ศิลปะของวิศวกรรมสังคม: คุณกำลังถูกปรับอากาศหรือไม่?
ในขณะที่เรารักษาความปลอดภัยของระบบคอมพิวเตอร์ได้ดีขึ้นเราก็พบว่าจุดอ่อนที่สุดของการป้องกันคือในความเป็นจริงมนุษย์ วิศวกรรมสังคมเป็นศาสตร์มืดในการจัดการกับผู้คน แฮกเกอร์ทางสังคมอาจต้องการเข้าถึงอาคารเพื่อรับข้อมูลที่ไม่ควรมีหรือเพื่อเพิ่มสถานะของพวกเขาในสังคม.
แฮกเกอร์สังคมได้รับการยกย่องในภาพยนตร์อย่าง Catch Me If You Can และ Six Degrees of Separation และเสน่ห์เดียวกันที่ให้พวกเขามีความสามารถในการจัดการกับผู้ที่ตกเป็นเหยื่อสามารถถูกเปลี่ยนเป็นดาวเพื่อสาธารณประโยชน์.
การแฮ็กทางสังคมสามารถเกิดขึ้นได้ในหลายรูปแบบเช่นการหลอกลวงทางโทรศัพท์และอีเมลการแต่งงานที่เอาเปรียบโดยเจตนาหรือตัวตนปลอมทั้งหมด.
แต่พวกเขาจะทำอย่างไร และเราจะป้องกันตนเองจากคนที่มีของกำนัลเพื่อให้ทุกคนรอบตัวพวกเขาวางยามได้อย่างไร?
1) มีข้อมูลมากมายเกี่ยวกับคุณบนอินเทอร์เน็ต
ในชั้นเชิงที่เรียกว่า pretexting, แฮ็กเกอร์จะประดิษฐ์ข้ออ้างสำหรับการติดต่อคุณผ่านทางโทรศัพท์หรืออีเมลหรือด้วยตนเอง บ่อยครั้งสิ่งนี้จะหมายถึงการทำการวิจัยมหาศาลเกี่ยวกับภูมิหลังการศึกษาการทำงานและแม้แต่อุปกรณ์ที่คุณเป็นเจ้าของ ผู้โจมตีอาจทำให้คุณประหลาดใจกับสิ่งที่ดูเหมือนว่าเป็นข้อมูลวงในบางทีโดยรู้ที่อยู่ IP หรือ ID มหาวิทยาลัยของคุณ พวกเขาอาจใช้ประโยชน์จากข้อมูลที่คุณเสนอโดยสมัครใจที่อื่นบนอินเทอร์เน็ตจากนั้นลืมไป.
การทำ Pretexting มักใช้เพื่อรับข้อมูลเพิ่มเติมจากเป้าหมายและบางครั้งใช้คำว่า “ยืนยัน” ข้อมูล สามารถใช้เพื่อหลอกลวงผู้ใช้ในการปฏิบัติงานด้านความปลอดภัยเช่นการดาวน์โหลดซอฟต์แวร์ปิดการใช้งานไฟร์วอลล์หรือข้ามกลไกความปลอดภัย.
ชั้นเชิงอีกอย่างคือ เทคนิคการผัน. นี่คือเมื่อผู้โจมตีโน้มน้าวให้คุณชำระเงินไปยังบัญชีอื่นหรือส่งพัสดุของคุณไปยังที่อยู่อื่น บ่อยครั้งที่กลยุทธ์นี้เพียงพอเกี่ยวกับการโอนการสื่อสารหรือคีย์การเข้ารหัส บางคนอาจโทรหาคุณโดยอ้างว่าเป็นตัวแทนของธนาคารหรือผู้ให้บริการอีเมลจากนั้นให้ข้อมูลที่เป็นประโยชน์เกี่ยวกับข้อความเตือน บุคคลนั้นอาจบอกให้คุณ“ เพิกเฉยต่อคำเตือน” อย่างปลอดภัย ในทำนองเดียวกันคุณอาจถูกขอให้เริ่มสื่อสารกับใครบางคน“ จากแผนกที่แตกต่างกัน” หรือได้รับคีย์การเข้ารหัสทางเลือกเพื่อใช้กับบัญชีของคุณ.
2) คุณเป็นคนใจดีและซื่อสัตย์
คนส่วนใหญ่สนุกกับการช่วยเหลือผู้อื่นในทางใดทางหนึ่งและไม่สงสัยว่ามีการโจมตีอยู่เบื้องหลังทุกคำขอ และแน่นอนว่าเราไม่ควรแทนที่ความช่วยเหลือด้วยความหวาดระแวงที่ไม่สามารถทำได้.
มันยากที่จะรักษาความสมดุลและบ่อยครั้งที่สัญญาณใด ๆ ของความหวาดระแวงจะพบกับการเยาะเย้ย.
เราสงสัยน้อยกว่าเมื่อมีสิ่งดีๆเกิดขึ้นกับเรา แท่ง USB ราคาแพงที่คุณพบบนพื้นอาจกลายเป็นมัลแวร์หรือหมีเท็ดดี้ปุยที่ถูกส่งไปยังสำนักงานของคุณอาจมีกล้องหรืออุปกรณ์ติดตาม ชั้นเชิงนี้เรียกว่า เหยื่อ, และในกรณีที่รุนแรงผู้โจมตีอาจกล่าวได้ว่าพวกเขา“ ตกหลุมรักคุณ” หรือเสนอรางวัลใหญ่สำหรับการแข่งขันที่คุณจำไม่ได้.
โดยไม่ใช้ความระมัดระวังและตรวจสอบตัวตนของผู้คนที่เข้าถึงเราได้ผู้โจมตีก็สามารถทำได้ สร้างอำนาจ เหนือพวกเรา ในองค์กรขนาดใหญ่อาจเป็นการยากที่จะทราบว่าใครเป็นผู้ที่อยู่ในสายการบังคับบัญชาและพนักงานใหม่จะมีความเสี่ยงต่อการหลอกลวงประเภทนี้เป็นพิเศษ บริษัท อาจมีความอ่อนไหวต่อการโจมตีประเภทนี้มากขึ้นหลังจากการเปลี่ยนแปลงหรือการปรับโครงสร้างการบริหาร.
แฮกเกอร์ทางสังคมอาจจะทำได้ ใช้ประโยชน์จากความเมตตาของคุณ ตรงไปตรงมามากขึ้นเพียงแค่ขออะไรบางอย่าง ในสภาพแวดล้อมการทำงานที่ยากลำบากพนักงานที่เน้นความตึงเครียดมักตอบสนองต่อการร้องขออย่างดี ในความเป็นจริงคนส่วนใหญ่จะตอบสนองต่อความเมตตาหรืออำนาจ.
3) คุณเปิดเผยเกี่ยวกับตัวคุณมากกว่าที่คุณคิด
คุณอาจไม่รู้ว่าคุณเป็นคนที่ตอบสนองต่ออำนาจหรือความเมตตาดีกว่าหรือไม่ แต่ผู้จู่โจมที่มีทักษะอาจค้นพบได้อย่างรวดเร็วโดยการอ่านสัญญาณที่ละเอียดอ่อนในการแสดงออกทางสีหน้าหรือท่าทางมือ.
Victor Lustig ศิลปินนักต้มตุ๋นผู้หลอกลวงผู้ค้าเศษโลหะให้เชื่อว่าเขาซื้อหอไอเฟลอธิบาย:
- เป็นผู้ฟังที่อดทน (นี่คือการพูดที่ไม่เร็วนัก.
- รอให้อีกฝ่ายเปิดเผยความคิดเห็นทางการเมืองแล้วเห็นด้วยกับพวกเขา.
- ให้คนอื่นเปิดเผยมุมมองทางศาสนาจากนั้นก็มีมุมมองที่เหมือนกัน.
- เคล็ดลับในการพูดคุยเรื่องเพศ แต่อย่าติดตามจนกว่าบุคคลอื่นจะแสดงความสนใจอย่างมาก.
- อย่าพูดคุยเกี่ยวกับความเจ็บป่วยเว้นแต่มีข้อกังวลพิเศษปรากฏ.
- อย่างัดสถานการณ์ส่วนตัวของบุคคล (เป้าหมายจะแจ้งให้คุณทราบในที่สุด).
- อย่าคุยโม้ – แค่ให้ความสำคัญของคุณชัดเจนอย่างเงียบ ๆ.
เป้าหมายและมีประสิทธิภาพมากขึ้นสามารถเป็น ฟิชชิ่ง โจมตี. ในแบบฟอร์มที่พบบ่อยที่สุดคุณจะได้รับอีเมลจากธนาคารของคุณพร้อมคำขอเพื่อเข้าสู่บัญชีของคุณ แต่แทนที่จะถูกส่งไปยังเว็บไซต์ของธนาคารคุณจะถูกส่งไปยังไซต์ที่เหมือนกันของผู้โจมตี การโจมตีนี้สามารถหลีกเลี่ยงการรับรองความถูกต้องด้วยสองปัจจัย เมื่อผู้โจมตีพยายามเข้าสู่บัญชีจริงของคุณคุณอาจได้รับข้อความตัวอักษรพร้อมรหัสความปลอดภัยจากธนาคารของคุณ พวกเขาจะได้รับสิ่งนี้เพียงแค่ขอให้คุณใส่ลงในเว็บไซต์ปลอมของพวกเขา.
4) ความคิดของคุณข้ามไปสู่ข้อสรุปได้อย่างง่ายดาย
เราเกลียดที่จะยอมรับเมื่อเราไม่รู้จักคนที่อ้างตัวว่ารู้จักเรา โดยเฉพาะถ้าพวกเขาดูเหมือนจะรู้รายละเอียดเกี่ยวกับตัวเรา ในความเป็นจริงเรามีแนวโน้มที่จะหลอกตัวเองให้คิดว่าเราต้องรู้จักคนมากกว่าเสี่ยงที่จะเผชิญหน้าเพื่ออธิบายลักษณะของความสัมพันธ์ของเรา นี่คือการใช้ประโยชน์จากการหลอกลวงทางโทรศัพท์นับไม่ถ้วนที่ผู้คนถูกหลอกให้เชื่อว่าญาติห่าง ๆ ของพวกเขากำลังโทรหาและต้องการความช่วยเหลือทางการเงิน.
วิลเลียมทอมป์สันที่อาศัยอยู่ในนิวยอร์กซิตี้ในยุค 1840 เชื่อคนแปลกหน้าแบบสุ่มไม่เพียง แต่พวกเขารู้จักเขาเท่านั้น แต่พวกเขายังเชื่อใจเขาด้วยการดูแลทรัพย์สินที่มีค่าของพวกเขา เขากลายเป็นที่รู้จักไปทั่วประเทศอย่างรวดเร็วในฐานะ“ ผู้เชื่อมั่น”
5) คุณมีแนวโน้มที่จะเชื่อว่าคนอื่นเป็นเหมือนคุณ
คุณไม่มีเจตนาชั่วร้ายดังนั้นทำไมคนอื่นถึงชอบ เป็นการยากที่เราจะจินตนาการว่าบางครั้งคนธรรมดาที่ดูเหมือนจะต้องการทำร้ายคุณ.
คุณรู้เกี่ยวกับแฮ็กเกอร์ชั่วร้าย แต่พวกเขาโจมตีนักกิจกรรมเพื่อสิทธิมนุษยชนเท่านั้น ทำไมบางคนถึงต้องพยายามแฮ็คคุณ? คุณไม่มีกรณีของเงินหรือความลับทางการค้าที่จะขโมย แล้วทำไมคนเราถึงอยากทำร้ายคุณ?
ในความเป็นจริงคุณและข้อมูลของคุณอาจมีค่ามากกว่าที่คุณคิดและคุณอาจถูกโจมตีไม่ทางใดก็ทางหนึ่ง อาจเป็นการโจมตีอัตโนมัติหรืออาจเป็นเรื่องบังเอิญ แต่คุณไม่ควรเชื่อใจผู้โชคดีอย่างบังเอิญ ระวังการปรากฏตัวอย่างฉับพลันของคนรู้จักเก่าหรือคำขอแปลก ๆ ที่เข้ามาทางโทรศัพท์.
อ่านเคล็ดลับความเป็นส่วนตัวและความปลอดภัยทางอินเทอร์เน็ตเพิ่มเติมที่นี่