Ir svarīgi apzināties sociālo inženieriju un būt uzmanīgiem. Drošības programmas neaizsargās jūs no lielāka skaita sociālo inženierijas draudu, tāpēc jums ir jāaizsargā sevi.
Sociālās inženierijas skaidrojums
Tradicionāli datorizēti uzbrukumi bieži vien ir atkarīgi no datora koda ievainojamības atrašanas. Piemēram, ja jūs izmantojat novecojušo Adobe Flash versiju - vai, dievu aizliegums, Java, kas saskaņā ar Cisco izraisīja 91% uzbrukumu 2013. gadā - jūs varētu apmeklēt ļaunprātīgu vietni un šo vietni varētu izmantot jūsu programmatūras neaizsargātību, lai piekļūtu jūsu datoram. Uzbrucējs manipulē ar kļūdām programmatūrā, lai piekļūtu un apkopotu privāto informāciju, iespējams, ar keylogger, kuru viņi instalē.
Sociālās inženierijas triki ir atšķirīgi, jo tie ietver psiholoģisku manipulāciju. Citiem vārdiem sakot, viņi izmanto cilvēkus, nevis viņu programmatūru.
Jūs, iespējams, jau dzirdējāt par pikšķerēšanu, kas ir sociālās inženierijas forma. Jūs varat saņemt e-pastu, kurā norādīts, ka tas ir no jūsu bankas, kredītkartes uzņēmuma vai cita uzticama uzņēmuma. Viņi var novirzīties uz viltotu vietni, kas ir slēpta, lai izskatās kā īsta vai pieprasītu lejupielādēt un instalēt ļaunprātīgu programmu. Bet šādiem sociālās tehnoloģijas trikiem nav jāiesaista viltus vietnes vai ļaunprātīga programmatūra. Pikšķerēšanas e-pasts var vienkārši lūgt sūtīt e-pasta atbildi ar privātu informāciju. Tā vietā, lai mēģinātu izmantot kļūdu programmatūrā, viņi cenšas izmantot normālu cilvēka mijiedarbību. Spiegu pikšķerēšana var būt vēl bīstamāka, jo tā ir pikšķerēšanas forma, kas paredzēta konkrētām personām.
Sociālās inženierijas piemēri
Viens no populārākajiem tērzēšanas pakalpojumiem tīmeklī un tiešsaistes spēlēs ir reģistrēt kontu ar nosaukumu "Administrators" un nosūtīt cilvēkiem bīstamus ziņojumus, piemēram, "BRĪDINĀJUMS: mēs esam atklājuši, ka kāds var būt datora uzlauzums, atbildēt ar savu paroli, lai autentificētu sevi". Ja mērķis reaģē ar savu paroli, viņi ir nokļuvuši triks, un uzbrucējam tagad ir sava konta parole.
Ja kādam ir jūsu personiskā informācija, viņi to var izmantot, lai piekļūtu saviem kontiem. Piemēram, informācija, piemēram, jūsu dzimšanas datums, sociālās apdrošināšanas numurs un kredītkartes numurs, tiek bieži izmantota, lai jūs identificētu. Ja kādam ir šī informācija, viņi var sazināties ar uzņēmumu un izlikties par jums. Šo triku lieliski izmantoja uzbrucējs, lai piekļūtu Sarah Palin's Yahoo! Pasta konts 2008. gadā, iesniedzot pietiekami daudz personas datu, lai piekļūtu kontam, izmantojot Yahoo! paroles atkopšanas veidlapu. Tādu pašu metodi var izmantot arī tālrunī, ja jums ir nepieciešama personiskā informācija, kas uzņēmumam ir nepieciešama, lai jūs autentificētu. Uzbrucējs ar kādu informāciju par mērķi var izlikties par viņu un iegūt piekļuvi vairākām lietām.
Sociālo inženieriju var arī izmantot personīgi. Uzbrucējs varētu iesaistīties biznesā, informēt sekretāru par to, ka viņi ir remontētājs, jauns darbinieks vai ugunsdrošības inspektors ar autoritatīvu un pārliecinošu signālu, un pēc tam brauc pa zālēm un, iespējams, nozag konfidenciālus datus vai augu bugs, lai veiktu korporatīvo spiegošanu. Šis triks ir atkarīgs no uzbrucēja, kurš uzrāda sevi kā tādu, par kuru viņiem tā nav. Ja sekretārs, vārtsargs vai kāds cits atbildīgs, nepasaka pārāk daudz jautājumu vai izskatās pārāk uzmanīgi, triks veiksies.
Sociāli-inženierzinātņu uzbrukumi attiecas uz viltus vietnēm, krāpnieciskiem e-pasta ziņojumiem un ļaunprātīgām tērzēšanas ziņām, līdz pat uzdoties uz citu personu vai personīgi. Šie uzbrukumi nāk ļoti dažādos veidos, taču tiem visiem ir viena kopīga iezīme - viņi ir atkarīgi no psiholoģiskā trieciena. Sociālo inženieriju sauc par psiholoģisko manipulāciju mākslu. Tas ir viens no galvenajiem veidiem, kā "hackers" tiešām "hack" kontus tiešsaistē.
Kā izvairīties no sociālās inženierijas
Zinot, ka sociālā inženierija pastāv, var jums palīdzēt. Esiet aizdomas par nevēlētu e-pastu, tērzēšanas ziņas un tālruņa zvanus, kuros tiek pieprasīta privāta informācija. Nekad neatklājiet finanšu informāciju vai svarīgu personisko informāciju pa e-pastu. Neizsaistiet potenciāli bīstamus e-pasta pielikumus un tos palaidiet, pat ja e-pasts apgalvo, ka tie ir svarīgi.
Jums arī nevajadzētu sekot saitēm e-pastā jutīgām vietnēm. Piemēram, nespiediet saiti e-pastā, kas, šķiet, ir no jūsu bankas un piesakieties. Tas var novest pie viltota pikšķerēšanas vietne, kas ir slēpta, lai tā izskatās kā jūsu bankas vietne, bet ar pilnīgi atšķirīgu URL. Vietnē tieši apmeklējiet vietni.
Ja saņemat aizdomīgu pieprasījumu - piemēram, jūsu bankas telefona zvans prasa personisku informāciju - tieši sazinieties ar pieprasījuma avotu un pieprasiet apstiprinājumu. Šajā piemērā jūs varētu piezvanīt savai bankai un pieprasīt to, ko vēlas, nevis atklāt informāciju kādam, kurš apgalvo, ka ir jūsu banka.
E-pasta programmās, tīmekļa pārlūkprogrammās un drošības komplektos parasti ir pikšķerēšanas filtri, kas brīdinās jūs, kad apmeklējat zināmu pikšķerēšanas vietni.Viss, ko viņi var darīt, ir brīdināt jūs, kad apmeklējat zināmu pikšķerēšanas vietni vai saņemat zināmu pikšķerēšanas e-pastu, un viņi nezina par visām pikšķerēšanas vietnēm vai e-pasta ziņojumiem. Lielākoties jums pašam sevi pasargāt - drošības programmas var tikai nedaudz palīdzēt.
Ieteicams izmantot veselīgu aizdomu gadījumu, kad runa ir par privātu datu pieprasījumiem un jebko citu, kas varētu būt uzbrukums sociālai inženierijai. Aizdomas un piesardzība palīdzēs aizsargāt jūs gan tiešsaistē, gan bezsaistē.
