Hvad er social engineering, og hvordan kan du undgå det?
Malware er ikke den eneste online trussel at bekymre sig om. Social engineering er en stor trussel, og det kan ramme dig på ethvert operativsystem. Faktisk kan social ingeniørarbejde også forekomme over telefonen og i ansigt til ansigt situationer.
Det er vigtigt at være opmærksom på social engineering og være på udkig. Sikkerhedsprogrammer vil ikke beskytte dig mod de fleste sociale ingeniørmæssige trusler, så du skal beskytte dig selv.
Social Engineering Forklaret
Traditionelle computerbaserede angreb afhænger ofte af at finde en sårbarhed i en computers kode. Hvis du for eksempel bruger en forældet version af Adobe Flash - eller forbud Gud, Java, som var årsagen til 91% af angrebene i 2013 ifølge Cisco - kan du besøge et ondsindet websted og den hjemmeside ville udnytte sårbarheden i din software for at få adgang til din computer. Angregeren manipulerer fejl i software for at få adgang og indsamle privat information, måske med en keylogger, som de installerer.
Social engineering tricks er forskellige, fordi de involverer psykologisk manipulation i stedet. I andre ord udnytter de mennesker, ikke deres software.
Du har sikkert allerede hørt om phishing, hvilket er en form for social engineering. Du kan modtage en e-mail, der hævder at være fra din bank, kreditkortselskab eller en anden betroet virksomhed. De kan lede dig til en falsk hjemmeside forklædt for at ligne en rigtig eller bede dig om at downloade og installere et ondsindet program. Men sådanne sociale ingeniører tricks behøver ikke at involvere falske websteder eller malware. Phishing-e-mailen kan simpelthen bede dig om at sende et email-svar med private oplysninger. I stedet for at forsøge at udnytte en fejl i en software, forsøger de at udnytte normale menneskelige interaktioner. Spyd phishing kan være endnu mere farlig, da det er en form for phishing, der er designet til at målrette mod bestemte personer.
Eksempler på socialteknologi
Et populært trick i chat-tjenester og onlinespil har været at registrere en konto med et navn som "Administrator" og sende folk skræmmende beskeder som "ADVARSEL: Vi har opdaget, at nogen kan hackere din konto, svare med dit kodeord for at godkende dig selv." Hvis et mål svarer med deres adgangskode, er de faldet for tricket, og angriberen har nu deres kontoadgangskode.
Hvis nogen har personlige oplysninger om dig, kunne de bruge den til at få adgang til dine konti. For eksempel bruges oplysninger som din fødselsdato, socialsikringsnummer og kreditkortnummer ofte til at identificere dig. Hvis nogen har disse oplysninger, kan de kontakte en virksomhed og lade sig gøre at være dig. Dette trick blev berømt brugt af en angriber at få adgang til Sarah Palins Yahoo! Mail-konto i 2008, indsender nok personlige oplysninger for at få adgang til kontoen via Yahoo! S password recovery formular. Den samme metode kan bruges til over telefonen, hvis du har de personlige oplysninger, virksomheden kræver for at godkende dig. En angriber med nogle oplysninger om et mål kan foregive at være dem og få adgang til flere ting.
Socialteknik kunne også bruges personligt. En angriber kan gå ind i en virksomhed, informere sekretæren om, at de er en reparationsperson, en ny medarbejder eller brandinspektør i en autoritativ og overbevisende tone, og derefter vandre i hallerne og potentielt stjæle fortrolige data eller plantefejl for at udføre virksomhedsspionage. Dette trick afhænger af, at angriberen præsenterer sig som nogen, de ikke er. Hvis en sekretær, dørmand eller den anden, der har ansvaret, ikke spørger for mange spørgsmål eller ser for tæt på, vil tricket blive vellykket.
Social-engineering angreb spænder udvalget af falske hjemmesider, svigagtige e-mails og falske chat-meddelelser helt op til at udgive en person på telefonen eller i person. Disse angreb kommer i mange forskellige former, men de har alle en ting til fælles - de er afhængige af psykologisk trickery. Socialteknik er blevet kaldt kunsten til psykologisk manipulation. Det er en af de vigtigste måder "hackere" faktisk "hack" konti online.
Sådan undgår du social ingeniørarbejde
At kende social engineering eksisterer kan hjælpe dig med at bekæmpe det. Vær mistanke om uopfordrede e-mails, chatbeskeder og telefonopkald, der beder om privat information. Aldrig afsløre finansiel information eller vigtige personlige oplysninger via e-mail. Du må ikke downloade potentielt farlige e-mailvedhæftninger og køre dem, selvom en e-mail hævder, at de er vigtige.
Du bør heller ikke følge links i en email til følsomme hjemmesider. For eksempel skal du ikke klikke på et link i en e-mail, der ser ud til at være fra din bank og logge ind. Det kan tage dig til et falsk phishing-websted forklædt for at se ud som din banks websted, men med en subtilt anderledes webadresse. Besøg hjemmesiden direkte i stedet.
Hvis du modtager en mistænkelig anmodning - for eksempel kræver et telefonopkald fra din bank personlige oplysninger - kontakt kilden til anmodningen direkte og bede om bekræftelse. I dette eksempel vil du ringe til din bank og spørge, hvad de vil, snarere end at videregive oplysningerne til en person, der hævder at være din bank.
E-mail-programmer, webbrowsere og sikkerhedssuiter har generelt phishing-filtre, der advarer dig, når du besøger et kendt phishing-websted. Alt de kan gøre, advarer dig, når du besøger et kendt phishing-websted eller modtager en kendt phishing-email, og de ved ikke om alle phishing-websteder eller e-mails derude. For det meste er det op til dig at beskytte dig selv - sikkerhedsprogrammer kan kun hjælpe en lille smule.
Det er en god ide at udøve en sund mistanke, når man beskæftiger sig med anmodninger om private data og alt andet, der kunne være et socialt anlægsangreb. Mistanke og forsigtighed vil hjælpe med at beskytte dig, både online og offline.
Billedkredit: Jeff Turnet on Flickr