Wat is social engineering? Aanvallen, technieken & Preventie

Inhoudsopgave:

Anonim

Wat is social engineering?

Social engineering is de kunst van het manipuleren van gebruikers van een computersysteem om vertrouwelijke informatie te onthullen die kan worden gebruikt om ongeautoriseerde toegang tot een computersysteem te krijgen. De term kan ook activiteiten omvatten zoals het uitbuiten van menselijke vriendelijkheid, hebzucht en nieuwsgierigheid om toegang te krijgen tot gebouwen met beperkte toegang of om de gebruikers achterdeursoftware te laten installeren.

Het kennen van de trucs die hackers gebruiken om gebruikers te misleiden om onder andere essentiële inloggegevens vrij te geven, is van fundamenteel belang bij het beschermen van computersystemen

In deze tutorial laten we je kennismaken met de gangbare social engineering-technieken en hoe je beveiligingsmaatregelen kunt bedenken om deze tegen te gaan.

Onderwerpen die in deze tutorial worden behandeld

  • Hoe werkt social engineering?
  • Gemeenschappelijke social engineering-technieken
  • Maatregelen tegen social engineering

Hoe werkt social engineering?

HIER,

  • Verzamel informatie : dit is de eerste fase, er wordt zoveel mogelijk geleerd over het beoogde slachtoffer. De informatie wordt verzameld via bedrijfswebsites, andere publicaties en soms door te praten met de gebruikers van het doelsysteem.
  • Plan aanval : De aanvallers geven aan hoe hij / zij de aanval wil uitvoeren
  • Tools verkrijgen : deze omvatten computerprogramma's die een aanvaller zal gebruiken bij het starten van de aanval.
  • Aanval : Maak gebruik van de zwakke punten in het doelsysteem.
  • Gebruik verworven kennis : informatie die is verzameld tijdens de social engineering-tactieken, zoals koosnaampjes, geboortedata van de oprichters van de organisatie, enz., Wordt gebruikt bij aanvallen zoals het raden van wachtwoorden.

Gemeenschappelijke social engineering-technieken:

Social engineering-technieken kunnen vele vormen aannemen . Het volgende is de lijst met de meest gebruikte technieken.

  • Bekendheid exploiteren: Gebruikers zijn minder achterdochtig tegenover mensen die ze kennen. Een aanvaller kan zich voorafgaand aan de social engineering-aanval vertrouwd maken met de gebruikers van het doelsysteem. De aanvaller kan interactie hebben met gebruikers tijdens maaltijden, wanneer gebruikers roken, kan hij meedoen, op sociale evenementen, enz. Dit maakt de aanvaller bekend bij de gebruikers. Stel dat de gebruiker in een gebouw werkt dat een toegangscode of kaart nodig heeft om toegang te krijgen; de aanvaller kan de gebruikers volgen terwijl ze dergelijke plaatsen betreden. De gebruikers houden er het meest van om de deur open te houden zodat de aanvaller naar binnen kan gaan, aangezien ze ermee vertrouwd zijn. De aanvaller kan ook antwoorden vragen op vragen zoals waar je je partner hebt ontmoet, de naam van je wiskundeleraar op de middelbare school, enz. De gebruikers zullen waarschijnlijk antwoorden onthullen omdat ze het bekende gezicht vertrouwen.Deze informatie kan worden gebruikt om e-mailaccounts en andere accounts te hacken die soortgelijke vragen stellen als men hun wachtwoord vergeet.
  • Intimiderende omstandigheden : mensen hebben de neiging mensen te vermijden die anderen om hen heen intimideren. Met behulp van deze techniek kan de aanvaller doen alsof hij een verhitte discussie heeft aan de telefoon of met een medeplichtige aan het plan. De aanvaller kan gebruikers vervolgens om informatie vragen die zou worden gebruikt om de beveiliging van het systeem van de gebruiker in gevaar te brengen. De gebruikers geven hoogstwaarschijnlijk de juiste antwoorden om een ​​confrontatie met de aanvaller te voorkomen. Deze techniek kan ook worden gebruikt om te voorkomen dat u bij een veiligheidscontrole wordt gecontroleerd.
  • Phishing : deze techniek maakt gebruik van bedrog en bedrog om privégegevens van gebruikers te verkrijgen. De social engineer kan proberen zich voor te doen als een echte website zoals Yahoo en vervolgens de nietsvermoedende gebruiker vragen zijn accountnaam en wachtwoord te bevestigen. Deze techniek kan ook worden gebruikt om creditcardgegevens of andere waardevolle persoonlijke gegevens te verkrijgen.
  • Bumperkleven : deze techniek houdt in dat gebruikers achteraan worden gevolgd als ze beperkte gebieden betreden. Als menselijke beleefdheid zal de gebruiker de sociaal ingenieur hoogstwaarschijnlijk binnen het beperkte gebied laten.
  • Menselijke nieuwsgierigheid uitbuiten : met behulp van deze techniek kan de sociaal ingenieur opzettelijk een met een virus geïnfecteerde flashdisk laten vallen in een gebied waar de gebruikers het gemakkelijk kunnen oppikken. De gebruiker zal hoogstwaarschijnlijk de flashdisk op de computer aansluiten. De flashdisk kan het virus automatisch uitvoeren, of de gebruiker kan in de verleiding komen om een ​​bestand te openen met een naam zoals Werknemers Herwaarderingsrapport 2013.docx, wat in feite een geïnfecteerd bestand kan zijn.
  • Menselijke hebzucht uitbuiten : met behulp van deze techniek kan de sociaal ingenieur de gebruiker beloven om online veel geld te verdienen door een formulier in te vullen en hun gegevens te bevestigen met behulp van creditcardgegevens, enz.

Maatregelen tegen social engineering

De meeste technieken die door sociale ingenieurs worden gebruikt, omvatten het manipuleren van menselijke vooroordelen . Om dergelijke technieken tegen te gaan, kan een organisatie;

  • Om het misbruik van bekendheid tegen te gaan , moeten de gebruikers worden opgeleid om de bekendheid met beveiligingsmaatregelen niet te vervangen. Zelfs de mensen waarmee ze bekend zijn, moeten bewijzen dat ze bevoegd zijn om toegang te krijgen tot bepaalde gebieden en informatie.
  • Om aanvallen door intimiderende omstandigheden tegen te gaan, moeten gebruikers worden getraind om social engineering-technieken te identificeren die op gevoelige informatie vissen en beleefd nee te zeggen.
  • Om phishing-technieken tegen te gaan , gebruiken de meeste sites, zoals Yahoo, beveiligde verbindingen om gegevens te versleutelen en te bewijzen dat ze zijn wie ze beweren te zijn. Als u de URL controleert, kunt u mogelijk nepsites opsporen . Reageer niet op e-mails waarin u wordt gevraagd om persoonlijke informatie te verstrekken .
  • Om bumperklevende aanvallen tegen te gaan, moeten gebruikers worden getraind om anderen hun veiligheidsmachtiging niet te laten gebruiken om toegang te krijgen tot beperkte gebieden. Elke gebruiker moet zijn eigen toegangsmachtiging gebruiken.
  • Om de menselijke nieuwsgierigheid tegen te gaan , is het beter om opgepakte flash-schijven in te leveren bij systeembeheerders die ze moeten scannen op virussen of andere infecties, bij voorkeur op een geïsoleerde machine.
  • Om technieken die menselijke hebzucht uitbuiten tegen te gaan , moeten werknemers worden getraind in de gevaren van vallen voor dergelijke oplichting.

Overzicht

  • Social engineering is de kunst om de menselijke elementen te exploiteren om toegang te krijgen tot niet-geautoriseerde bronnen.
  • Social engineers gebruiken een aantal technieken om de gebruikers voor de gek te houden en gevoelige informatie te onthullen.
  • Organisaties moeten een beveiligingsbeleid hebben met maatregelen op het gebied van social engineering.