Umenie sociálneho inžinierstva: Ste kondicionovaný?
Keď sa zlepšujeme pri zabezpečovaní našich počítačových systémov, zisťujeme, že najslabšou líniou obrany je v skutočnosti ľudská bytosť. Sociálne inžinierstvo je temným umením manipulovať s ľuďmi. Sociálni hackeri môžu chcieť získať prístup do budovy, získať informácie, ktoré nemajú mať, alebo jednoducho zvýšiť svoj status v spoločnosti..
Sociálni hackeri boli oslavovaní vo filmoch ako Catch Me If You Can a Six Degrees of Separation a to isté kúzlo, ktoré im dáva možnosti manipulovať s obeťami, sa dá zmeniť tak, aby sa z nich stali hviezdy pre obdivujúcu verejnosť..
Sociálne hackovanie môže mať mnoho podôb, napríklad podvody s telefónom a e-mailom, úmyselne vykorisťujúce manželstvá alebo celé falošné identity, ktoré sa udržiavajú desaťročia..
Ako to však robia? A ako sa môžeme chrániť pred ľuďmi, ktorí majú dar, aby prinútili každého okolo seba, aby stratil svoju stráž?
1) Na internete je veľa informácií o vás
V taktike zvanej pretexting, hacker vymyslí zámienku na to, aby vás kontaktoval, telefonicky alebo e-mailom alebo osobne. Často to bude znamenať vykonanie obrovského výskumu o vašom pozadí, vašom vzdelaní, vašej práci a dokonca aj o zariadeniach, ktoré vlastníte. Útočníci vás môžu prekvapiť tým, čo vyzerá ako dôverné informácie, napríklad tým, že poznajú vašu IP adresu alebo ID univerzity. Mohli by využiť informácie, ktoré ste dobrovoľne ponúkli niekde inde na internete, a potom zabudli.
Pretexovanie sa často používa na získanie viac informácií z cieľa a niekedy sa označuje ako „potvrdzujúca“ informácia. Môže sa použiť na podvádzanie používateľa pri vykonávaní úloh citlivých na bezpečnosť, ako je napríklad sťahovanie softvéru, deaktivácia brán firewall alebo obchádzanie bezpečnostných mechanizmov..
Ďalšou taktikou je technika odklonenia. V takom prípade vás útočník presvedčí, že chcete uskutočniť platbu na iný účet alebo poslať zásielku na inú adresu. Táto taktika je často o presmerovaní komunikačných alebo šifrovacích kľúčov. Niekto by vám mohol zavolať a predstierať, že je zástupcom banky alebo poskytovateľa e-mailu, a potom vám poskytne užitočné heads-up upozornenie. Táto osoba vám môže povedať, aby ste „bezpečne ignorovali“ varovania. Podobne môžete byť vyzvaný, aby ste začali komunikovať s niekým „z iného oddelenia“ alebo vám bol pridelený alternatívny šifrovací kľúč, ktorý môžete použiť s vaším účtom.
2) Ste láskavý a čestný človek
Väčšina ľudí má radosť z toho, že nejakým spôsobom pomáha druhým, a za každú požiadavku nemá podozrenie na útok. A samozrejme by sme nemali nahradiť našu ústretovosť neznesiteľnou paranojou.
Je ťažké udržať zdravú rovnováhu a často sa s výsmechom stretávajú akékoľvek známky paranoja.
Keď sa s nami stanú dobré veci, sme menej podozrievaví. Drahý USB kľúč, ktorý nájdete na podlahe, by mohol obsahovať malvér, alebo nadýchaný medvedík poslaný do vašej kancelárie môže obsahovať kameru alebo sledovacie zariadenie. Táto taktika je známa ako návnady, a v extrémnych prípadoch môžu útočníci ísť tak ďaleko, že povedú, že sa do vás „zamilovali“, alebo môžu ponúknuť veľké ceny za súťaže, na ktoré si nepamätáte..
Útočníci nie sú schopní postupovať opatrne a overovať totožnosť ľudí, ktorí sa k nám priblížia ustanoviť autoritu nad nami. Vo veľkej organizácii môže byť ťažké presne vedieť, kto je na vyššej úrovni velenia a noví zamestnanci sú voči tomuto typu podvodov obzvlášť zraniteľní. Spoločnosť môže byť náchylnejšia na tieto druhy útokov po zmene riadenia alebo reštrukturalizácii.
Sociálni hackeri by to mohli dokonca využite svoju láskavosť omnoho jednoduchšie, jednoducho tým, že niečo požiadam. V drsnom pracovnom prostredí stresovaní zamestnanci často veľmi pozitívne reagujú na láskavé žiadosti. V skutočnosti bude väčšina ľudí reagovať na láskavosť alebo autoritu.
3) Odhaľujete o vás viac, ako si myslíte
Možno neviete, či ste typ človeka, ktorý lepšie reaguje na autoritu alebo na láskavosť, ale skúsený útočník sa môže rýchlo dozvedieť prečítaním jemných znakov vo výrazoch tváre alebo gestami rúk..
Victor Lustig, majster podvodníka, ktorý podviedol obchodníka s kovovým šrotom v domnienku, že kúpil Eiffelovu vežu, vysvetľuje:
- Buďte trpezlivým poslucháčom (to nie je rýchle rozprávanie, ktoré získava podvodníka za svoje puče).
- Počkajte, kým druhá osoba odhalí akékoľvek politické názory, a potom s nimi súhlaste.
- Nechajte inú osobu, aby odhalila náboženské názory a potom mala rovnaké názory.
- Nápoveda pri sexuálnych rozhovoroch, ale nesledujte ju, pokiaľ iná osoba prejaví silný záujem.
- Nikdy nehovorte o chorobe, pokiaľ sa neobjaví osobitná obava.
- Nikdy sa nezapájajte do osobných okolností osoby (cieľ vám nakoniec povie všetko).
- Nikdy sa neochvějte – jednoducho nechajte svoju dôležitosť zreteľne zrejmá.
Cielenejšie a účinnejšie môže byť phishing zaútočiť. Vo svojej najbežnejšej forme dostanete od svojej banky e-mail so žiadosťou o prihlásenie do svojho účtu. Namiesto toho, aby ste boli presmerovaní na webové stránky svojej banky, ste poslaní na identickú stránku, ktorú vlastnia útočníci. Tento útok môže dokonca obísť dvojfaktorové overenie. Keď sa útočníci pokúsia prihlásiť do svojho skutočného účtu, môže sa od vašej banky zobraziť textová správa s bezpečnostným kódom. Získajú to jednoducho tak, že vás požiadajú, aby ste ho zadali na falošný web.
4) Vaša myseľ ľahko skočí k záverom
Nerad pripúšťame, keď neuznávame ľudí, ktorí tvrdia, že nás poznajú. Najmä ak sa zdá, že o nás vedia intímne podrobnosti. V skutočnosti sa s väčšou pravdepodobnosťou podvádzame, aby sme si mysleli, že osobu musíme poznať, a nie riskovať konfrontáciu, aby sme objasnili povahu nášho vzťahu. Toto je zneužívané v nespočetných podvodoch s telefónmi, kde sú ľudia oklamaní veriť, že ich vzdialení príbuzní volajú a potrebujú finančnú pomoc..
William Thompson, ktorý žil v štyridsiatych rokoch 20. storočia v New Yorku, presvedčil náhodných cudzincov nielen o tom, že ho poznali, ale aj o to, že mu mohli dôverovať pri starostlivosti o svoje cenné veci. Rýchlo sa stal po celej krajine známym ako „muž dôvery“.
5) Ste ochotní veriť, že ostatní sú ako vy
Nemáte žiadne zlé úmysly, tak prečo by ostatní? Je pre nás ťažké predstaviť si, že vás niekedy zdanlivo obyčajní ľudia chcú ublížiť.
Viete o zlých hackeroch, ale útočia iba na národné štáty a aktivisti za občianske práva, však? Prečo by niekto prešiel snahou pokúsiť sa vás hacknúť? Nemáte k dispozícii žiadne prípady peňazí ani obchodných tajomstiev. Tak prečo by ľudia chceli, aby vám ublížili?
V skutočnosti sú vy a vaše údaje pravdepodobne oveľa cennejšie, než si myslíte, a možno ste už nejakým spôsobom napadnutí. Môže to byť automatizovaný útok alebo to môže byť iba náhoda, ale múdre neveríte slepo šťastným náhodám. Dávajte pozor na náhly vzhľad starého známeho alebo akúkoľvek zvláštnu požiadavku, ktorá prichádza po telefóne.
Viac informácií o ochrane osobných údajov a bezpečnosti na internete nájdete tu
17.04.2023 @ 17:25
takéto žiadosti s úsmevom a ochotou pomôcť. Avšak, ak nebudeme opatrní, môžeme sa stať obeťou sociálneho inžinierstva a následne aj útoku na naše počítačové systémy.
3) Odhaľujete o vás viac, ako si myslíte
Sociálni hackeri môžu získať informácie o vás aj z vašich sociálnych sietí. Často zdieľame na internete veľa osobných informácií, ktoré môžu byť pre útočníkov veľmi cenné. Napríklad, ak zdieľate svoje narodeniny, môžu sa pokúsiť získať vaše heslo pomocou informácií o vašom dátume narodenia. Ak zdieľate svoje záujmy, môžu sa pokúsiť získať vaše heslo pomocou informácií o vašich záľubách. Preto je dôležité byť opatrný a nezdieľať príliš veľa osobných informácií na internete.
4) Vaša myseľ ľahko skočí k záverom
Sociálni hackeri často využívajú psychológiu ľudí a snažia sa nás presvedčiť, aby sme urobili niečo, čo by sme inak nerobili. Napríklad, ak vám niekto zavolá a tvrdí, že je z banky a potrebuje vaše heslo, môžete sa stať nervóznymi a podať mu heslo. Preto je dôležité byť opatrný a nechať si čas na rozmýšľanie, skôr ako urobíte niečo, čo by mohlo byť nebe