Kaj je socialni inženiring in zakaj bi morali biti zaskrbljeni?

“Tisti, ki se lahko odpovejo osnovni svobodi, da bi dobili malo začasne varnosti, ne zaslužijo ne svobode ne varnosti.” – Benjamin Franklin


Socialni inženiring je že nekaj časa na prednjem plamenju varnostnih vprašanj. O njem so obsežno razpravljali strokovnjaki iz industrije. Kljub temu pa se mnogi v celoti ne zavedajo, kakšno nevarnost predstavlja in kako zelo nevarna je.

Za hekerje je socialni inženiring verjetno najlažji in najučinkovitejši način za razbijanje varnostnih protokolov. Porast interneta nam je omogočil zelo zmogljive zmogljivosti s povezovanjem naprav brez ovire na daljavo. Z napredovanjem v komunikaciji in medsebojnem povezovanju smo s tem uvedli vrzeli, ki vodijo v kršitev osebnih podatkov in zasebnosti.

Ljudje že od najzgodnejših časov, pred tehnologijo, kodirajo in varujejo informacije. Priljubljena metoda iz starih časov je Caeser Cipher kjer se sporočila kodirajo s premikanjem mest na seznamu abecede. na primer, “zdravi svet”, če bi ga premaknili za eno mesto, lahko zapišemo kot “ifmmp xpsmf”, dekoder, ki bere sporočilo “ifmmp xpsmf”, bo moral črke premakniti za eno mesto nazaj na seznam abeced, da razume sporočilo.

Tako preprosta, kot je bila ta tehnika kodiranja, je obstajala skoraj 2000 let!

Danes imamo razvite bolj napredne in robustne sisteme varnosti, vendar je varnost izziv.

Pomembno je omeniti, da obstaja veliko število tehnik, ki jih hekerji uporabljajo za pridobivanje življenjsko pomembnih informacij. Na kratko si bomo ogledali nekatere od teh tehnik, da bomo razumeli, zakaj je socialni inženiring tako velik posel.

Brute Force & Slovarski napadi

Brute force hack vključuje hekerja z naprednim naborom orodij, zgrajenimi za prodor v varnostni sistem z uporabo izračunanega gesla, tako da dobite vse možne kombinacije znakov. V slovarskem napadu napadalec vodi seznam besed (iz slovarja) v upanju, da bo našel ujemanje z uporabnikovim geslom.

Dandanes je napad na grobe sile, čeprav zelo močan, manj verjetno, da bi se zgodil zaradi narave sedanjih varnostnih algoritmov. Če želite stvari videti perspektivno, če je geslo v mojem računu ‘[zaščitena e-pošta]!!!”, Skupna vsota znakov je 22; torej bo računalnik izračunal vse možne kombinacije 22 faktorjev. To je veliko.

Še več, obstajajo algoritmi hashinga, ki vzamejo to geslo in ga pretvorijo v hash, da še bolj otežijo ugibanje sistemom, ki si prizadevajo. Npr. prej napisano geslo je mogoče razstaviti d734516b1518646398c1e2eefa2dfe99. To doda še resnejšo plast varnosti geslu. Kasneje bomo podrobneje preučili varnostne tehnike.

Če ste lastnik mesta WordPress in iščete zaščito pred silovito silo, si oglejte ta vodič.

DDoS napadi

Vir: comodo.com

Napadi distribuirane zavrnitve storitve se zgodijo, ko je uporabniku onemogočen dostop do zakonitih internetnih virov. To je lahko na strani uporabnika ali storitve, do katere uporabnik poskuša dostopati.

DDoS običajno povzroči izgubo prihodka ali uporabniške baze. Da je možen napad, kot je ta, lahko heker prevzame nadzor nad več računalniki po vsem internetu, ki jih lahko del “BotNet” uporabi za destabilizacijo omrežja ali v nekaterih primerih preplavi mrežni promet z nekoristnimi paketi informacij, kar povzroči prekomerno uporabo in s tem razčlenitev omrežnih virov in vozlišč.

Lažno predstavljanje

lažno predstavljanje

To je oblika vdora, kjer napadalec poskuša ukrasti uporabniške podatke z lažnimi nadomestki prijavnih strani. Običajno napadalec pošlje zlonamerno e-pošto uporabniku, ki deluje kot zaupanja vreden vir, na primer banka ali spletno mesto družbenih medijev, s povezavo, da uporabnik vnese svoje poverilnice. Povezave so običajno narejene tako, da so videti kot zakonita spletna mesta, vendar natančnejši pogled razkrije, da so napačne.

Na primer, phishing povezava je nekoč uporabljala paypai.com za prevara uporabnikov Paypala, da so se jim odpovedali.

Tipična oblika lažnega predstavljanja z lažnim predstavljanjem.

„Spoštovani uporabnik,

Na vašem računu smo opazili sumljive dejavnosti. Kliknite tukaj, če želite spremeniti geslo, da preprečite, da bi bil račun blokiran. “

Obstaja 50% verjetnost, da vas bodo naenkrat pokvarili. Ne? Ste se že kdaj prijavili na spletno mesto in vas po kliku za prijavo / prijavo še vedno vrnili na stran za prijavo, ja? Uspešno ste phishing.

Kako poteka socialni inženiring?

Tudi kot algoritmi za šifriranje se še bolj zalomijo in bolj varni, hekerski socialni inženiring so še vedno tako močni kot kdaj koli prej.

Socialni inženir običajno zbira podatke o vas, da lahko dostopate do svojih spletnih računov in drugih zaščitenih virov. Običajno napadalec žrtev razkrije osebne podatke s pomočjo psihološke manipulacije. Strašljiv del tega je, da teh informacij ni nujno, da prihajajo od vas, samo nekdo, ki ve.

Običajno cilj ni tisti, ki se ukvarja s socialno inženirstvom.

Na primer, priljubljeno telekomunikacijsko podjetje v Kanadi je v začetku letošnjega leta prišlo do novic o socialnem inženiringu za svoje kupce, v katerem je bilo osebje za pomoč strankam socialno inženirsko razkrilo podrobnosti o ciljih v množičnem kramp sim-swapu, ki vodi do 30.000 $ izguba denarja.

Socialni inženirji se igrajo z negotovostjo, malomarnostjo in nevednostjo ljudi, da bi jih razkrili vitalne informacije. V dobi, v kateri se oddaljena podpora široko uporablja, so se organizacije znašle v veliko več primerih takih, kot je ta zaradi neizogibnosti človeških napak.

Vsakdo je lahko žrtev socialnega inženiringa, kar je še bolj strašno, če bi se lahko zasačili, ne da bi vedeli!

Kako se zaščititi pred socialnim inženiringom?

  • Izogibajte se uporabi osebnih podatkov, kot so datum rojstva, ime hišnega ljubljenčka, otrokovo ime itd. Kot gesla za prijavo
  • Ne uporabljajte šibkega gesla. Če se ne morete spomniti zapletenega, uporabite skrbnik gesla.
  • Poiščite očitne laži. Socialni inženir v resnici ne ve dovolj, da bi vas naenkrat zaspal; dajejo napačne podatke v upanju, da boste zagotovili pravega, nato pa nadaljujejo in zahtevajo več. Ne pade na to!
  • Preden začnete ukrepati po e-poštnih sporočilih, preverite pristnost pošiljatelja in domene.
  • Takoj se posvetujte s svojo banko, ko na svojem računu opazite sumljive dejavnosti.
  • Ko nenadoma izgubite sprejem signala na svojem mobilnem telefonu, se takoj prijavite pri ponudniku omrežja. Mogoče bi šlo za sim swap.
  • Omogočeno 2 faktorsko preverjanje pristnosti (2-FA) vklopljeno storitve, ki ga podpirajo.

Zaključek

Ti koraki niso neposredno sredstvo za hekerje v socialnem inženiringu, vendar vam pomagajo, da hekerju otežite, da bi vas dobil.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map