5 típusú Social Engineering támadások

0 Comments

Social engineering csalások már folyik évek óta, mégis, továbbra is esik nekik minden egyes nap. Ez annak köszönhető, hogy a kiberbiztonsági képzés túlnyomó része a nagy és kicsi szervezetek alkalmazottai számára elérhető. Annak érdekében, hogy elterjedt a tudatosság ezt a taktikát, és harcolni vissza, itt van egy gyors áttekintést a közös szociális mérnöki csalások., A felügyelt szolgáltatóknak (MSP-knek) lehetősége van arra, hogy kis-és középvállalkozói ügyfeleiket oktassák arra, hogy megtanulják azonosítani ezeket a támadásokat, így sokkal könnyebbé téve az olyan fenyegetések elkerülését, mint a ransomware.

adathalászat

Az adathalászat a társadalommérnöki támadás egyik vezető formája, amelyet általában e-mail, csevegés, webes hirdetés vagy weboldal formájában szállítanak, amelyet valódi rendszer, személy vagy szervezet megszemélyesítésére terveztek. Az adathalász üzeneteket úgy alakították ki, hogy sürgősség vagy félelem érzetét keltsék a végfelhasználó érzékeny adatainak rögzítésével., Az adathalász üzenet egy banktól, a kormánytól vagy egy nagyvállalattól származhat. A cselekvésre való felhívás változó. Néhány kérni a végfelhasználó számára, hogy “ellenőrizze” a bejelentkezési információk a számlát tartalmaz kigúnyolta-up login oldalt teljes logók, branding, hogy nézd jogos. Egyesek azt állítják, hogy a végfelhasználó a fődíj vagy a lottó” nyertese”, és hozzáférést kér egy bankszámlához, amelyen a nyereményeket kézbesítik. Vannak, akik természeti katasztrófa vagy tragédia után jótékonysági adományokat kérnek (és vezetékezési utasításokat adnak). A sikeres támadás gyakran a rendszerekhez való hozzáféréssel és az elveszett adatokkal zárul., Bármilyen méretű szervezet érdemes biztonsági mentést kritikus üzleti adatok üzleti folytonosság, illetve a katasztrófa-helyreállítási megoldás, hogy visszaszerezze az ilyen helyzetekben.

Csali

Csali, hasonló adathalászat, kínálnak valami csábító, hogy egy végfelhasználó, cserébe bejelentkezési adatokat, vagy személyes adatok., A ” csali “sokféle formában jön létre, mind digitális, például egy zene vagy film letöltése egy peer-to-peer webhelyen, mind fizikai, például egy vállalati márkás flash meghajtó, amelynek címe:” vezetői fizetés összefoglalása Q3″, amelyet egy végfelhasználó számára az asztalon hagynak ki. A csali letöltése vagy használata után a rosszindulatú szoftverek közvetlenül a végfelhasználói rendszerbe kerülnek, a hacker pedig képes dolgozni.

quid pro Quo

a csalihoz hasonlóan a quid pro quo magában foglalja a hackert, aki kritikus adatok vagy bejelentkezési adatok cseréjét kéri egy szolgáltatásért cserébe., Például egy végfelhasználó telefonhívást kaphat a hackertől, aki technológiai szakértőként Ingyenes informatikai segítséget vagy technológiai fejlesztéseket kínál a bejelentkezési hitelesítő adatokért cserébe. Egy másik gyakori példa egy hacker, aki kutatóként jelent meg, hozzáférést kér a vállalat hálózatához egy kísérlet részeként, 100 dollárért cserébe. Ha egy ajánlat túl jól hangzik, hogy igaz legyen, valószínűleg quid pro quo.

Piggybacking

Piggybacking, más néven tailgating, az, amikor egy illetéktelen személy fizikailag követi a meghatalmazott személyt egy korlátozott vállalati területre vagy rendszerre., Az egyik kipróbált módszer a piggybacking az, amikor egy hacker felhívja az alkalmazottat, hogy tartsa nyitva az ajtót számukra, mivel elfelejtették a személyi igazolványukat. Egy másik módszer magában foglalja azt a személyt, aki arra kéri a munkavállalót, hogy néhány percig “kölcsönözze” laptopját, amelynek során a bűnöző gyorsan telepíthet rosszindulatú szoftvert.,

Pretexting

Pretexting, az adathalászat emberi megfelelője, amikor egy hacker hamis bizalomérzetet hoz létre egymás és a végfelhasználó között azáltal, hogy egy végfelhasználó számára jól ismert munkatársat vagy hatóságot alakít ki annak érdekében, hogy hozzáférjen a bejelentkezési információkhoz. Egy példa az ilyen típusú átverés egy e-mailt, hogy egy alkalmazott, amit úgy tűnik, hogy a fejét informatikai támogatás vagy egy chat üzenetet egy nyomozó, aki azt állítja, hogy végre egy vállalati ellenőrzés., A Pretexting rendkívül hatékony, mivel csökkenti az emberi védelmet az adathalászatra azáltal, hogy elvárja, hogy valami legitim és biztonságos kölcsönhatásba lépjen. Pretexting e-maileket különösen sikeres a hozzáférés jelszavait, illetve az üzleti adatok, mint hasonmásai úgy tűnik, jogos, ezért fontos, hogy van egy harmadik fél biztonsági szolgáltató

minden alkalmazott Számára, hogy tisztában legyenek a különféle formái, a social engineering alapvető fontosságú annak biztosítása, vállalati számítógépes biztonság., Ha a felhasználók ismerik ezeknek a támadásoknak a fő jellemzőit, sokkal valószínűbb, hogy elkerülhetik őket.

az oktatáson és a tudatosságon kívül más módon is csökkenthető a feltörés kockázata. Az alkalmazottakat arra kell utasítani, hogy ne nyissanak e-maileket, vagy ne kattintsanak ismeretlen forrásokból származó linkekre. A számítógépeket soha nem szabad megosztani senkivel, még egy pillanatra sem. Alapértelmezés szerint minden vállalati asztali számítógépnek, laptopnak és mobileszköznek automatikusan zárolnia kell, ha öt percnél hosszabb ideig (vagy kevesebb ideig) tétlen marad., Végül győződjön meg arról, hogy vállalkozása készen áll arra, hogy gyorsan felépüljön az ilyen típusú támadásból, ha egy alkalmazott e rendszerek egyikének áldozatává válik. Az emberek végül is emberek. A szilárd biztonsági mentési és helyreállítási megoldás kihasználásával mindenki könnyedén pihenhet.


Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük