Wat is Social Engineering? [MakeUseOf Explains]

U kunt de sterkste en duurste firewall in de branche installeren. Hoe werkt een firewall? [MakeUseOf Explains] Hoe werkt een firewall? [MakeUseOf Explains] Er zijn drie soorten software die, naar mijn mening, de ruggengraat vormen van een degelijke beveiligingsconfiguratie op uw pc thuis. Dit zijn het antivirusprogramma, de firewall en de wachtwoordbeheerder. Van deze, de ... Lees meer. U kunt werknemers informeren over basisbeveiligingsprocedures en het belang van het kiezen van sterke wachtwoorden. Hoe kunt u sterke wachtwoorden maken die u gemakkelijk kunt onthouden? Hoe u sterke wachtwoorden kunt maken die u gemakkelijk kunt onthouden Meer lezen. U kunt de serverruimte zelfs vergrendelen - maar hoe beschermt u een bedrijf tegen de dreiging van social engineering-aanvallen??

Vanuit een social engineering perspectief zijn werknemers de zwakke schakel in de keten van beveiligingsmaatregelen. Een beveiligings-make-over voor uw WordPress-site halen met WebsiteDefender Een beveiligings-make-over voor uw WordPress-site krijgen Met WebsiteDefender Met steeds meer populariteit van Wordpress zijn beveiligingsproblemen nog nooit zo relevant geweest - Maar hoe kan een beginnende gebruiker of gemiddelde gebruiker op de hoogte blijven van andere dingen dan eenvoudigweg op de hoogte blijven? Zou je zelfs ... Read More in place. Mensen zijn niet alleen vatbaar voor menselijke fouten, maar ook gericht op aanvallen van individuen in de hoop hen te overtuigen om gevoelige informatie op te geven. Vandaag gaan we enkele van de sociale technieken verkennen die worden gebruikt om te misleiden en te bedriegen.

De grondbeginselen van Social Engineering

Social engineering is het manipuleren van een persoon om toegang te krijgen tot gevoelige gegevens door te baseren op de menselijke basispsychologie. Het verschil tussen social engineering-aanvallen en, bijvoorbeeld, een hacker die probeert toegang te krijgen tot een website, is de keuze van de gebruikte tools. Een hacker kan op zoek gaan naar een zwak punt in beveiligingssoftware of een kwetsbaarheid op de server, terwijl een sociaal technicus sociale technieken gebruikt die het slachtoffer dwingen om vrijelijk informatie of toegang te geven.

Deze tactieken zijn niets nieuws en bestaan ​​al zolang mensen besloten dat het bedriegen van elkaar een acceptabele manier was om de kost te verdienen. Nu de samenleving is geëvolueerd om te vertrouwen op de directe aard van internet en on-demand informatie, worden meer mensen dan ooit op grote schaal blootgesteld aan social engineering-aanvallen.

Veelal zal de aanvaller niet geconfronteerd worden met zijn of haar slachtoffer, in plaats daarvan vertrouwt hij op e-mail, IM en telefoontjes om de aanval uit te voeren. Er zijn verschillende technieken die algemeen worden beschouwd als social engineering-aanvallen, dus laten we ze in meer detail bekijken.

Social Engineering Techniques uitgelegd

phishing

Veruit een van de bekendere technieken dankzij de bekendheid van e-mailproviders als Google en Yahoo, phishing is een vrij eenvoudig en veel gebruikt voorbeeld van social engineering..

Meestal uitgevoerd via e-mail, deze techniek is een vorm van fraude waarbij het slachtoffer ervan wordt overtuigd dat u op legitieme wijze gevoelige informatie aanvraagt. Een van de meest voorkomende soorten phishing-aanvallen is het aanvragen van slachtoffers “verifiëren” hun bankrekening of PayPal-informatie Hoe u uw Paypal-account veilig kunt houden tegen hackers Hoe u uw Paypal-account veilig kunt houden tegen hackers, lees meer om te voorkomen dat hun accounts worden opgeschort. De aanvaller of phisher koopt vaak een domein dat is ontworpen om een ​​officiële bron te imiteren. Verschillen in de URL geven het spel vaak weg.

Online phishing wordt gemakkelijker te herkennen en te melden dankzij de filtertechnieken die worden gebruikt door e-mailproviders. Het is ook een goede gewoonte om gevoelige of financiële informatie nooit per e-mail openbaar te maken - geen legitieme organisatie zal dit ooit vragen - en de URL's nogmaals te controleren op legitimiteit voordat ze belangrijke inloggegevens invoeren.

Telefonische technieken of “Vishing”

Interactieve stemrespons (IVR) of vishing (stem-phishing) omvat het gebruik van vergelijkbare technieken als die hierboven zijn beschreven via een telefoon- of een VoIP-interface. Er zijn een aantal verschillende vishing-technieken en ze zijn:

• Rechtstreeks het slachtoffer oproepen met behulp van een geautomatiseerde “uw creditcard is gestolen” of “dringende actie is vereist” oplichting en vervolgens aanvragen “veiligheidsverificatie” om de normale toegang tot het account te herstellen.
• Het slachtoffer e-mailen, hem opdragen om vervolgens een telefoonnummer te bellen en accountgegevens te verifiëren voordat toegang wordt verleend.
• Het gebruik van faux interactieve telefoontechnieken of directe menselijke interactie om informatie te extraheren, b.v.. “druk op 1 voor ... ” of “voer uw creditcardnummer in na de pieptoon”.
• Het slachtoffer oproepen, overtuigen van een beveiligingsrisico op hun computer en hen instrueren om software te kopen of te installeren (vaak malware of externe desktopsoftware) om het probleem op te lossen.

Ik heb persoonlijk de ontvangende kant van de softwaretelefoon oplichterij gehad en hoewel ik nergens voor viel, zou ik niet verbaasd zijn als iemand dat deed dankzij de toegepaste scare-tactieken. Mijn ontmoeting betrof een “Microsoft-medewerker” en sommige virussen die niet bestonden. Je kunt hier alles over lezen. Koud bellen Computertechnici: val niet voor een scam als deze [Zwendelalarm!] Koud bellen Computertechnici: val niet voor een scam zoals dit [Zwendelalarm!] Je hebt waarschijnlijk gehoord de term "niet oplichter een oplichter", maar ik ben altijd al dol geweest op "doe geen scam een ​​tech schrijver" zelf. Ik zeg niet dat we onfeilbaar zijn, maar als jouw zwendel internet, een Windows ... Lees meer omvat .

baiting

Deze specifieke techniek proeft op een van de grootste zwakheden van de mensheid - nieuwsgierigheid. Door opzettelijk fysieke media achter te laten - of het nu een diskette is (onwaarschijnlijk tegenwoordig), optische media of (meestal) een USB-stick ergens waar het waarschijnlijk ontdekt zal worden, gaat de scammer gewoon achterover en wacht tot iemand gebruik maakt van het apparaat.

Veel pc's “autorun” USB-apparaten, dus wanneer malware zoals trojans of keyloggers op USB worden gebundeld, kan een machine worden geïnfecteerd zonder dat het slachtoffer zich dit realiseert. Oplichters verkleden zulke apparaten vaak met officiële logo's of labels die mogelijk interesse wekken bij potentiële slachtoffers.

smoes

Deze techniek houdt het overtuigen van het slachtoffer in het opgeven van informatie met behulp van een scenario uitgevonden. Het scenario is meestal afgeleid van informatie die over het slachtoffer is verzameld om hen ervan te overtuigen dat de oplichter in feite een gezaghebbend of officieel figuur is.

Afhankelijk van de informatie waarnaar de oplichter op zoek is, kan het voorwendsel bestaan ​​uit elementaire persoonlijke informatie zoals een thuisadres of geboortedatum, tot meer specifieke informatie, zoals transactiebedragen op een bankrekening of kosten op een factuur..

bumperkleven

Een van de weinige technieken die hier worden opgesomd waarbij de oplichter fysiek betrokken is bij de aanval, is dat bumperkleven de praktijk beschrijft om zonder autorisatie toegang te krijgen tot een beperkt gebied door een andere (legitieme) werknemer naar het gebied te volgen. Voor veel oplichters betekent dit dat er geen toegangskaarten of -sleutels hoeven te worden gekocht en dat er sprake is van een potentiële ernstige inbreuk op de beveiliging van het betrokken bedrijf.

Deze tactiek gaat uit van algemene beleefdheid, zoals het houden van een deur voor iemand en is zo'n probleem geworden dat veel werkplekken hebben genomen om het probleem recht te tackelen met mededelingen over ingangen, zoals de aankondiging die Apple op de bovenstaande afbeelding gebruikt..

Andere technieken

Er zijn een paar andere technieken in verband met social engineering, zoals het iets-voor-iets “quid pro quo” techniek vaak gebruikt tegen kantoorpersoneel. Bij Quid pro quo gaat het om een ​​aanvaller die zich voorstelt als een medewerker van een technische ondersteuning die een oproep beantwoordt. De aanvaller houdt “terugroepen” totdat hij of zij iemand vindt die echt hulp nodig heeft, het aanbiedt maar tegelijkertijd andere informatie extraheert of het slachtoffer wijst op schadelijke softwaredownloads.

Een andere social engineering techniek staat bekend als de “afleidingsdiefstal” en is niet echt geassocieerd met computers, internet of telefoon phishing. In plaats daarvan is het een gebruikelijke techniek die wordt gebruikt om legitieme koeriers ervan te overtuigen dat een levering ergens anders moet worden ontvangen.

Conclusie

Als u vermoedt dat een persoon u probeert te bedotten met een scam op het gebied van social engineering, moet u dit melden bij de autoriteiten en (indien van toepassing) uw werkgever. Technieken zijn niet beperkt tot wat in dit artikel is genoemd - er worden voortdurend nieuwe zwendel en bedriegerij bedacht - dus blijf op uw hoede, ondervraag alles en val niet onder het mom van een fraudeur.

De beste verdediging tegen deze aanvallen is kennis. Informeer uw vrienden en familie daarom dat mensen deze tactieken tegen u kunnen en zullen gebruiken.

Heb je enige inlevingen gehad met sociale ingenieurs? Heeft uw bedrijf het personeel opgeleid over de gevaren van social engineering? Voeg je gedachten en vragen toe in de reacties hieronder.

Beeldmateriaal: Wolf in Sheep's Clothing (Shutterstock), NetQoS Symposium USB Stick (Michael Coté), Papiervernietiger (Sh4rp_i)

Ontdek meer over: Phishing, Scams.