Программное обеспечение может только получить вас так далеко. Вы можете защитить свои пароли, установить антивирусное программное обеспечение, настроить брандмауэр, но в конечном итоге всегда есть слабое звено.
Люди.
Целый сектор взлома развился вокруг человеческого аспекта безопасности, известного как социальная инженерия . Используя комбинацию технических навыков взлома и межличностного общения с большой дозой манипуляций, социальный инженер — который может также работать как хакер или в тандеме с ним — надеется извлечь личную или конфиденциальную информацию из цели. Люди манипулировали и обманывали других в течение многих, многих лет, но социальная инженерия делает это с конкретной целью создания среды, в которой люди будут раскрывать личную информацию.
Хотя эти методы часто используются для проникновения в компанию, их можно использовать для отдельных лиц, особенно высококлассных. Если вы нацелены — как бы вы узнали? Какие методы социальной инженерии использовал бы хакер и как бы вы защитились от них? Давайте рассмотрим некоторые из наиболее распространенных методов атаки.
1. Фишинг
Social-Engineer.org описывает фишинг как «практику отправки электронных писем из авторитетных источников с целью оказания влияния или получения личной информации».
Наиболее распространенными примерами этого являются печально известные нигерийские банковские электронные письма. , вместе с «Срочно: Вы имеете право на возврат налога».
Как защитить себя
- Не нажимайте на ссылки в электронных письмах. Если у вас есть какие-либо сомнения относительно безопасности электронной почты, не нажимайте никакие ссылки — даже если они выглядят законно. Проще навести курсор на ссылку и посмотреть, направляет ли она нужный сайт на рабочий стол, а не на мобильный, но лучшее решение — просто вручную перейти на сам сайт и войти в систему напрямую, чем используя предоставленный URL-адрес.
- Не загружайте вложения. Самый простой способ заразить ваше устройство вредоносным ПО — это загрузить вложения электронной почты. Большинство веб-почтовых клиентов сканируют вложения, чтобы сообщить, безопасны ли они, но это не является надежным. Если вы загружаете вложение, перед его открытием обязательно проверьте его антивирусом. Если расширение файла не соответствует ожидаемому, не открывайте его, так как некоторые вредоносные программы могут быть замаскированы под «Document.pdf.exe». Чтобы быть в безопасности — никогда не открывайте (и не загружайте) вложения «.exe».
- Проверьте адрес отправителя. На мобильных устройствах это может быть сложно сделать, и злоумышленники знают об этом и все чаще встраивают это в свои атаки. Типичным примером является отправитель, указанный как «Paypal», но адрес может выглядеть как «paypal@hotmail.com» или «contact@paypalpay.com». Если это выглядит необычно, то не нажимайте на ссылки и не загружайте вложения.
2. Vishing
Vishing — это фишинг, но выполняется по телефону. Это может быть очень эффективным, так как общение с реальным человеком может дать людям чувство легкости, если будет установлена правильная связь.
Типичным примером является звонок из «технической поддержки», который затем попросит вас подтвердить свой пароль или другую конфиденциальную информацию.
Как защитить себя
- Проверьте идентификатор звонящего. Если кто-то утверждает, что звонит из вашего банка, обратите внимание на его проверки безопасности, такие как упоминание определенных вещей из вашей учетной записи. Получить полное имя, отдел и филиал. Убедитесь, что вы уверены, что они те, кем они себя называют.
- Получить контактную информацию. Спросите у них их контактную информацию, попробуйте проверить это онлайн и скажите, что вы перезвоните им. Это дает вам время для их аутентификации.
- Остерегайтесь представительных абонентов. Хотя с некоторыми людьми просто приятно и искренне приятно общаться, это также может быть частью инструментария социального инженера, который поможет вам чувствовать себя непринужденно и с большей вероятностью раскрывать информацию. Если звонок дал вам причину быть подозрительным, то скептически относитесь к звонящему.
3. Социальные сети
Как часто вы сами гуглите? Продолжай — нет, правда — как часто? И что происходит, когда вы делаете? Возможно, ваши аккаунты в Twitter, LinkedIn, Facebook, Foursquare. Переключите поиск на изображения, и вы увидите зернистую картинку из своего старого профиля MySpace или Bebo.
Теперь подумайте, какую информацию вы получите по этим ссылкам — примерное (или подробное) местоположение, места, которые вы посещаете, список друзей, место работы и многое другое. Это может быть довольно страшно, сколько информации вы публикуете, даже если вы этого не хотите .
Как защитить себя
- Подумайте, прежде чем отправлять. Публикуете ли вы что-то, что не хотели, например, геотеггинг своей фотографии, или на фоне фотографии есть конфиденциальная или идентифицирующая информация?
- Настройте эти параметры конфиденциальности. Мы все знаем, что социальные сети любят, чтобы мы делились всем со всеми — вот почему настройки конфиденциальности Facebook настолько сложны. , но эти настройки есть по причине. Убедитесь, что вы отправляете сообщения только тем людям, которым хотите видеть свое сообщение. Выбирайте «друзей», которых вы не знаете. Это очень важно для Facebook, который является сетью, в которой вас активно поощряют к перепостановке. Работа на .
- Запрет индексирования поисковой системы. Если вы хотите, чтобы ваш аккаунт Pinterest не появлялся в результатах поиска рядом с LinkedIn, зайдите в настройки и отключите индексирование поисковой системы. У большинства крупных социальных сетей есть такая опция.
- Давай в приват. Подумайте, действительно ли вам нужны ваши аккаунты в Instagram и Twitter, чтобы быть публичными.
- Подумайте, если вам нужно отправить. То, что есть возможность опубликовать, не означает, что вы должны это делать. Это не только предотвращает публичный обмен информацией, но и помогает улучшить отношения с технологиями.
4. Dumpster Diving
К сожалению, правда в том, что даже в нашем современном мире мы все еще получаем конфиденциальную информацию (медицинские записи, банковские выписки) или спам в наших (физических) почтовых ящиках. А как насчет тех документов, которые вы принесли домой с работы для редактирования перед следующей большой встречей? Вы только что положили их в корзину, когда закончили с ними? Это сундук с сокровищами для начинающего социального инженера.
В определенных ситуациях они могут выбрать «погружение в мусорное ведро», когда они перебирают мусор, чтобы найти информацию, которую они могут использовать о вас.
Как защитить себя
- Измельчите все вещи. Как и в случае с социальными сетями, по каждому пункту трудно понять, какой вред может быть выбрасывать что-то вроде квитанции. Но когда вся эта информация собрана воедино, она откроет о вас гораздо больше, чем вы предполагали. Лучший совет, если вы явно не безобидны, а затем уничтожьте его.
- Перемещение онлайн (если вы можете) . В Интернете есть некоторые небезопасные вещи, но одна вещь, которую он не делает, генерирует документы для вас. По мере того, как смартфоны и интернет в целом становятся все более распространенными, банки и другие коммунальные услуги начали выходить в интернет. Если ваш провайдер разрешает онлайн-отчеты, включите их.
- Храните конфиденциальную информацию в безопасности. Это может показаться старомодным, но если вам нужно хранить бумажные копии частной или конфиденциальной информации, храните их в замке и храните в сейфе.
5. Приманка
Обращение к любопытству людей (или чувство жадности) является причиной этой атаки. Злоумышленник оставит зараженный USB, CD или другой физический носитель и будет ждать, пока кто-нибудь поднимет его, вставит в свою машину и станет зараженным.
Как защитить себя
- Не берите (или не используйте) случайные USB. Я знаю, что у вас может возникнуть искушение посмотреть, что там написано, и посмотреть, сможете ли вы помочь вернуть его законному владельцу. Но не надо. Это просто не стоит риска. Если вы не знаете, что это такое, не помещайте это в свою машину.
- Установите антивирус. На случай, если вы решите вставить неизвестное устройство в ваш компьютер, убедитесь, что у вас есть лучшая защита, которую вы можете получить Имейте в виду, что некоторые вредоносные программы могут уклоняться и даже отключать антивирусное программное обеспечение.
6. Задняя дверь
Эта атака чаще всего направлена на компании, хотя и не исключительно. Это когда злоумышленник получит доступ к физическому пространству, следуя или преследуя позади уполномоченного лица.
Как защитить себя
- Знайте, кто вокруг вас. Хороший злоумышленник не будет выделяться, но если кто-то, кого вы не узнаете, появится однажды, следите за ним.
- Не бойтесь задавать вопросы. Задняя дверь чаще всего встречается на работе, когда злоумышленник надеется получить информацию о компании. Даже вне рабочего контекста вы не должны бояться задавать вопросы. Если кто-то идет за вами в ваш жилой дом, спросите его, куда они идут, и можете ли вы помочь им найти дорогу. Чаще всего социальный инженер уклоняется от этих вопросов и может даже отказаться от своей атаки.
7. Typosquatting
Просто слишком просто неправильно напишите адрес сайта. И это именно то, что хочет социальный инженер. Эти злоумышленники утверждают, что веб-сайты похожи на популярные направления (например, «Амазон», а не «Амазон»), а затем используют эти страницы для перенаправления пользователей или сбора информации для входа на реальный сайт. Некоторые крупные сайты уже помогли вам с этим, и они перенаправляют варианты неправильных написаний своего URL на правильный.
Как защитить себя
- Обратите внимание при вводе адресов сайтов. Я знаю, что спешить может быть заманчиво, особенно если вы знаете сайт, но всегда проверяйте, прежде чем нажать Enter.
- Установите хороший антивирус. Некоторые сайты опечаток собираются попытаться заставить вас загрузить вредоносное ПО. Хорошее антивирусное программное обеспечение подберет любые вредоносные файлы — или даже веб-сайты — до того, как они причинят вам вред.
- Добавьте в закладки часто посещаемые сайты. Это то, что закладки для Это означает, что вы всегда будете знать, что вы идете на настоящий сайт.
8. Clickjacking
Clickjacking — это техника, используемая для того, чтобы обмануть пользователя, щелкнув по чему-то другому, чем он думал. они были.
Примером этого может быть, если на Facebook будет размещено видео с лолкатом, похожее на видео на YouTube. Вы нажимаете кнопку воспроизведения, но вместо того, чтобы смотреть, как катаются некоторые кошки , вы попадаете на страницу с просьбой загрузить программное обеспечение или что-либо иное, кроме просмотра вашего видео на lolcat.
Как защитить себя
- Установите NoScript. NoScript — это дополнение к Firefox, которое автоматически блокирует исполняемый веб-скрипт, такой как Flash, Java и Javascript. В NoScript есть функция под названием «ClearClick», которая направлена на предотвращение атак, связанных с кликбеком.
- Не используйте встроенные браузеры. На мобильных телефонах это может быть сложнее, и предотвратить угон кликов. Один из способов избежать этого — не использовать встроенные в приложение веб-браузеры, так как это наиболее вероятная точка атаки для перехвата кликов. Придерживайтесь вашего браузера по умолчанию.
Защити себя — но будь спокоен
Хотя социальная инженерия может показаться пугающей — кто-то использует человеческое поведение, чтобы обмануть вас, чтобы выдать личную или конфиденциальную информацию, — но важно сохранять спокойствие. Риск может быть всегда, но вряд ли когда-либо случится.
Как личность, у вас есть то, что называется «конфиденциальность через неизвестность», поэтому, если вы не являетесь знаменитостью или главой крупной компании, то вряд ли вы будете специально нацелены. Убедитесь, что вы помните об этих привычках, но не позволяйте им контролировать свою жизнь. Жизнь, проведенная в состоянии постоянного недоверия, была бы чрезвычайно напряженной и намного менее приятной.
Используете ли вы какие-либо из этих советов, чтобы защитить себя? Знаете ли вы, что существует такая вещь, как социальная инженерия? Есть предложения? Дайте нам знать в комментариях ниже!
Изображение предоставлено: хакер усердно работает от ra2studio через Shutterstock, Andrey_Popov через Shutterstock.com , Изображение предоставлено: wk1003mike через Shutterstock.com , Изображение предоставлено: rvlsoft via Shutterstock.com