5 Typer av Social Engineering-Angrep
Social engineering svindel har pågått i mange år, og ennå, og vi fortsetter å falle for dem hver eneste dag. Dette er på grunn av den overveldende mangel på cybersecurity tilgjengelig opplæring til ansatte i organisasjoner, store og små. I et forsøk på å spre bevissthet om denne taktikken, og kjempe tilbake, her er en rask oversikt over vanlige social engineering svindel., Leverandører av administrerte tjenester (MSPs) ha en mulighet til å utdanne sine små og mellomstore bedrifter kunder med å lære å identifisere disse angrepene, noe som gjør unngå trusler som ransomware mye lettere.
Phishing
Phishing er en ledende form av social engineering-angrep som er vanligvis gitt i form av en e-post, chat, web annonsen eller nettstedet som har blitt designet for å etterligne et ekte system, person eller organisasjon. Phishing-meldinger er utformet for å levere en følelse av at det haster eller frykt med målet om å sikre en sluttbruker har sensitive data., En phishing-melding kan komme fra en bank, regjeringen eller et stort selskap. Kallet til handlinger varierer. Noen spør sluttbrukeren å «bekrefte» login informasjon på en konto og inkluderer en spotte-innlogging side komplett med logoer og merkevarebygging for å se legitime. Noen hevder at sluttbrukeren er «vinneren» av en stor premie eller et lotteri, og be om tilgang til en bankkonto i å levere gevinster. Noen be for veldedige donasjoner (og gi ledninger instruksjoner) etter en naturlig katastrofe eller tragedie. Et vellykket angrep ofte kulminerer i tilgang til systemer og tapte data., Organisasjoner av alle størrelser, bør du vurdere å sikkerhetskopiere forretningskritiske data med en kontinuitet og disaster recovery løsning for å gjenopprette fra slike situasjoner.
Egning
Egning, lik phishing, innebærer å tilby noe fristende til en sluttbruker, i bytte for deg innloggingsinformasjon for eller private data., «Agnet» kommer i mange former, både digitalt, for eksempel en musikk eller film nedlasting på et node-til-node-området, og fysisk, for eksempel en bedrifts merket flash-stasjon merket «Executive Lønn Oppsummering Q3» som er til venstre ut på et skrivebord for en sluttbruker å finne. Når agn er lastet ned eller brukt, skadelig programvare blir levert direkte til sluttbrukere system og hacker er i stand til å få til å fungere.
Quid Pro Quo
Lik egning, quid pro quo innebærer en hacker ber om utveksling av kritiske data eller påloggingsinformasjon i bytte for en tjeneste., For eksempel, en sluttbruker kan få en telefon fra en hacker som poserte som en teknisk ekspert, og tilbyr kostnadsfri DET hjelp eller teknologiske forbedringer i bytte for påloggingsinformasjon. Et annet vanlig eksempel er at en hacker, stille som en forsker, ber om tilgang til bedriftens nettverk som en del av et eksperiment i bytte for $100. Hvis et tilbud høres for godt til å være sant, er det sannsynligvis er quid pro quo.
Piggybacking
Piggybacking, også kalt tailgating, er når en uautorisert person fysisk følger en autorisert person i en begrenset bedriftens område eller system., En prøvd-og-sant metode for piggybacking er når en hacker som kaller ut til en ansatt for å holde en dør åpen for dem som de har glemt sitt ID-kort. En annen metode som innebærer at en person ber om en ansatt til å «låne» hans eller hennes laptop for et par minutter, hvor de kriminelle er i stand til raskt å installere ondsinnet programvare.,
Pretexting
Pretexting, den menneskelige tilsvarende phishing, er når en hacker skaper en falsk følelse av tillit mellom seg selv og sluttbrukeren ved å utgi seg for å være en kollega eller en figur av myndighet kjente til sluttbruker for å få tilgang til å logge inn informasjon. Et eksempel på denne typen svindel er en e-post til en ansatt fra hva som synes å være leder for IT-støtte eller en chat-melding fra en forsker som hevder å være utføre en konsernrevisjon., Pretexting er svært effektive som det reduserer menneskelige forsvar mot phishing ved å skape forventning om at noe er lovlig og trygt å samhandle med. Pretexting e-post er spesielt vellykket i å få tilgang til passord og business data som etterlignere kan virke legitimt, så det er viktig å ha en tredjeparts backup leverandør
For alle ansatte til å være klar over de ulike former for sosial utvikling er avgjørende for å sikre bedriftens cybersecurity., Hvis brukerne vet de viktigste egenskapene til disse angrepene, er det mye mer sannsynlig at de kan unngå å falle for dem.
Bortsett fra utdanning og bevissthet, det er andre måter å redusere risikoen for å bli hacket. Ansatte bør få beskjed om ikke å åpne e-post, eller klikk på lenker fra ukjente kilder. Datamaskiner bør aldri bli delt med noen, ikke engang for et øyeblikk. Som standard, alle selskapets stasjonære pcer, bærbare pcer og mobile enheter skal låses automatisk når vært inaktiv i lengre enn fem minutter (eller mindre)., Til slutt, sørge for at din bedrift er villig til å raskt gjenopprette fra denne typen angrep i tilfelle en arbeidstaker som faller som offer for en av disse ordningene. Mennesker er mennesker, tross alt. Ved å utnytte en solid løsning for sikkerhetskopiering og gjenoppretting, alle kan være lett.