5 eri Social Engineering Hyökkäyksiä
Social engineering huijauksia on jatkunut jo vuosia ja vielä, jatkamme syksyllä niitä joka ikinen päivä. Tämä johtuu siitä, että suurten ja pienten organisaatioiden työntekijöille ei ole tarjolla kyberturvallisuuskoulutusta. Pyrkiessään levittämään tietoisuutta tästä taktiikasta ja taistelemaan vastaan, tässä on nopea yleiskuva yhteisistä yhteiskuntatieteellisistä huijauksista., Palveluntarjoajille (Msp) on mahdollisuus kouluttaa niiden pienten ja keskisuurten yritysten asiakkaat voivat oppia tunnistamaan näitä hyökkäyksiä, jolloin vältetään uhkia, kuten ransomware paljon helpompaa.
Phishing
Phishing on johtava muoto social engineering-hyökkäys, joka on yleensä toimitetaan muodossa sähköpostitse, chat, web-mainos tai sivusto, joka on suunniteltu matkia todellinen järjestelmä, henkilö tai organisaatio. Tietojenkalasteluviestit on muotoiltu antamaan kiireellisyyden tai pelon tunnetta, jonka tavoitteena on loppukäyttäjän arkaluonteisten tietojen tallentaminen., Tietojenkalasteluviesti saattaa tulla pankilta, hallitukselta tai suuryhtiöltä. Kehotus toimiin vaihtelee. Jotkut kysyvät loppukäyttäjälle ”tarkistaa” heidän kirjautumistiedot tilin, ja niissä on pilkattu-up kirjautuminen sivun täydellinen logot ja brändäys näyttämään lailliselta. Jotkut väittävät loppukäyttäjän olevan pääpalkinnon tai loton” voittaja ” ja pyytävät pääsyä pankkitilille, jolla voitot toimitetaan. Jotkut pyytävät hyväntekeväisyyslahjoituksia (ja antavat johdotusohjeita) luonnonkatastrofin tai tragedian jälkeen. Onnistunut hyökkäys kulminoituu usein järjestelmiin pääsyyn ja tietojen katoamiseen., Kaikenkokoisten organisaatioiden tulisi harkita liiketoimintakriittisten tietojen tukemista liiketoiminnan jatkuvuudella ja katastrofien palautumisratkaisulla tällaisista tilanteista toipumiseksi.
Syötti
Tarttumisprosentti, samanlainen phishing, liittyy tarjota jotain houkuttelevia loppukäyttäjälle, vastineeksi kirjautumistiedot tai yksityisiä tietoja., ”Syötti” tulee monissa muodoissa, sekä digitaaliset, kuten musiikki-tai elokuva ladata peer-to-peer-sivuston, ja fyysinen, kuten yrityksen merkkituotteiden flash-asema lukee ”Executive Palkka Yhteenveto Q3”, joka on jäljellä ulos pöydälle loppukäyttäjälle löytää. Kun syötti on ladattu tai käytetty, haittaohjelmat toimitetaan suoraan loppukäyttäjien järjestelmään ja hakkeri pääsee töihin.
Quid Pro Quo
Samanlainen tarttumisprosentti, quid pro quo liittyy hacker pyytää vaihtoa kriittiset tiedot tai kirjautumistiedot vastineeksi palvelun., Esimerkiksi, käyttäjä voi vastaanottaa puhelun hakkeri, joka esitti teknologia-asiantuntija, tarjoaa ilmaisen SITÄ apua ja teknologian parannuksia vastineeksi kirjautumistiedot. Toinen yleinen esimerkki on hakkeri, poseeraa kuin tutkija, pyytää pääsyä yrityksen verkkoon osana kokeilu vastineeksi $100. Jos tarjous kuulostaa liian hyvältä ollakseen totta, se on luultavasti quid pro quo.
Yrittävät
Piggybacking, jota kutsutaan myös perässä, kun luvaton henkilö fyysisesti seuraa valtuutettu henkilö tulee rajoittaa yritysten alue tai järjestelmä., Yksi kokeiltu ja totta menetelmä piggybacking on, kun hakkeri kutsuu työntekijän pitää ovea auki heille, koska he ovat unohtaneet niiden ID-kortti. Toisessa menetelmässä henkilö pyytää työntekijää ”lainaamaan” läppäriään muutamaksi minuutiksi, jonka aikana rikollinen pystyy asentamaan nopeasti haittaohjelmia.,
Pretexting
Pretexting, ihmisen vastaa phishing, on, kun hakkeri luo väärän välisen luottamuksen itsensä ja loppukäyttäjän esitittekö co-työntekijä tai auktoriteetin tunnettu loppukäyttäjälle jotta saada kirjautumistiedot. Esimerkki tämän tyyppinen huijaus on sähköposti työntekijälle, mikä näyttää olevan johtaja IT-tuki tai chat-viestin tutkija, joka väittää olevansa suorittaa yrityksen tilintarkastuksen., Teeskentely on erittäin tehokasta, koska se vähentää ihmisten puolustuskykyä tietojenkalasteluun luomalla odotuksen siitä, että jokin on laillista ja turvallista olla vuorovaikutuksessa. Pretexting sähköpostit ovat erityisen onnistunut saada salasanoja ja yrityksen tietoja, kuten impersonators voi tuntua oikeutettua, joten se on tärkeää saada kolmannen osapuolen varmuuskopio provider
kaikkien työntekijöiden olla tietoisia erilaisten social engineering on hyvin tärkeää, jotta varmistetaan yritysten kyberturvallisuus., Jos käyttäjät tietävät näiden iskujen tärkeimmät ominaisuudet, on paljon todennäköisempää, että he voivat välttää lankeamasta niihin.
koulutuksen ja tietoisuuden lisäksi on muitakin keinoja vähentää hakkeroinnin riskiä. Työntekijöitä tulee kehottaa olemaan avaamatta sähköposteja tai klikkaamatta linkkejä tuntemattomista lähteistä. Tietokoneita ei saisi koskaan jakaa kenenkään kanssa edes hetkeksi. Oletuksena kaikkien yrityksen Pöytäkoneet, Kannettavat tietokoneet ja mobiililaitteet pitäisi automaattisesti lukita, kun ne jätetään tyhjäkäynnille yli viiden minuutin ajaksi (tai vähemmän)., Lopuksi varmistaa yrityksesi on valmis nopeasti toipua tällaisesta hyökkäyksestä, jos työntekijä ei uhri yksi näistä järjestelmistä. Ihmiset ovat sittenkin ihmisiä. Hyödyntämällä vankka varmuuskopiointi ja hyödyntämistä ratkaisu, jokainen voi levätä helposti.