Fontos, hogy tisztában legyen a szociális konstrukcióval és figyeljen. A biztonsági programok nem fogják megvédeni Önt a legtöbb szociális tervezési fenyegetéstől, ezért meg kell védenie magát.
Szociális tervezés magyarázata
A hagyományos számítógépes támadások gyakran a számítógép kódjában található biztonsági rést találják. Ha például az Adobe Flash legfrissebb verzióját használja - vagy, isten, a Java-t, amely a Cisco szerint a támadások 91% -át okozta 2013-ban, látogasson el egy rosszindulatú webhelyre és a webhelyre kihasználja a szoftver sérülékenységét a számítógéphez való hozzáférés érdekében. A támadó manipulálja a szoftverben található hibákat, hogy hozzáférjen hozzájuk, és személyes információkat gyűjtsön, talán egy keyloggerrel, amelyet telepítenek.
A társadalomtudományi trükkök különbözőek, mivel inkább pszichológiai manipulációt jelentenek. Más szóval az embereket kihasználják, nem pedig a szoftverüket.
Valószínűleg már hallott már az adathalászatról, ami a szociális tervezés egyik formája. Lehet, hogy kap egy e-mailt, amelyben azt állítja, hogy a bankodból, a hitelkártya-társaságból vagy egy másik megbízható vállalkozásból származik. Eljuttathatják Önt egy hamis weboldalhoz álcázva, hogy valódinak tűnhessenek, vagy kérjenek fel egy rosszindulatú program letöltését és telepítését. De az ilyen szociális tervezési trükköknek nem kell hamis weboldalakat vagy rosszindulatú programokat bevonniuk. Az adathalász e-mail egyszerűen megkérheti, hogy e-mailben válaszoljon privát információkkal. Ahelyett, hogy egy hibát kihasználna egy szoftverben, megpróbálnak kihasználni a normális emberi kölcsönhatásokat. A pajzsos adathalászat még veszélyesebb is lehet, mivel ez egyfajta adathalászat, amely kifejezetten egyénre irányul.
Példák a szociális mérnökökre
Az egyik legnépszerűbb trükk a csevegőszolgáltatásokban és az online játékokban egy olyan fiók regisztrálása volt, amelynek neve "Adminisztrátor", és olyan embereket küldött az ijesztő üzeneteknek, mint a "FIGYELMEZTETÉS: rájöttünk, hogy valaki felhúzza a fiókját, és válaszol a jelszóval a hitelesítéshez." Ha egy cél a jelszavával válaszol, a trükkre esett, és a támadó most már rendelkezik fiók jelszavával.
Ha valaki személyes adatokat tartalmaz Önről, felhasználhatja fiókjainak eléréséhez. Például olyan adatokat, mint a születési dátum, a társadalombiztosítási szám és a hitelkártyaszám, gyakran használják az Ön azonosításához. Ha valaki ilyen információval rendelkezik, kapcsolatba léphet egy vállalkozással, és úgy tesz, mintha te lennél. Ezt a trükköt híres módon használta egy támadó, hogy elérje Sarah Palin Yahoo! Mail fiókot 2008-ban, elegendő személyes adatot küldve, hogy hozzáférjen a számlához a Yahoo! jelszó-visszaállító formáján keresztül. Ugyanez a módszer használható a telefonon keresztül is, ha az üzleti adatokhoz szükséges személyes adatok hitelesítik Önt. Egy támadó, aki valamilyen információt tartalmaz egy céljáról, úgy tesz, mintha azok lennének, és több dolgot is elérhet.
A társadalomtudományi tervezés személyesen is használható. Egy támadó beléphet egy üzletbe, tájékoztatja a titkárat, hogy mérvadó és meggyőző hangnemben egy javító személy, új alkalmazott vagy tűzvédelmi felügyelő, majd kószálozik a csarnokban, és potenciálisan ellopja a bizalmas adatokat vagy a növényi hibákat, hogy vállalati kémkedést hajtson végre. Ez a trükk attól függ, hogy a támadó valaki másként mutatkozik be. Ha egy titkár, egy portás vagy bárki más felelős, nem tesz túl sok kérdést, vagy túl közelről néz ki, akkor a trükk sikeres lesz.
A társadalomtudományi támadások kiterjednek a hamis weboldalak, a csaló e-mailek és a furcsa csevegőüzenetek körére, egészen addig, amíg valaki telefonon vagy személyen megszemélyesíti. Ezek a támadások sokféle formában jönnek létre, de mindegyiknek van egy közös dologja - a pszichológiai trükkől függenek. A társadalomtudományt a pszichológiai manipuláció művészetének nevezték. Ez az egyik fő módja annak, hogy a "hackerek" valójában "hack" számlákat online.
Hogyan lehet elkerülni a szociális tervezést?
A társadalomtudományi ismeretek ismerete segíteni tud a csatában. Gondoljon a kéretlen e-mailekről, csevegőüzenetekről és telefonhívásokról, amelyek személyes adatokat kérnek. Soha ne mutasson pénzügyi információkat vagy fontos személyes adatokat e-mailben. Ne töltsön le potenciálisan veszélyes e-mail mellékleteket, és futtassa azokat, még akkor sem, ha az e-mail azt állítja, hogy fontosak.
Önnek ne kelljen követnie az e-mailben található hivatkozásokat az érzékeny webhelyekre. Ne kattintson például egy olyan e-mailben lévő linkre, amely úgy tűnik, hogy a bankodból származik, és jelentkezzen be. Ez egy hamis adathalász webhelyet visel, amelyet bankja webhelyének tekint, de egy teljesen más URL-címmel. Keresse fel közvetlenül a weboldalt.
Ha gyanús kérelmet kap - például a banktól érkező telefonhívás személyes adatokat kér - kérje közvetlenül a kérés forrását, és kérjen megerősítést. Ebben a példában hívja fel bankját, és kérdezze meg, mit szeretne, nem pedig az információkat nyilvánosságra hozza valakinek, aki azt állítja, hogy a bankja.
Az e-mail programok, webböngészők és biztonsági alkalmazások általában olyan adathalász szűrőket tartalmaznak, amelyek figyelmeztetnek Önt egy ismert adathalász webhelyen.Mindössze annyit tehetnek, hogy figyelmezteti Önt, amikor meglátogat egy ismert adathalász webhelyet vagy ismert phishing e-mailt kap, és nem ismerik az adathalász webhelyeket vagy az e-maileket. A legtöbb esetben az Ön védelmében van, a biztonsági programok csak egy kicsit segítenek.
Jó ötlet az egészséges gyanakvás gyakorlása, amikor magánadatokra irányuló kérésekkel foglalkozik, és bármi mással, ami szociális technikai támadás lehet. A gyanakvás és az óvatosság segít megvédeni Önt online és offline módon.