Ymmärrä sosiaalinen tekniikka – suoja hakkerointia vastaan
Viimeaikainen uutinen sai minut ymmärtämään, kuinka ihmisten tunteita ja ajatuksia voidaan käyttää (tai käytetään) muiden hyväksi. Melkein jokainen teistä tuntee Edward Snowdenin(Edward Snowden) , NSA :n ilmiantajan, joka nuuskii ympäri maailmaa. Reuters kertoi, että hän sai noin 20-25 NSA :n henkilöä luovuttamaan salasanansa hänelle myöhemmin vuotamiensa tietojen palauttamiseksi [1]. Kuvittele(Imagine) , kuinka hauras yrityksesi verkko voi olla, jopa vahvimmilla ja parhaimmilla tietoturvaohjelmistoilla!
Mitä on sosiaalinen suunnittelu
Inhimillistä(Human) heikkoutta, uteliaisuutta, tunteita ja muita ominaisuuksia on usein käytetty laittomaan tiedonpoiminnassa – olipa kyseessä mikä tahansa toimiala. IT(IT Industry) - ala on kuitenkin antanut sille nimen social engineering. Määrittelen sosiaalisen suunnittelun seuraavasti:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Tässä on toinen rivi samasta uutisesta [1], jota haluan lainata - " Turvallisuusviranomaisilla on vaikeuksia ajatuksen kanssa, että kaveri seuraavassa koppissa ei ehkä ole luotettava(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ". Muokkasin lausetta hieman, jotta se sopisi tähän kontekstiin. Voit lukea koko uutisen Referenssit(References) -osiossa olevan linkin kautta.
Toisin sanoen sinulla ei ole täydellistä hallintaa organisaatioidesi turvallisuudesta, sillä sosiaalinen suunnittelu kehittyy paljon nopeammin kuin sen kanssa selviytymistekniikat. Sosiaalinen(Social) suunnittelu voi olla mitä tahansa, kuten soittamista jollekulle sanomalla, että olet tekninen tuki, ja pyytää heiltä kirjautumistietoja. Olet täytynyt saada tietojenkalasteluviestejä arpajaisista, rikkaista Keski-idän(Mid East) ja Afrikan(Africa) ihmisistä, jotka haluavat liikekumppaneita, ja työtarjouksia, joissa pyydetään tietojasi.
Toisin kuin tietojenkalasteluhyökkäykset, sosiaalinen manipulointi on suurelta osin suoraa ihmisten välistä vuorovaikutusta. Edellinen (phishing) käyttää syöttiä – toisin sanoen "kalastajat" tarjoavat sinulle jotain toivoen, että tulet siihen. Sosiaalinen(Social) suunnittelu tarkoittaa enemmän sisäisten työntekijöiden luottamuksen voittamista, jotta he paljastavat tarvitsemasi yrityksen tiedot.
Lue: (Read:) Sosiaalisen suunnittelun suositut menetelmät .
Tunnetut sosiaalisen suunnittelun tekniikat
Niitä on monia, ja ne kaikki käyttävät perusinhimillisiä taipumuksia päästäkseen minkä tahansa organisaation tietokantaan. Eniten käytetty (todennäköisesti vanhentunut) social engineering -tekniikka on soittaa ja tavata ihmisiä ja saada heidät uskomaan, että he tulevat teknisestä tuesta, joiden on tarkistettava tietokoneesi. He voivat myös luoda väärennettyjä henkilökortteja luottamuksen lisäämiseksi. Joissakin tapauksissa syylliset esiintyvät valtion virkamiehinä.
Toinen kuuluisa tekniikka on palkata henkilösi työntekijänä kohdeorganisaatiossa. Nyt, koska tämä huijari on kollegasi, voit luottaa hänelle yrityksen tiedot. Ulkopuolinen työntekijä saattaa auttaa sinua jossain, joten sinusta tuntuu velvollisuudelta, ja silloin hän voi tehdä maksimaalista.
Luin myös joitain raportteja ihmisistä, jotka käyttävät sähköisiä lahjoja. Yrityksesi osoitteeseen toimitettu hieno USB -tikku tai autossasi oleva kynäasema voi osoittautua katastrofiksi. Eräässä tapauksessa joku jätti tahallaan joitakin USB -asemia parkkipaikalle syöteiksi [2].
Jos yrityksesi verkossa on hyvät suojatoimenpiteet jokaisessa solmussa, olet siunattu. Muuten nämä solmut tarjoavat helpon pääsyn haittaohjelmille - tuossa lahjassa tai "unohdetuissa" kynäasemissa - keskusjärjestelmiin.
Sellaisenaan emme voi tarjota kattavaa luetteloa sosiaalisen manipuloinnin menetelmistä. Se on tieteen ytimessä yhdistettynä taiteeseen huipulla. Ja tiedät, ettei kummallakaan ole rajoja. Sosiaalisen(Social) suunnittelun tyypit jatkavat luovuuttaan kehittäessään ohjelmistoja, jotka voivat myös väärinkäyttää langattomia laitteita päästäkseen yrityksen Wi-Fi- verkkoon .
Lue: (Read:) Mikä on sosiaalisesti suunniteltu haittaohjelma .
Estä sosiaalinen suunnittelu
Henkilökohtaisesti en usko, että järjestelmänvalvojat voivat käyttää mitään teoreemaa estääkseen sosiaalisen manipuloinnin hakkeroinnit. Sosiaalisen suunnittelun tekniikat muuttuvat jatkuvasti, ja siksi IT-järjestelmänvalvojien on vaikea seurata, mitä tapahtuu.
Tietenkin on syytä pitää silmällä sosiaalisen manipuloinnin uutisia, jotta ihminen on tarpeeksi tietoinen asianmukaisten turvatoimien toteuttamiseksi. Esimerkiksi USB - laitteiden tapauksessa järjestelmänvalvojat voivat estää USB -asemat yksittäisissä solmuissa sallien ne vain palvelimella, jossa on parempi suojajärjestelmä. Samoin (Likewise)Wi-Fi tarvitsee paremman salauksen kuin useimmat paikalliset Internet- palveluntarjoajat(ISPs) tarjoavat.
Henkilöstön kouluttaminen ja satunnaisten testien tekeminen eri työntekijäryhmille voivat auttaa tunnistamaan organisaation heikkoja kohtia. Olisi helppoa kouluttaa ja varoittaa heikompia yksilöitä. Valppaus(Alertness) on paras puolustus. Painopisteenä tulee olla se, että kirjautumistietoja ei saa jakaa edes tiiminjohtajien kanssa – paineesta riippumatta. Jos tiiminvetäjä tarvitsee pääsyn jäsenen sisäänkirjautumiseen, hän voi käyttää pääsalasanaa. Tämä on vain yksi ehdotus pysyä turvassa ja välttää sosiaalisen manipuloinnin hakkerit.
Tärkeintä on, että haittaohjelmien ja verkkohakkereiden lisäksi IT-ihmisten on huolehdittava myös sosiaalisesta suunnittelusta. Tunnistaessaan tietomurron menetelmiä (kuten salasanojen kirjoittamista jne.) järjestelmänvalvojien tulee myös varmistaa, että heidän henkilökuntansa on tarpeeksi älykäs tunnistamaan manipulointitekniikka, jotta se voidaan välttää kokonaan. Mitkä ovat mielestäsi parhaat keinot ehkäistä sosiaalista suunnittelua? Jos olet törmännyt mielenkiintoiseen tapaukseen, kerro siitä meille.
Lataa tämä Microsoftin julkaisema e-kirja Social Engineering Attacksista ja opi, kuinka voit havaita ja estää tällaiset hyökkäykset organisaatiossasi.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)
Viitteet(References)
[1] Reuters , Snowden suostutteli NSA:n työntekijät (NSA Employees Into)hankkimaan(Info) kirjautumistietonsa
[2] Boing Net , haittaohjelmien(Spread Malware) levittämiseen käytetyt kynäasemat(Pen) .
Related posts
Internet- ja sosiaalisten verkostoitumissivustojen riippuvuus
Fake News -sivustot: Kasvava ongelma ja mitä se tarkoittaa nykymaailmassa
Kuinka määrittää, tallentaa, muokata ja julkaista Instagram-rullia
Kuinka ottaa kaksivaiheinen todennus käyttöön Reddit-tilille
Ota yhteyttä Windows Clubiin
Kuinka mykistää, poistaa mykistyksen ja rajoittaa Instagram-käyttäjiä Windows PC:ssä
Sosiaalisessa mediassa liiallisen jakamisen vaarat ja seuraukset
Revoke third-party access from Facebook, Google, Microsoft, Twitter
Kuinka yhdistää Instagram ja WhatsApp Facebook-sivulle
Mitä tapahtuu online-tileillesi, kun kuolet: digitaalisen omaisuuden hallinta
Ryhmän luominen Telegramissa ja Voice Chat -ominaisuuden käyttäminen
5 parasta Facebook-vaihtoehtoa, jotka haluat tarkistaa
StalkFace ja StalkScan auttavat sinua ymmärtämään Facebook-kavereita paremmin
Kuinka poistaa pysyvästi tai tilapäisesti poistaa Instagram-tili
Kuinka tulla Pinterestin vaikuttajaksi
Kuinka hallita Facebook-mainosasetuksia ja kieltäytyä mainosten seurannasta
UniSharen avulla voit jakaa Facebookissa, Twitterissä ja LinkedInissä kerralla
Yammerin ominaisuudet ja käyttöpaikat
Kuinka tulla LinkedIn-vaikuttajaksi
Parhaat Yammerin vinkit ja temput tehokäyttäjälle