Szociális tervezés



Szociális tervezés

Szociális tervezés vagy hackelő emberek az a kifejezés, amelyet az ember megtévesztés általi becsapására használnak. Például valaki felhívhat egy vállalkozást, és becsaphatja az alkalmazottat arra, hogy azt gondolja, hogy informatikából származik. Ezután megkérhetik az egyént, hogy erősítse meg jelszavát, hogy hozzáférhessen a hálózathoz, vagy felkereshessen egy weboldalt, hogy információt lophasson.



Tipp

Könyvében Szellem a vezetékekben: Kalandjaim, mint a világ legkeresettebb hackere , Kevin Mitnick leírta, hogyan használta a szociális mérnököket illetéktelen hozzáféréshez a hálózatokhoz és a telefonrendszerekhez. Lát: Milyen számítógépes könyveket ajánlana elolvasni?

Társadalomtechnikai példák

Az alábbiakban bemutatunk példákat arra, hogyan használhatja valaki a szociális mérnököket a hálózathoz való hozzáféréshez, bizalmas információk ellopásához vagy ingyenes hozzáféréshez.



  • Munkatárs - Olyan munkatársnak tettetni magát, akinek problémái vannak a fiókjához való hozzáféréssel, és biztonsági, bejelentkezési vagy egyéb fiókadatokra van szüksége.
  • Megjátszani - Hamis informatikai támogatás, amely hamis probléma vagy biztonsági fenyegetés miatt távoli hozzáférést igényel a számítógéphez.
  • Tegyen úgy, mintha házastársa lenne - Tegyen úgy, mintha házastárs lenne, aki telefonon hívja fel a problémát, ha problémái vannak a házastársa számlájához való hozzáféréssel, és számlaadatokra van szüksége.
  • Hamis tanuló - A látszólagos hallgatói telefonos támogató személyzet jelzi, hogy egy weboldal nem működik. Amikor a munkatárs meglátogatja a feltételezett probléma oldalt, összegyűjti a számítógép és a hálózati információkat, vagy megpróbálja megfertőzni a számítógépet a trójai vagy más rosszindulatú .
  • Hamis ügyfél - Hamis elégedetlen vásárló, aki olyan termékekről panaszkodik, amelyeket nem vásárolt, és akik visszatérítést vagy kompenzációt követelnek vásárlási igazolás nélkül.
  • Úgy tesz, mintha karbantartó lenne - Valaki olyan színű jelvényt nyomtat, amely azt a látszatot kelti, mintha szerelő lenne, aki számítógép, nyomtató, telefon vagy más rendszer javításához látogat. Miután hozzáférést kaptak az épülethez, hozzáférést kapnak bizalmas dokumentumokhoz vagy számítógépekhez, amelyek hozzáférést biztosítanak a hálózathoz.
  • Hamis kliens - Egy hamis kliens e-mailje, amely üzleti javaslatot küld egy kötődés távoli hozzáféréshez használt rosszindulatú programokat tartalmaz.
  • Rosszindulatú USB vagy CD - Elhagyva a pendrive vagy CD egy rosszindulatú programmal egy vállalati parkolóban, vonzó címkével, hogy valaki csatlakoztassa a számítógépéhez. Például egy fertőzött USB flash meghajtót, amelyen a „Payroll” felirat szerepel a meghajtón.
  • Swatting - Úgy tesz, mintha veszélyben lenne valaki, amikor felhívja a rendőrséget, hogy rábírja az S.W.A.T. csapat valakinek a házához.

A szociális mérnöki támadások megelőzése

Oktatás

Ugyanazon hálózat minden alkalmazottjának, alkalmazottjának, hallgatójának vagy családtagjának ismernie kell az összes lehetséges fenyegetést. Fontos, hogy bárki más, akinek távoli hozzáférése van, például egy harmadik féltől származó informatikai cég vagy vállalkozók is oktatást kapjanak.

Biztonsági intézkedések

A legtöbb vállalat rendelkezik (vagy kellene) biztonsági intézkedésekkel, például egy kóddal, amely a fiók adatainak eléréséhez szükséges. Ha egy ügyfél vagy valaki, aki azt mondja, hogy ő az ügyfél, nem tudja előállítani ezeket az információkat, akkor a számla adatait nem szabad telefonon megadni. Az információ megadása az ügyféllel való konfliktus elkerülése érdekében azt eredményezné, hogy az alkalmazott azonnal elveszíti munkáját.



Mindig vigyázzon arra, amit nem láthat

A szociális mérnöki támadások többsége telefonon, e-mailen vagy más olyan kommunikációs formán történik, amely nem igényel személyes kommunikációt. Ha nem látja, kivel beszél, tegye fel, hogy az a személy, akivel beszél, nem biztos, hogy azt mondja.

Biztonsági vagy recepció

Nem minden social engineering támadás történik telefonon vagy az interneten keresztül. A támadó egy színlelt jelvényt vagy azonosító formát használva is ellátogathatott a társaságba. Minden vállalkozásnak rendelkeznie kell recepcióval vagy biztonsági őrrel, aki tisztában van minden biztonsági fenyegetéssel és tudja, hogy senki sem léphet át megfelelő engedély nélkül. Arra is rá kell jönniük, hogy ha ezeket az óvintézkedéseket figyelmen kívül hagyják (pl. Valaki azt mondja, hogy elfelejtették a jelvényüket), akkor az elveszítheti munkájukat.

Az is jó ötlet, ha érzékenyebb területek, például egy szerverterem igényelnek további biztonságot, például egy jelvényolvasót, amely csak az engedélyezett alkalmazottak számára engedi be a szobát. Azoknak az alkalmazottaknak, akik kitűzővel jutnak el egy épületbe vagy helyiségbe, tudomásul kell venniük, hogy ők sem engedhetik meg, hogy bárki is velük egy időben lépjen be az ajtón.

Végül tartsa biztonságos az épület összes bejáratát. Például, ha egy vállalkozásnak van egy dohányzó ajtaja, ahonnan az emberek füstszünetre mennek ki, védeni és figyelni kell. Valaki úgy tehetne, mintha alkalmazott lenne a dohányzáson, és beléphet, amikor más dohányosok kijönnek.

Foszlány

Vannak, akik nem félnek a merüléstől, hogy bizalmas vállalati információkat vagy egyéb információkat találjanak, amelyek hozzáférést biztosítanának a hálózathoz. Az alkalmazottai által kidobott papírokat fel kell aprítani.

Helyesen dobja el a cég berendezéseit

Győződjön meg arról, hogy a berendezéseket megfelelően megsemmisítették vagy eldobták. A legtöbb ember rájöhet, hogy egy számítógép merevlemez (még törléskor is) érzékeny adatok lehetnek, amelyeket helyre lehet állítani. Azt azonban nem sokan tudják, hogy az olyan eszközök, mint a fénymásolók, nyomtatók , és faxgépek tárhelyet is tartalmaznak, és hogy az érzékeny adatok is helyreállíthatók ezekről az eszközökről. Hacsak nem érzi biztonságosnak, hogy valaki elolvassa mindazt, amit valaha kinyomtatott, beolvasott vagy faxolt (nem valószínű), mindenképpen dobja el az eszközt.