Svarbu žinoti apie socialinę inžineriją ir būti pasirengusiam. Apsaugos programos neapsaugos nuo daugelio socialinės inžinerijos grėsmių, taigi turėsite apsisaugoti.
Socialinės inžinerijos paaiškinimas
Tradiciniai kompiuteriniai išpuoliai dažnai priklauso nuo kompiuterio kodo pažeidžiamumo. Pvz., Jei naudojate neseną "Adobe Flash" versiją - arba "Dieve", "Java", kuri pagal Cisco sukėlė 91% išpuolių 2013 m., Galite aplankyti kenkėjišką svetainę ir tą svetainę išnaudos jūsų programinės įrangos pažeidžiamumą, kad galėtumėte pasiekti jūsų kompiuterį. Piktograma manipuliuoja klaidomis programinėje įrangoje, kad pasiektų prieigą ir surinktų asmeninę informaciją, galbūt naudodami keyloggerį, kurį jie įdiegia.
Socialinės inžinerijos gudrybės skiriasi, nes jie apima vietoj psichologinį manipuliavimą. Kitaip tariant, jie išnaudoja žmones, o ne jų programinę įrangą.
Jūs tikriausiai jau girdėjote apie sukčiavimą, kuris yra socialinės inžinerijos forma. Galite gauti el. Laišką, kuriame reikalaujama, kad jis būtų iš jūsų banko, kredito kortelės įmonės ar kito patikimo verslo. Jie gali nukreipti jus į netikrą svetainę, paslėptą kaip atrodanti reali, arba paprašyti atsisiųsti ir įdiegti kenksmingą programą. Tačiau tokių socialinių inžinerinių gudrybių nereikia įtraukti apgaulingų svetainių ar kenkėjiškų programų. Patarimas dėl apgaulės gali tiesiog prašyti atsiųsti atsakymą el. Paštu su privačia informacija. Užuot bandę išnaudoti programinės įrangos klaidą, jie bando išnaudoti įprastą žmogaus sąveiką. "Žvėries" sukčiavimas gali būti dar pavojingas, nes tai yra phishing strategija, skirta konkretiems žmonėms spręsti.
Socialinės inžinerijos pavyzdžiai
Vienas iš populiariausių pokalbių paslaugų ir internetinių žaidimų triukų buvo užregistruoti paskyrą su pavadinimu "Administratorius" ir nusiųsti žmonėms tokius pačius įdomius pranešimus kaip "ĮSPĖJIMAS: aptikome, kad kažkas gali įsilaužti į jūsų paskyrą, atsakyti slaptažodžiu, norėdami autentifikuoti save". Jei tikslai reaguoja su savo slaptažodžiu, jie nukrito į apgauti, o užpuolikas dabar turi savo paskyros slaptažodį.
Jei kas nors turi jūsų asmeninę informaciją, jis gali ją naudoti norėdamas pasiekti savo paskyras. Pavyzdžiui, jūsų tapatybei dažnai naudojama tokia informacija kaip gimimo data, socialinio draudimo numeris ir kredito kortelės numeris. Jei kas nors turi šią informaciją, jie gali susisiekti su verslu ir apsimesti, kad esate jūs. Šią apgaulę garsiai panaudojo užpuolikas, norėdamas pasiekti "Sarah Palin's Yahoo!" Pašto sąskaita 2008 m., Pateikiant pakankamai asmeninių duomenų, norint pasiekti paskyrą per "Yahoo!" Slaptažodžio atkūrimo formą. Tas pats metodas gali būti naudojamas telefonu, jei turite asmeninę informaciją, kurią įmonė turi jūsų autentiškumui patvirtinti. Užpuolikas, turintis tam tikrą informaciją apie tikslą, gali apsimesti jiems ir gauti daugiau dalykų.
Socialinė inžinerija taip pat gali būti naudojama asmeniškai. Užpuolikas gali patekti į verslą, informuoti sekretorių, kad jie yra remonto, naujo darbuotojo ar priešgaisrinės apsaugos inspektorius autoritetingu ir įtikinančiu tonu, o paskui klajoti salėse ir potencialiai pavogti konfidencialius duomenis arba augalų klaidas, kad galėtų atlikti įmonių šnipinėjimą. Šis triukas priklauso nuo to, kad užpuolikas pristatė save kaip žmogų, kurio ne. Jei sekretorius, durininkas ar tas, kuris kitas yra atsakingas, nepaklausia per daug klausimų ar pernelyg atidžiai žiūri, apgauti bus sėkmingi.
Socialinės inžinerijos išpuoliai apima netikrų tinklalapių, nesąžiningų el. Laiškų ir blogų pokalbių pranešimų asortimentą, kad būtų galima įžeisti asmenį telefonu ar asmeniškai. Šie išpuoliai įvyksta įvairiomis formomis, tačiau jie visi turi vieną bendrą dalyką - jie priklauso nuo psichologinės apgaulės. Socialinė inžinerija vadinama psichologine manipuliacija. Tai vienas iš pagrindinių būdų, kaip "įsilaužėliai" iš tikrųjų "įsilaužia" sąskaitas internete.
Kaip išvengti socialinės inžinerijos
Žinios apie socialinę inžineriją gali padėti jums kovoti. Būkite įtartinas nepageidaujamų el. Laiškų, pokalbių pranešimų ir telefono skambučių, kuriuose prašoma asmeninės informacijos. Niekada neatskleiskite finansinės informacijos ar svarbios asmeninės informacijos el. Paštu. Neparduokite potencialiai pavojingų el. Pašto priedų ir nenaudokite jų, net jei el. Laiškas teigia, kad jie yra svarbūs.
Jūs taip pat neturėtumėte sekti el. Pašto nuorodomis jautrioms svetainėms. Pvz., Spustelėkite nuorodą el. Laiške, kuris pasirodo esantis iš jūsų banko, ir prisijunkite. Tai gali užtrukti į suklastotą sukčiavimo svetainę, kuri paslėpta kaip banko svetainė, bet su visiškai kitokiu URL. Apsilankykite vietoje tiesiogiai.
Jei gaunate įtartiną užklausą - pavyzdžiui, jūsų banko skambutis reikalauja asmeninės informacijos - tiesiogiai susisiekite su prašymo šaltiniu ir paprašykite patvirtinimo. Šiame pavyzdyje norėtumėte paskambinti į savo banką ir paklausti, ko jie nori, o ne atskleisti informaciją asmeniui, kuris teigia esąs jūsų bankas.
Elektroninio pašto programose, žiniatinklio naršyklėse ir saugos lankstinukuose paprastai yra sukčiavimo filtrai, kurie įspėja jus apsilankę žinomoje sukčiavimo svetainėje.Viskas, ką jie gali padaryti, yra įspėti jus, kai apsilankote žinomoje sukčiavimo svetainėje arba gaukite žinomą apgaulingą el. Laišką, ir jie nežino apie visas sukčiavimo svetaines ar el. Laiškus. Iš esmės jums reikia apsisaugoti - saugumo programos gali tik šiek tiek padėti.
Gera idėja yra įtarti, kad elgiasi su privačių duomenų prašymu ir visomis kitomis priemonėmis, kurios galėtų būti socialinės inžinerijos išpuolis. Įtartina ir atsargiai padės apsaugoti jus ir internete, ir neprisijungus.
