14Sep
δεν είναι η μοναδική σε απευθείας σύνδεση απειλή για ανησυχία.Η κοινωνική μηχανική είναι μια τεράστια απειλή και μπορεί να σας χτυπήσει σε οποιοδήποτε λειτουργικό σύστημα.Στην πραγματικότητα, η κοινωνική μηχανική μπορεί επίσης να συμβεί μέσω τηλεφώνου και σε καταστάσεις πρόσωπο με πρόσωπο.
Είναι σημαντικό να γνωρίζετε την κοινωνική μηχανική και να είστε επιφυλακτικοί.Τα προγράμματα ασφαλείας δεν θα σας προστατεύσουν από τις περισσότερες απειλές κοινωνικής μηχανικής, οπότε θα πρέπει να προστατευθείτε.
Κοινωνική Μηχανική Επεξήγηση
Οι παραδοσιακές επιθέσεις που βασίζονται στον υπολογιστή συχνά εξαρτώνται από την εύρεση ευπάθειας στον κώδικα ενός υπολογιστή.Για παράδειγμα, εάν χρησιμοποιείτε μια παλιά έκδοση του Adobe Flash - ή, θεέ μου, απαγορεύεται η Java, η οποία ήταν η αιτία για το 91% των επιθέσεων το 2013 σύμφωνα με τη Cisco - θα μπορούσατε να επισκεφτείτε έναν κακόβουλο ιστότοπο και αυτόν τον ιστότοποθα εκμεταλλευόταν την ευπάθεια του λογισμικού σας για να αποκτήσει πρόσβαση στον υπολογιστή σας.Ο επιτιθέμενος χειρίζεται σφάλματα στο λογισμικό για να αποκτήσει πρόσβαση και να συλλέξει προσωπικές πληροφορίες, ίσως με ένα keylogger που εγκαθιστούν.
Τα κόλπα κοινωνικής μηχανικής είναι διαφορετικά, διότι περιλαμβάνουν ψυχολογική χειραγώγηση.Με άλλα λόγια, εκμεταλλεύονται τους ανθρώπους, όχι το λογισμικό τους.
Έχετε πιθανώς ήδη ακούσει το phishing, το οποίο είναι μια μορφή κοινωνικής μηχανικής.Μπορεί να λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ισχυρίζεται ότι προέρχεται από την τράπεζά σας, την εταιρεία πιστωτικών καρτών ή άλλη αξιόπιστη επιχείρηση.Μπορούν να σας κατευθύνουν σε έναν ψεύτικο ιστότοπο που είναι μεταμφιεσμένος ώστε να μοιάζει με ένα πραγματικό ή να σας ζητήσει να κατεβάσετε και να εγκαταστήσετε ένα κακόβουλο πρόγραμμα.Αλλά τέτοια κόλπα κοινωνικής μηχανικής δεν χρειάζεται να περιλαμβάνουν ψεύτικες ιστοσελίδες ή κακόβουλα προγράμματα.Το μήνυμα ηλεκτρονικού "ψαρέματος" μπορεί απλά να σας ζητήσει να στείλετε μια απάντηση μέσω ηλεκτρονικού ταχυδρομείου με ιδιωτικές πληροφορίες.Αντί να προσπαθήσουν να εκμεταλλευτούν ένα σφάλμα σε ένα λογισμικό, προσπαθούν να εκμεταλλευτούν τις κανονικές ανθρώπινες αλληλεπιδράσεις.Το phishing των Spear μπορεί να είναι ακόμη πιο επικίνδυνο, καθώς είναι μια μορφή phishing που έχει σχεδιαστεί για να στοχεύει συγκεκριμένα άτομα.
Παραδείγματα Κοινωνικής Μηχανικής
Ένα δημοφιλές τέχνασμα στις υπηρεσίες συνομιλίας και σε online παιχνίδια ήταν η εγγραφή ενός λογαριασμού με όνομα όπως "Administrator" και η αποστολή ατόμων σε τρομακτικά μηνύματα, όπως "ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Εντοπίσαμε ότι κάποιος μπορεί να πειραματίζει το λογαριασμό σας,κωδικό πρόσβασης για τον έλεγχο του εαυτού σας. "Εάν ένας στόχος αποκρίνεται με τον κωδικό πρόσβασής του, έχει πέσει για το τέχνασμα και ο εισβολέας έχει τώρα τον κωδικό του λογαριασμού του.
Εάν κάποιος έχει προσωπικές πληροφορίες σχετικά με εσάς, θα μπορούσε να το χρησιμοποιήσει για να αποκτήσει πρόσβαση στους λογαριασμούς σας.Για παράδειγμα, πληροφορίες όπως η ημερομηνία γέννησής σας, ο αριθμός κοινωνικής ασφάλισης και ο αριθμός πιστωτικής κάρτας χρησιμοποιούνται συχνά για την αναγνώρισή σας.Αν κάποιος έχει αυτές τις πληροφορίες, μπορεί να επικοινωνήσει με μια επιχείρηση και να προσποιηθεί ότι είναι εσύ.Αυτό το τέχνασμα ήταν γνωστό που χρησιμοποιήθηκε από έναν εισβολέα για να αποκτήσει πρόσβαση στο Yahoo! της Sarah Palin.Λογαριασμός αλληλογραφίας το 2008, υποβάλλοντας αρκετά προσωπικά στοιχεία για να αποκτήσετε πρόσβαση στο λογαριασμό μέσω της φόρμας ανάκτησης κωδικού πρόσβασης του Yahoo!.Η ίδια μέθοδος θα μπορούσε να χρησιμοποιηθεί για το τηλέφωνο εάν έχετε τις προσωπικές πληροφορίες που χρειάζεται η επιχείρηση για να σας πιστοποιήσει.Ένας εισβολέας με κάποιες πληροφορίες σχετικά με έναν στόχο μπορεί να προσποιηθεί ότι είναι και να αποκτήσει πρόσβαση σε περισσότερα πράγματα.
Η κοινωνική μηχανική θα μπορούσε επίσης να χρησιμοποιηθεί αυτοπροσώπως.Ένας επιτιθέμενος θα μπορούσε να περπατήσει σε μια επιχείρηση, να ενημερώσει τον γραμματέα ότι πρόκειται για επισκευαστικό πρόσωπο, νέο υπάλληλο ή επιθεωρητή πυρκαγιάς με αυθεντικό και πειστικό τόνο και στη συνέχεια περιφέρεται στις αίθουσες και ενδεχομένως να κλέβει εμπιστευτικά στοιχεία ή σφάλματα φυτών για την εκτέλεση εταιρικής κατασκοπείας.Αυτό το τέχνασμα εξαρτάται από τον επιτιθέμενο που παρουσιάζεται ως κάποιος που δεν είναι.Αν ένας γραμματέας, ο θυρωρός ή οποιοσδήποτε άλλος είναι υπεύθυνος δεν θέτει πάρα πολλές ερωτήσεις ή κοιτάζει πολύ στενά, το τέχνασμα θα είναι επιτυχές.
Οι επιθέσεις κοινωνικής μηχανικής καλύπτουν το εύρος των ψεύτικων ιστότοπων, τα ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου και τα κακά μηνύματα συνομιλίας σε όλη τη διαδρομή μέχρι να μιμηθούν κάποιον στο τηλέφωνο ή στο πρόσωπο.Αυτές οι επιθέσεις έρχονται σε μια ευρεία ποικιλία μορφών, αλλά όλοι έχουν ένα κοινό πράγμα - εξαρτώνται από την ψυχολογική περιπλοκή.Η κοινωνική μηχανική έχει ονομαστεί η τέχνη της ψυχολογικής χειραγώγησης.Είναι ένας από τους κύριους τρόπους που οι "χάκερ" στην πραγματικότητα "hack" λογαριασμούς σε απευθείας σύνδεση.
Πώς να αποφύγετε την Κοινωνική Μηχανική
Η γνώση της κοινωνικής μηχανικής μπορεί να σας βοηθήσει να το μάθετε.Να είστε ύποπτοι για ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα συνομιλίας και τηλεφωνήματα που ζητούν ιδιωτικές πληροφορίες.Ποτέ μην αποκαλύπτετε οικονομικές πληροφορίες ή σημαντικές προσωπικές πληροφορίες μέσω ηλεκτρονικού ταχυδρομείου.Μην μεταφορτώνετε δυνητικά επικίνδυνα συνημμένα ηλεκτρονικού ταχυδρομείου και τα εκτελείτε, ακόμα και αν ένα μήνυμα ηλεκτρονικού ταχυδρομείου ισχυρίζεται ότι είναι σημαντικά.
Επίσης, δεν πρέπει να ακολουθείτε συνδέσμους σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου σε ευαίσθητους ιστότοπους.Για παράδειγμα, μην κάνετε κλικ σε ένα σύνδεσμο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται να είναι από την τράπεζά σας και συνδεθείτε. Μπορεί να σας οδηγήσει σε μια ψεύτικη τοποθεσία ηλεκτρονικού "ψαρέματος" που συγκαλύπτεται για να θεωρηθεί ως ο ιστότοπος της τράπεζάς σας, αλλά με μια διακριτικά διαφορετική διεύθυνση URL.Επισκεφθείτε την ιστοσελίδα απευθείας.
Εάν λάβετε ένα ύποπτο αίτημα - για παράδειγμα, μια τηλεφωνική κλήση από την τράπεζά σας ζητά προσωπικά στοιχεία - επικοινωνήστε απευθείας με την πηγή της αίτησης και ζητήστε επιβεβαίωση.Σε αυτό το παράδειγμα, καλείτε την τράπεζά σας και ρωτήστε τι θέλουν αντί να αποκαλύψετε τις πληροφορίες σε κάποιον που ισχυρίζεται ότι είναι η τράπεζά σας.Τα προγράμματα ηλεκτρονικού ταχυδρομείου
, τα προγράμματα περιήγησης ιστού και οι σειρές ασφαλείας έχουν γενικά φίλτρα ηλεκτρονικού "ψαρέματος"( phishing) που θα σας προειδοποιήσουν όταν επισκέπτεστε έναν γνωστό ιστότοπο ηλεκτρονικού "ψαρέματος"Το μόνο που μπορούν να κάνουν είναι να σας προειδοποιούν όταν επισκέπτεστε έναν γνωστό ιστότοπο ηλεκτρονικού "ψαρέματος"( phishing) ή λαμβάνετε ένα γνωστό ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος"( phishing) και δεν γνωρίζουν σχετικά με όλους τους ιστότοπους ηλεκτρονικού "ψαρέματος"Ως επί το πλείστον, εξαρτάται από εσάς να προστατεύσετε τον εαυτό σας - τα προγράμματα ασφαλείας μπορούν να βοηθήσουν μόνο λίγο.
Είναι καλή ιδέα να ασκείτε υγιή καχυποψία όταν αντιμετωπίζετε αιτήματα για ιδιωτικά δεδομένα και οτιδήποτε άλλο μπορεί να είναι μια επίθεση κοινωνικής μηχανικής.Η υπόνοια και η προσοχή θα σας βοηθήσουν να προστατεύσετε, τόσο σε απευθείας σύνδεση όσο και εκτός σύνδεσης.Πιστοποίηση εικόνας
: Jeff Turnet στο Flickr