Viimeaikainen uutinen sai minut ymmärtämään, kuinka ihmisten tunteita ja ajatuksia voidaan käyttää (tai käytetään) muiden hyväksi. Melkein jokainen teistä tuntee Edward Snowdenin^{(Edward Snowden)} , NSA :n ilmiantajan, joka nuuskii ympäri maailmaa. Reuters kertoi, että hän sai noin 20-25 NSA :n henkilöä luovuttamaan salasanansa hänelle myöhemmin vuotamiensa tietojen palauttamiseksi [1]. Kuvittele^(Imagine) , kuinka hauras yrityksesi verkko voi olla, jopa vahvimmilla ja parhaimmilla tietoturvaohjelmistoilla!

Mitä on sosiaalinen suunnittelu

Inhimillistä^(Human) heikkoutta, uteliaisuutta, tunteita ja muita ominaisuuksia on usein käytetty laittomaan tiedonpoiminnassa – olipa kyseessä mikä tahansa toimiala. IT^{(IT Industry)} - ala on kuitenkin antanut sille nimen social engineering. Määrittelen sosiaalisen suunnittelun seuraavasti:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Tässä on toinen rivi samasta uutisesta [1], jota haluan lainata - " Turvallisuusviranomaisilla on vaikeuksia ajatuksen kanssa, että kaveri seuraavassa koppissa ei ehkä ole luotettava^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} ". Muokkasin lausetta hieman, jotta se sopisi tähän kontekstiin. Voit lukea koko uutisen Referenssit^(References) -osiossa olevan linkin kautta.

Toisin sanoen sinulla ei ole täydellistä hallintaa organisaatioidesi turvallisuudesta, sillä sosiaalinen suunnittelu kehittyy paljon nopeammin kuin sen kanssa selviytymistekniikat. Sosiaalinen^(Social) suunnittelu voi olla mitä tahansa, kuten soittamista jollekulle sanomalla, että olet tekninen tuki, ja pyytää heiltä kirjautumistietoja. Olet täytynyt saada tietojenkalasteluviestejä arpajaisista, rikkaista Keski-idän^{(Mid East)} ja Afrikan^(Africa) ihmisistä, jotka haluavat liikekumppaneita, ja työtarjouksia, joissa pyydetään tietojasi.

Toisin kuin tietojenkalasteluhyökkäykset, sosiaalinen manipulointi on suurelta osin suoraa ihmisten välistä vuorovaikutusta. Edellinen (phishing) käyttää syöttiä – toisin sanoen "kalastajat" tarjoavat sinulle jotain toivoen, että tulet siihen. Sosiaalinen^(Social) suunnittelu tarkoittaa enemmän sisäisten työntekijöiden luottamuksen voittamista, jotta he paljastavat tarvitsemasi yrityksen tiedot.

Lue: ^(Read:) Sosiaalisen suunnittelun suositut menetelmät .

Tunnetut sosiaalisen suunnittelun tekniikat

Niitä on monia, ja ne kaikki käyttävät perusinhimillisiä taipumuksia päästäkseen minkä tahansa organisaation tietokantaan. Eniten käytetty (todennäköisesti vanhentunut) social engineering -tekniikka on soittaa ja tavata ihmisiä ja saada heidät uskomaan, että he tulevat teknisestä tuesta, joiden on tarkistettava tietokoneesi. He voivat myös luoda väärennettyjä henkilökortteja luottamuksen lisäämiseksi. Joissakin tapauksissa syylliset esiintyvät valtion virkamiehinä.

Toinen kuuluisa tekniikka on palkata henkilösi työntekijänä kohdeorganisaatiossa. Nyt, koska tämä huijari on kollegasi, voit luottaa hänelle yrityksen tiedot. Ulkopuolinen työntekijä saattaa auttaa sinua jossain, joten sinusta tuntuu velvollisuudelta, ja silloin hän voi tehdä maksimaalista.

Luin myös joitain raportteja ihmisistä, jotka käyttävät sähköisiä lahjoja. Yrityksesi osoitteeseen toimitettu hieno USB -tikku tai autossasi oleva kynäasema voi osoittautua katastrofiksi. Eräässä tapauksessa joku jätti tahallaan joitakin USB -asemia parkkipaikalle syöteiksi [2].

Jos yrityksesi verkossa on hyvät suojatoimenpiteet jokaisessa solmussa, olet siunattu. Muuten nämä solmut tarjoavat helpon pääsyn haittaohjelmille - tuossa lahjassa tai "unohdetuissa" kynäasemissa - keskusjärjestelmiin.

Sellaisenaan emme voi tarjota kattavaa luetteloa sosiaalisen manipuloinnin menetelmistä. Se on tieteen ytimessä yhdistettynä taiteeseen huipulla. Ja tiedät, ettei kummallakaan ole rajoja. Sosiaalisen^(Social) suunnittelun tyypit jatkavat luovuuttaan kehittäessään ohjelmistoja, jotka voivat myös väärinkäyttää langattomia laitteita päästäkseen yrityksen Wi-Fi- verkkoon .

Lue: ^(Read:) Mikä on sosiaalisesti suunniteltu haittaohjelma .

Estä sosiaalinen suunnittelu

Henkilökohtaisesti en usko, että järjestelmänvalvojat voivat käyttää mitään teoreemaa estääkseen sosiaalisen manipuloinnin hakkeroinnit. Sosiaalisen suunnittelun tekniikat muuttuvat jatkuvasti, ja siksi IT-järjestelmänvalvojien on vaikea seurata, mitä tapahtuu.

Tietenkin on syytä pitää silmällä sosiaalisen manipuloinnin uutisia, jotta ihminen on tarpeeksi tietoinen asianmukaisten turvatoimien toteuttamiseksi. Esimerkiksi USB - laitteiden tapauksessa järjestelmänvalvojat voivat estää USB -asemat yksittäisissä solmuissa sallien ne vain palvelimella, jossa on parempi suojajärjestelmä. Samoin ^(Likewise)Wi-Fi tarvitsee paremman salauksen kuin useimmat paikalliset Internet- palveluntarjoajat^(ISPs) tarjoavat.

Henkilöstön kouluttaminen ja satunnaisten testien tekeminen eri työntekijäryhmille voivat auttaa tunnistamaan organisaation heikkoja kohtia. Olisi helppoa kouluttaa ja varoittaa heikompia yksilöitä. Valppaus^(Alertness) on paras puolustus. Painopisteenä tulee olla se, että kirjautumistietoja ei saa jakaa edes tiiminjohtajien kanssa – paineesta riippumatta. Jos tiiminvetäjä tarvitsee pääsyn jäsenen sisäänkirjautumiseen, hän voi käyttää pääsalasanaa. Tämä on vain yksi ehdotus pysyä turvassa ja välttää sosiaalisen manipuloinnin hakkerit.

Tärkeintä on, että haittaohjelmien ja verkkohakkereiden lisäksi IT-ihmisten on huolehdittava myös sosiaalisesta suunnittelusta. Tunnistaessaan tietomurron menetelmiä (kuten salasanojen kirjoittamista jne.) järjestelmänvalvojien tulee myös varmistaa, että heidän henkilökuntansa on tarpeeksi älykäs tunnistamaan manipulointitekniikka, jotta se voidaan välttää kokonaan. Mitkä ovat mielestäsi parhaat keinot ehkäistä sosiaalista suunnittelua? Jos olet törmännyt mielenkiintoiseen tapaukseen, kerro siitä meille.

Lataa tämä Microsoftin julkaisema e-kirja Social Engineering Attacksista ja opi, kuinka voit havaita ja estää tällaiset hyökkäykset organisaatiossasi.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Viitteet^(References)

[1] Reuters , Snowden suostutteli NSA:n työntekijät ^{(NSA Employees Into)}hankkimaan^(Info) kirjautumistietonsa

[2] Boing Net , haittaohjelmien^{(Spread Malware)} levittämiseen käytetyt kynäasemat^(Pen) .

Understand Social Engineering - Protection against Human Hacking

A рiece of recent news made me realize how human emotions and thoughts cаn be (or, are) used for others’ benefit. Almost every one of you knows Edward Snowden, the whistleblower of NSA snоoping the world over. Reuters rеported that hе got around 20-25 NSA peoрle to hand over their paѕswords to him for recovering some data he leaked later [1]. Imaginе how fragile your corporate network can be, even with the strongest and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Internet- ja sosiaalisten verkostoitumissivustojen riippuvuus

• Fake News -sivustot: Kasvava ongelma ja mitä se tarkoittaa nykymaailmassa

• Kuinka määrittää, tallentaa, muokata ja julkaista Instagram-rullia

• Kuinka ottaa kaksivaiheinen todennus käyttöön Reddit-tilille

• Ota yhteyttä Windows Clubiin

• Kuinka mykistää, poistaa mykistyksen ja rajoittaa Instagram-käyttäjiä Windows PC:ssä

• Sosiaalisessa mediassa liiallisen jakamisen vaarat ja seuraukset

• Revoke third-party access from Facebook, Google, Microsoft, Twitter

• Kuinka yhdistää Instagram ja WhatsApp Facebook-sivulle

• Mitä tapahtuu online-tileillesi, kun kuolet: digitaalisen omaisuuden hallinta

• Ryhmän luominen Telegramissa ja Voice Chat -ominaisuuden käyttäminen

• 5 parasta Facebook-vaihtoehtoa, jotka haluat tarkistaa

• StalkFace ja StalkScan auttavat sinua ymmärtämään Facebook-kavereita paremmin

• Kuinka poistaa pysyvästi tai tilapäisesti poistaa Instagram-tili

• Kuinka tulla Pinterestin vaikuttajaksi

• Kuinka hallita Facebook-mainosasetuksia ja kieltäytyä mainosten seurannasta

• UniSharen avulla voit jakaa Facebookissa, Twitterissä ja LinkedInissä kerralla

• Yammerin ominaisuudet ja käyttöpaikat

• Kuinka tulla LinkedIn-vaikuttajaksi

• Parhaat Yammerin vinkit ja temput tehokäyttäjälle