se da će se snažni napad dogoditi zbog prirode postojećih sigurnosnih algoritama. Da stvari postavim u perspektivu, ako je lozinka na mom računu ‘[E zaštićeni]!!!’, Ukupan broj znakova je 22; stoga će trebati 22 faktora, kako bi računalo izračunalo sve moguće kombinacije. To je puno.

Štoviše, postoje algoritmi raspršivanja koji uzimaju tu lozinku i pretvaraju je u hash da bi još brže pogodio sustav za prisiljavanje. Npr ranije napisana lozinka može se miješati d734516b1518646398c1e2eefa2dfe99. To dodaje još ozbiljniji sloj sigurnosti zaporki. Kasnije ćemo detaljnije razmotriti sigurnosne tehnike.

Ako ste vlasnik web mjesta WordPress i tražite zaštitu od brutalne sile, tada pogledajte ovaj vodič.

DDoS napadi

Izvor: comodo.com

Napadi distribuiranog uskraćivanja usluge nastaju kada je korisnik blokiran zbog pristupa legitimnim internetskim resursima. To bi moglo biti na korisničkoj strani ili usluzi kojoj korisnik pokušava pristupiti.

DDoS obično rezultira gubitkom prihoda ili korisničke baze. Kako bi bio moguć napad poput ovog, haker može preuzeti kontrolu nad više računala širom interneta koji mogu koristiti dio “BotNeta” za destabilizaciju mreže ili u nekim slučajevima preplaviti mrežni promet s nekorisnim paketima informacija što rezultira prekomjernom upotrebom, a samim tim i raspadom mrežnih resursa i čvorova.

Krađa identiteta

phishing

Ovo je oblik hakiranja gdje napadač pokušava ukrasti vjerodajnice korisnika tako što stvara lažne zamjene stranica za prijavu. Uobičajeno, napadač šalje zlonamjernu e-poštu korisniku koji djeluje kao pouzdan izvor, poput banke ili web stranice društvenih medija obično, s vezom da korisnik unese svoje vjerodajnice. Veze su obično napravljene da izgledaju kao legitimne web stranice, ali bliži pogled otkriva da nisu u pravu.

Na primjer, jednom krađu identiteta jednom se koristio paypai.com kako bi prevario korisnike Paypala u odustajanje od podataka o prijavi.

Tipičan oblik e-pošte za krađu identiteta.

„Poštovani korisniče,

Primijetili smo sumnjivu aktivnost na vašem računu. Kliknite ovdje da biste sada promijenili zaporku kako biste izbjegli blokiranje vašeg računa. “

Postoji 50% šanse da ste odjednom bili lažni. Ne? Jeste li se ikad prijavili na neku web stranicu i nakon klika za prijavu / prijavu, i dalje vas vraća na stranicu za prijavu, da? Uspješno ste phished.

Kako se radi socijalni inženjering?

Čak i kao algoritmi za enkripciju postaju još teži i lošiji, socijalni inženjering hakovi još uvijek su snažni kao i uvijek.

Socijalni inženjer obično skuplja podatke o vama kako bi mogao pristupiti vašim internetskim računima i drugim zaštićenim resursima. Obično napadač dobiva žrtvu da svoje psihološke manipulacije voljno otkriva osobne podatke. Zastrašujući dio toga je što te informacije ne moraju nužno dolaziti od vas, već samo neko tko zna.

Obično cilj nije taj koji ima socijalni inženjer.

Na primjer, popularna telekomunikacijska kompanija u Kanadi rano je ove godine objavila vijest o hakiranju društvenog inženjeringa u kojem je osoblje za usluge kupca socijalno projektirano u otkrivanju detalja cilja u ogromnom sim swap haku koji vodi do 30.000 dolara gubitka novca.

Socijalni inženjeri igraju na nesigurnost, nemar i neznanje ljudi kako bi ih pronašli u objavljivanju vitalnih podataka. U doba u kojem se daljinska podrška široko koristi, organizacije su se našle u mnogo više slučajeva hakova poput ovih zbog neizbježnosti ljudske pogreške.

Svatko može biti žrtva socijalnog inženjeringa, a još strašnije je to što biste mogli biti hakirani a da niste ni znali!

Kako se zaštititi od socijalnog inženjeringa?

  • Izbjegavajte korištenje osobnih podataka poput datuma rođenja, imena kućnog ljubimca, djetetovog imena itd. Kao lozinke za prijavu
  • Ne upotrebljavaj slabu lozinku. Ako se ne možete sjetiti složenog, koristite upravitelj lozinki.
  • Potražite očite laži. Socijalni inženjer zapravo ne zna dovoljno da vas odjednom hakuje; daju pogrešne podatke u nadi da ćete im pružiti pravu, a zatim prelaze dalje i traže više. Ne pada na to!
  • Provjerite autentičnost pošiljatelja i domene prije nego što poduzmete korake iz e-poruka.
  • Odmah se obratite svojoj banci i primijetite sumnjivu aktivnost na svom računu.
  • Kad iznenada izgubite prijem signala na svom mobilnom telefonu, odmah se javite kod svog davatelja usluga. To bi mogao biti sim swap hack.
  • Uključeno je 2 faktorska provjera (2-FA) uključena usluge koje ga podržavaju.

Zaključak

Ovi koraci nisu izravni lijek za hakere u društvenom inženjeringu, ali pomažu vam da otežate hakeru da vas dobije.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map