5 tipuri de atacuri de inginerie socială
escrocherii de inginerie socială au fost întâmplă de ani de zile și totuși, vom continua să scadă pentru ei în fiecare zi. Acest lucru se datorează lipsei copleșitoare de formare în domeniul securității cibernetice disponibilă angajaților organizațiilor mari și mici. Într-un efort de a răspândi conștientizarea acestei tactici și de a lupta înapoi, iată o imagine de ansamblu rapidă a înșelătoriilor comune de inginerie socială., Furnizorii de servicii gestionate (MSP) au oportunitatea de a-și educa clienții de afaceri mici și mijlocii pentru a învăța să identifice aceste atacuri, făcând mult mai ușoară evitarea amenințărilor precum ransomware.Phishing este o formă de vârf de atac de inginerie socială, care este de obicei livrat sub forma unui e-mail, chat, anunț web sau site web care a fost conceput pentru a se da drept un sistem real, persoană sau organizație. Mesajele de Phishing sunt create pentru a oferi un sentiment de urgență sau frică, cu scopul final de a capta datele sensibile ale unui utilizator final., Un mesaj de phishing ar putea veni de la o bancă, guvern sau o corporație majoră. Apelul la acțiuni variază. Unii solicită utilizatorului final să” verifice ” informațiile de conectare ale unui cont și să includă o pagină de conectare batjocorită, completată cu logo-uri și branding, pentru a părea legitimă. Unii susțin că utilizatorul final este „câștigătorul” unui mare premiu sau loterie și solicită accesul la un cont bancar în care să livreze câștigurile. Unii cer donații caritabile (și oferă instrucțiuni de cablare) după un dezastru natural sau o tragedie. Un atac de succes culminează adesea cu accesul la sisteme și datele pierdute., Organizațiile de toate dimensiunile ar trebui să ia în considerare copierea de rezervă a datelor critice pentru afaceri cu o soluție de continuitate a afacerii și recuperare în caz de dezastru pentru a se recupera din astfel de situații.
Chinuirea
Chinuirea, similar cu phishing, implică oferind ceva ispititor pentru un utilizator final, în schimbul de informații de conectare sau date private., „Momeala „vine în mai multe forme, atât digitale, cum ar fi o descărcare de muzică sau film pe un site peer-to-peer, cât și fizice, cum ar fi o unitate flash de marcă corporativă etichetată” rezumat salarial Executiv Q3 ” care este lăsat pe un birou pentru un utilizator final pentru a găsi. Odată ce momeala este descărcată sau utilizată, software-ul rău intenționat este livrat direct în sistemul utilizatorilor finali, iar hackerul este capabil să ajungă la lucru.Similar cu baiting, quid pro quo implică un hacker care solicită schimbul de date critice sau acreditări de conectare în schimbul unui serviciu., De exemplu, un utilizator final ar putea primi un apel telefonic de la hacker care, pozat ca expert în tehnologie, oferă asistență IT gratuită sau îmbunătățiri tehnologice în schimbul acreditărilor de conectare. Un alt exemplu comun este un hacker, care se prezintă ca cercetător, solicită accesul la rețeaua companiei ca parte a unui experiment în schimbul a 100 de dolari. Dacă o ofertă sună prea bine pentru a fi adevărată, probabil este quid pro quo.Piggybacking, de asemenea, numit tailgating, este atunci când o persoană neautorizată urmează fizic o persoană autorizată într-o zonă sau sistem corporativ restricționat., O metodă încercată și adevărată de piggybacking este atunci când un hacker cheamă la un angajat să țină o ușă deschisă pentru ei, deoarece și-au uitat cartea de identitate. O altă metodă implică o persoană care solicită unui angajat să-și” împrumute ” laptopul pentru câteva minute, timp în care criminalul este capabil să instaleze rapid software rău intenționat.,
Pretexting
Pretexting, echivalentul uman al phishing-ului, este atunci când un hacker creează un fals sentiment de încredere între el și utilizatorul final, dându-se drept un coleg sau o figură de autoritate bine cunoscută unui utilizator final pentru a avea acces la informațiile de conectare. Un exemplu de acest tip de înșelătorie este un e-mail către un angajat din ceea ce pare a fi șeful suportului IT sau un mesaj de chat de la un investigator care pretinde că efectuează un audit corporativ., Pretextul este foarte eficient, deoarece reduce apărarea umană la phishing, creând speranța că ceva este legitim și sigur pentru a interacționa. Pretexting e-mailuri sunt deosebit de succes în a obține acces la parolele și datele de afaceri ca imitatori poate părea legitime, deci, este important de a avea un al treilea-petrecere de rezervă provider
Pentru toți angajații să fie conștienți de diferitele forme de inginerie socială este esențială pentru asigurarea corporative de securitate cibernetică., Dacă utilizatorii cunosc principalele caracteristici ale acestor atacuri, este mult mai probabil să poată evita căderea pentru ei.în afară de educație și conștientizare, există și alte modalități de a reduce riscul de a fi hacked. Angajații ar trebui să fie instruiți să nu deschidă e-mailuri sau să facă clic pe link-uri din surse necunoscute. Calculatoarele nu ar trebui să fie partajate cu nimeni, chiar și pentru un moment. În mod implicit, toate desktopurile, laptopurile și dispozitivele mobile ale companiei ar trebui să se blocheze automat atunci când sunt lăsate la ralanti mai mult de cinci minute (sau mai puțin)., În cele din urmă, asigurați-vă că afacerea dvs. este pregătită să se recupereze rapid de la acest tip de atac în cazul în care un angajat cade victimă uneia dintre aceste scheme. Oamenii sunt oameni la urma urmei. Prin utilizarea unei soluții solide de backup și recuperare, toată lumea se poate odihni ușor.