5 typer av Social Ingenjörsattacker
social ingenjörskonst bedrägerier har pågått i flera år och ändå fortsätter vi att falla för dem varje dag. Detta beror på den överväldigande bristen på cybersäkerhetsutbildning som är tillgänglig för anställda i organisationer stora och små. I ett försök att sprida medvetenheten om denna taktik och slå tillbaka, här är en snabb översikt över gemensamma social ingenjörskonst bedrägerier., Managed service providers (MSPs) har möjlighet att utbilda sina små och medelstora företagskunder att lära sig att identifiera dessa attacker, vilket gör att man undviker hot som ransomware mycket lättare.
Phishing
Phishing är en ledande form av social ingenjörsattack som vanligtvis levereras i form av en e-post, chatt, webbannons eller webbplats som har utformats för att imitera ett verkligt system, en person eller en organisation. Phishing meddelanden är utformad för att leverera en känsla av brådska eller rädsla med slutmålet att fånga en slutanvändares känsliga data., Ett phishing-meddelande kan komma från en bank, regeringen eller ett stort företag. Uppmaningen till åtgärder varierar. Vissa ber slutanvändaren att ”verifiera” sin inloggningsinformation för ett konto och inkludera en mocked-up inloggningssida komplett med logotyper och branding för att se legitim ut. Vissa hävdar att slutanvändaren är ”vinnaren” av ett stort pris eller lotteri och begär tillgång till ett bankkonto för att leverera vinsterna. Vissa ber om välgörenhetsdonationer (och ger ledningsinstruktioner) efter en naturkatastrof eller tragedi. En lyckad attack kulminerar ofta i tillgång till system och förlorade data., Organisationer av alla storlekar bör överväga att säkerhetskopiera affärskritiska data med en kontinuitet i verksamheten och katastrofåterställningslösning för att återhämta sig från sådana situationer.
Baiting
Baiting, som liknar phishing, innebär att man erbjuder något som lockar en slutanvändare i utbyte mot inloggningsinformation eller privata data., Den ”bete” kommer i många former, både digital, såsom en musik eller film nedladdning på en peer-to-peer webbplats, och fysiska, såsom ett företags märkesvaror flash-enhet märkt ”Executive lön sammanfattning Q3” som lämnas ut på ett skrivbord för en slutanvändare att hitta. När betet laddas ner eller används, skadlig programvara levereras direkt till slutanvändarsystemet och hackaren kan komma till jobbet.
Quid Pro Quo
i likhet med baiting innebär quid pro quo en hacker som begär utbyte av kritiska data eller inloggningsuppgifter i utbyte mot en tjänst., Till exempel kan en slutanvändare få ett telefonsamtal från hackaren som, som en teknikexpert, erbjuder gratis It-hjälp eller tekniska förbättringar i utbyte mot inloggningsuppgifter. Ett annat vanligt exempel är en hacker, som poserar som forskare, ber om tillgång till företagets nätverk som en del av ett experiment i utbyte mot $100. Om ett erbjudande låter för bra för att vara sant, är det förmodligen quid pro quo.
Piggybacking
Piggybacking, även kallad tailgating, är när en obehörig person fysiskt följer en auktoriserad person till ett begränsat företagsområde eller system., En beprövad metod för piggybacking är när en hacker ringer ut till en anställd för att hålla en dörr öppen för dem som de har glömt sitt ID-kort. En annan metod innebär att en person ber en anställd att ”låna” sin bärbara dator i några minuter, under vilken brottslingen snabbt kan installera skadlig programvara.,
Pretexting
Pretexting, den mänskliga motsvarigheten till phishing, är när en hacker skapar en falsk känsla av förtroende mellan sig själva och slutanvändaren genom att imitera en medarbetare eller en myndighet som är välkänd för en slutanvändare för att få tillgång till inloggningsinformation. Ett exempel på denna typ av bluff är ett e-postmeddelande till en anställd från vad som verkar vara chef för IT-stöd eller ett chattmeddelande från en utredare som påstår sig utföra en företagsrevision., Pretexting är mycket effektiv eftersom det minskar mänskliga försvar till phishing genom att skapa förväntan att något är legitimt och säkert att interagera med. Pretexting e-postmeddelanden är särskilt framgångsrika i att få tillgång till lösenord och affärsdata som imitatörer kan verka legitima, så det är viktigt att ha en tredje part backup leverantör