als webbeveiliging is geëvolueerd, is het gemakkelijker geworden om uw systemen te vergrendelen. Veel producten komen uit het vakje vooraf geconfigureerd om fatsoenlijke veiligheidspraktijken op te nemen, evenals het grootste deel van de prominente op internetdiensten hebben over codering geëvalueerd, evenals wachtwoordopslag. Dat is niet te verklaren dat dingen perfect zijn, maar omdat de computersystemen moeilijker worden om te kraken, zullen de arme jongens zich meer richten op het undernable systeem in de mix – het menselijke element.
De geschiedenis herhaalt zich
Sinds de dagen van de oude Grieken, evenals hoogstwaarschijnlijk vóór die, is Social Engineering één keuze om rond de verdediging van je vijand te komen. We begrijpen ons allemaal het oude verhaal van Ulysses met behulp van een gigantische houten paarden om de Trojaanse paarden te techniek om een klein leger in de stad Troy in te schakelen. Ze verlieten de paarden buiten de stadsmuren na een mislukte vijfjarige belegering, evenals de Trojaanse paarden brachten het binnen. Toen binnen de stadsmuren een klein leger in de dood van de nacht krabbelden en de stad in de gaten bracht.
Hoe verschillend is het om een USB-flashdrive te verlaten die is vol met malware rond het voertuigpark van een groot bedrijf, wachtend op menselijke nieuwsgierigheid om het over te nemen evenals een werknemer om de gadget aan te sluiten op een computer die net zoveel is aangehaakt als het bedrijfsnetwerk? Zowel de houten paarden als de USB-aandrijftechniek hebben één ding gemeen, mensen zijn niet perfect en nemen beslissingen die irrationeel kunnen zijn.
Beroemde sociale ingenieurs
[Victor Lustig] was een van de beroemde sociale ingenieurs van de geschiedenis die gespecialiseerd is in oplichting, evenals een zelfbekende con-man. Hij is het meest bekend om de Eiffeltoren te hebben aangeboden. Na de allereerste wereldoorlog was geld strak, evenals Frankrijk had het moeilijk om te betalen voor het onderhoud van de Eiffeltoren en het viel in verval. Na het lezen over de problemen van de toren, kwam [Lustig] met zijn schema: hij zou mensen techniek om te geloven dat de toren zo goed als schroot zou worden aangeboden als dat hij de facilitator was voor elk type deal. Met behulp van de gevormde overheid stationair, behandelde hij om deze techniek uit te trekken: twee keer!
Later ging hij op oplichters [al Capone] van $ 5.000 door hem te overtuigen om $ 50.000 in een beursdeal te investeren. Hij verklaarde dat het aanbod viel, hoewel er in werkelijkheid geen deal was. Na een paar maanden bood hij Capone zijn geld terug, evenals werd beloond met $ 5.000 voor zijn “integriteit”.
[Charles Ponzi] was zo berucht het plan dat hij gebruikte dat ook tot leven is, net als goed vandaag naar hem is genoemd. Een Ponzi-plan is een piramide-investeringszwendel met behulp van nieuwe ledengeld om oudere investeerders te betalen. Zolang nieuwe rekruten blijven binnenkomen, krijgen de mensen aan de bovenkant van de piramide betaald. Toen de pool van nieuwe sukkels opdroogt, is het voorbij.
Het grootste Ponzi-plan ooit werd gevonden door toen-gerespecteerde hoge flyer, evenals stock-marktspeculator [Bernard MADOFF]. De regeling, gewaardeerd op ongeveer $ 65 miljard, was net zo goed als nog steeds de grootste in de geschiedenis. MADOFF was zo productief dat hij banken had, regeringen en pensioenfondsen investeerden in zijn regeling.
[Kevin Mitnick] is waarschijnlijk de meest beroemde computerhakker nog steeds tot leven vandaag, toch was hij meer een sociale ingenieur dan je zou denken. Kevin begon jong; Tijdens dertien overtuigde hij een buschauffeur om hem te vertellen waar te kopen van een ticketpuncher voor een instellingsproject, wanneer het in werkelijkheid zou worden gebruikt met dumpster gedemelde tickets die zijn ontdekt in de bakken van het depot van de busbedrijf.
Bij Sixteen heeft hij de computersystemen van Digital Devices Corporation gehackt, het kopiëren van de eigen softwaretoepassing en vervolgens doorgaan met de voicemailcomputers van Pacific Bell samen met veel andere systemen. Hij was een paar jaar op de vlucht en werd uiteindelijk gevangen gezet voor zijn misdaden. Uit de gevangenis is hij ook veranderd in een veiligheidsadviseur en doet het goed voor zichzelf door aan de juiste kant van de wet te blijven.
[John Draper], AKA Captain Crunch, was een pionier in de telefoon Phreking World. Hij kreeg zijn moniker sinds de vrije fluitjes weggenomen in bundels van Cap’n Crunch-ontbijtgranen. Hij besefte dat deze fluitjes 2.600 Hz hebben gespeeld die net de precieze toon hebben opgetreden die AT & T lange-afstandslijnen gebruikt om te suggereren dat een trunklijn werd voorbereid, maar ook om een nieuwe oproep aan te geven. Dit beïnvloedde [John Draper] om evenals effectief blauwe dozen te ontwikkelen. Die dagen zijn verdwenen, omdat het telefoonsysteem veranderde van analoog naar digitaal.
Typen Social Engineering Scams evenals precies hoe ze te voorkomen
Er zijn veel verschillende soorten sociale engineeringaanvallen – het tellen van het aantal methoden dat bestaat aan technieksmensen. Toch is het de moeite waard om de meest prominente oplichting te begrijpen, omdat je de behoefte hebt om jezelf te beschermen.
Voorwendsel
Dit type zwendel omvat het vertellen van iemand een leugen om toegang te krijgen tot to bevoorrechte gebieden of informatie. Voorwenden wordt vaak uitgevoerd in het typeTelefoonzwendel waar een beller zal beweren dat een verzekering is om voor een enorm bedrijf te werken en hun doelstellingen identiteit te verifiëren. Ze gaan vervolgens verder om informatie zoals sofinummers, MOEDER’s Maiden-naam, accountgegevens en data van geboorte te verzamelen. Aangezien het telefoongesprek of de omstandigheid normaal wordt geïnitieerd door de Social Engineer, is een grote methode om uw zelf te beschermen van deze zwendel te bellen of te bellen of te verifiëren wie ze zijn die ze zijn – gebruikmakend van info die u verzamelde over het bedrijf, evenals niet door hen verstrekt.
Baas
Door malware-gevulde USB-schijven te laten vallen rond parkeerplaatsen, of gigantische houten paarden in de buurt van de muren van je vijand, is traditioneel aas. Dit is een eenvoudige aanval met een eenvoudige mitigatie: houd er rekening mee dat als er iets vrij is, evenals fascinerend gewoon rondziet, ook goed uitziet om waar te zijn, dan is het waarschijnlijk.
Phishing
Phishing is de methode voor het verzenden van e-mails, poseren als een algemeen bekende webservice of bedrijf, evenals gericht op het krijgen van de ontvanger om een gecompromitteerd document te openen, naar een vergiftigde website te gaan of anderszins uw eigen veiligheid te verbreken. Een paar weken geleden heeft de eigen van Hackaday [Pedro Umbelino] precies gecomponeerd over hoe eenvoudig het is om zelfs de meest veiligheid die zich om ons heen te exploiteren (het had me) met een IDN homograafaanval.
Het meeste phishing wordt gedaan op minder geavanceerd niveau – normaal gesproken wordt een kloon van de website gemaakt, evenals e-mails worden verstuurd met het vertellen van slachtoffers om hun wachtwoord te wijzigen. Hoogwaardige doelen kunnen een volledig gepersonaliseerde phishing-ervaring hebben, begrepen als “speer phishing”, waar de oplichter meer inspanningen zal brengen in een sitekloon of e-mailtekst door het opnemen van persoonlijke informatie om het meer authentieker te maken. Phishing is normaal gesproken eenvoudig in het gebied – inspecteer het adres van elk type link voordat u erop klikt. Evenals als u wordt gevraagd om een wachtwoord met een e-mail te wijzigen, sluit u de e-mail en meldt u zowel in de website met typische middelen en omzeilen de arme links volledig.
Ransomware
Er wordt echter veel ransomware verstrekt door phishing, echter, omdat er een toenemend aantal uitgebreide gevallen zijn geweest, krijgt het zijn eigen onderwerp. Desalniettemin wordt het individu voor de gek gehouden om de malware op hun computer te runnen, en codeert het waardevolle gegevens of vergrendelt het individu uit hun systeem en vereist de terugbetaling om dingen terug te brengen naar normaal. Of dit gebeurt of niet, bij betaling, is iemands gok.
Er zijn de laatste tijd een aantal extreem hoge profielaanvallen, waaronder Ransomware Crippling UK’s NHS en vervolgens globaal verspreid. zal dit ooit eindigen? De eenvoudigste mitigatiestrategie tegen Ransomware, in aanvulling op niet klikken op verdachte links, applicaties of het houden van uw systeem zoveel als datum op de allereerste plaats, is om regelmatig back-ups van uw systeem te houden om ervoor te zorgen dat als u dat wordt losgekoppeld moet betalen. Back-ups houden heeft natuurlijk ook andere voordelen.
Quid pro quo
De Quid Pro Quo Scam is echt allemaal “quid” evenals geen “quo”. Een serviceprovider telefoongesprekken aanbieden om een bug te repareren of malware te elimineren (die niet bestaat) tegen een vergoeding. Een snelle bladeren op YouTube zal ontelbare video’s van oplichters opdagen met hun geluk met wise-krakende tieners. Net als veel nadelen, kan deze zwendel worden vermeden door alleen niet te reageren op out-of-the-blue-aanbiedingen. Aan de andere kant lijkt deze scam succesvol voldoende dat het nog steeds wordt uitgevoerd. Inzicht hierover is de allerbeste verdediging.
Laadkundig
Eén methode om in een beperkt gebied te komen dat is beveiligd door een gesloten deur, is om op een werknemer of iemand te wachten met toegang tot evenals voldoet aan hen. Deze aanvallen zijn normaal gericht op bedrijven of appartementsgebouwen, evenals de oplossing is om gewoon niet met je mee te laten komen.
Dumpster duiken
Om een legitieme aannemer te impersoneren, helpt het bij het begrijpen van de namen van de inbegrepen ondernemingen en zelfs punten van contact met in het bedrijf. Al deze gegevens en meer kunnen worden ontdekt op ontvangsten in de afvalcontainer achter het bedrijf. Investeer in een shredder, en laat niets aan het toeval achter.
Sociale media
Mensen delen een fantastische hoeveelheid persoonlijke informatie over sociale media, dus het is geen verrassing dat het een nieuw hulpmiddel is voor sociale ingenieurs. Het kijken met iemands account is als het kijken naar een momentopname van iemands leven. Waarom zou je je huis onthullen, de komende twee weken leeg zijn voor de hele wereld? Je huis vraagt gewoon om te worden geïnteresseerd. Of geloven van de munitie die u aan een willekeurige speerfisher geeft. Geloof over de afwegingen om persoonlijke informatie over jezelf publiekelijk te delen.
Opmerkelijke Social Engineering Situation Studies
Laten we nu een paar voorbeelden zien van deze sociale engineeringtechnieken in het wild.
Nieuws Wereldwijd Telefoon Hacking Scandal
Hier in het Verenigd Koninkrijk was er een grote openbare storm toen News International, door Media Mogul [Rupert Murdoch], werd ontdekt om te worden gebruikt met behulp van Social Engineering to “Hack” in de voicemaildiensten van PROminentende beroemdheden, politici, royals, evenals journalisten. De telefoonhacking van de telefoon is extreem lang. Ze hacken vaak in de voicemail door de beller-ID te spoof die toegekende toegang tot de voicemail-inbox van de telefoon. Sommige voicemails waren wachtwoord beveiligd met viercijferige codes die snel geraden waren. Bij andere gelegenheden noemden ze net de service van de telefoonprovider, evenals vermeld dat ze hun passcode niet herinneren – Plain-vanille pretrijken.
Celebgate iCloud naaktfoto’s “hack”
[Ryan Collins] Gebruikte phishing-methoden om toegang te krijgen tot de iCloud-accounts van Jennifer Lawrence, Kate Upton, evenals Kim Kardashian. Hij produceerde nepmeldingen van Google evenals Apple en stuurde ze en stuurde ze naar zijn e-mailadressen van zijn doelen. In die tijd was er vermoeden dat de iCloud van Apple op een enorme schaal was gehackt. In plaats daarvan gaven Collins in een interview dat hij phishing-methoden gebruikt om toegang te krijgen tot de persoonlijke gegevens van zijn slachtoffers.
Hoe gaan we verder
Als het breken van het computersysteem ook moeilijk is, kunt u er zeker van zijn dat criminelen proberen het menselijk systeem te breken. Of u nu belt deze “Social Engineering”, “CONS” of “SCAMS”, ze zijn waarschijnlijk in staat. De allerbeste methode om jezelf te beschermen is om iemand te leren met toegang tot je gegevens of details over precies hoe de aanvallen werken, evenals precies hoe ze ze kunnen voorkomen.
Er zijn veel middelen op internet die u nuttig zou zijn om uzelf te helpen beschermen tegen deze aanvalsvectoren. Bescherm uzelf van acht sociale engineering-aanvallen is eerder een geweldig uitgangspunt, evenals het Amerikaanse ministerie van Homeland Security biedt ook fantastische informatie over het voorkomen van social engineering hacks waar u mensen naartoe kunt wijzen.
Uiteindelijk kookt het meeste om de patronen te erkennen en sceptisch te zijn als je ze ziet. Bevestig informatie met andere kanalen, klik niet blindelings op Links, evenals op hun hoede voor welke persoonlijke gegevens u aanbiedt aan advocaten.