Wat is Sosiale Ingenieurswese? 11 voorbeelde om voor op te let
INHOUDSOPGAWE
Wat presies is sosiale ingenieurswese, in elk geval?
Sosiale ingenieurswese verwys na die handeling om mense te manipuleer om hul vertroulike inligting te onttrek. Die soort inligting waarna misdadigers soek, kan verskil. Gewoonlik word die individue geteiken vir hul bankbesonderhede of hul rekeningwagwoorde. Misdadigers probeer ook om toegang tot die slagoffer se rekenaar te kry sodat hulle kwaadwillige sagteware installeer. Hierdie sagteware help hulle dan om enige inligting te onttrek wat hulle dalk nodig het.
Misdadigers gebruik maatskaplike ingenieurstaktieke omdat dit dikwels maklik is om 'n persoon uit te buit deur hul vertroue te wen en hulle te oortuig om hul persoonlike besonderhede prys te gee. Dit is 'n geriefliker manier as om direk in iemand se rekenaar in te kap sonder hul medewete.
Sosiale Ingenieursvoorbeelde
Jy sal jouself beter kan beskerm deur ingelig te wees oor die verskillende maniere waarop sosiale ingenieurswese gedoen word.
1. Voorwendsel
Voorwendsel word gebruik wanneer die misdadiger toegang tot sensitiewe inligting van die slagoffer wil verkry vir die uitvoering van 'n kritieke taak. Die aanvaller probeer die inligting bekom deur verskeie versigtig vervaardigde leuens.
Die misdadiger begin deur vertroue met die slagoffer te vestig. Dit kan gedoen word deur hul vriende, kollegas, bankbeamptes, polisie of ander owerhede na te boots wat vir sulke sensitiewe inligting mag vra. Die aanvaller vra hulle 'n reeks vrae met die voorwendsel om hul identiteit te bevestig en versamel persoonlike data in hierdie proses.
Hierdie metode word gebruik om allerhande persoonlike en amptelike besonderhede van 'n persoon te onttrek. Sulke inligting kan persoonlike adresse, sosiale sekerheidsnommers, telefoonnommers, telefoonrekords, bankbesonderhede, personeelvakansiedatums, sekuriteitsinligting wat met besighede verband hou, ensovoorts insluit.
2. Afleiding Diefstal
Dit is 'n soort bedrogspul wat oor die algemeen op koerier- en vervoermaatskappye gerig is. Die misdadiger probeer die teikenmaatskappy mislei deur hulle hul afleweringspakket aan 'n ander afleweringsplek te laat verskaf as wat oorspronklik bedoel is. Hierdie tegniek word gebruik om kosbare goedere wat deur die pos afgelewer word, te steel.
Hierdie bedrogspul kan beide vanlyn en aanlyn uitgevoer word. Die personeel wat die pakkies dra, kan genader word en oortuig word om die aflewering by 'n ander plek af te laai. Aanvallers kan ook toegang tot die aanlyn afleweringstelsel kry. Hulle kan dan die afleweringskedule onderskep en veranderinge daaraan aanbring.
3. phishing
Uitvissing is een van die gewildste vorme van sosiale ingenieurswese. Uitvissing-swendelary behels e-pos en teksboodskappe wat 'n gevoel van nuuskierigheid, vrees of dringendheid by die slagoffers kan skep. Die teks of e-pos spoor hulle aan om op skakels te klik wat na kwaadwillige webwerwe of aanhegsels sal lei wat wanware op hul toestelle sal installeer.
Gebruikers van 'n aanlyndiens kan byvoorbeeld 'n e-pos ontvang wat beweer dat daar 'n beleidsverandering was wat vereis dat hulle hul wagwoorde onmiddellik moet verander. Die pos sal 'n skakel bevat na 'n onwettige webwerf wat identies is aan die oorspronklike webwerf. Die gebruiker sal dan hul rekeningbewyse op daardie webwerf invoer, aangesien dit die wettige een is. By die indiening van hul besonderhede sal die inligting toeganklik wees vir die misdadiger.
4. Spiesphishing
Dit is 'n tipe uitvissing-bedrogspul wat meer gerig is op 'n spesifieke individu of 'n organisasie. Die aanvaller pas hul boodskappe aan op grond van die posposisies, kenmerke en kontrakte wat met die slagoffer verband hou, sodat dit meer eg kan lyk. Spiesvissery verg meer moeite van die misdadiger en kan baie meer tyd neem as gewone uitvissing. Hulle is egter moeiliker om te identifiseer en het 'n beter suksessyfer.
Byvoorbeeld, 'n aanvaller wat probeer uitvissing op 'n organisasie sal 'n e-pos aan 'n werknemer stuur wat die IT-konsultant van die firma naboots. Die e-pos sal geraam word op 'n manier wat presies ooreenstem met hoe die konsultant dit doen. Dit sal outentiek genoeg lyk om die ontvanger te mislei. Die e-pos sal die werknemer vra om hul wagwoord te verander deur aan hulle 'n skakel te verskaf na 'n kwaadwillige webblad wat hul inligting sal opneem en aan die aanvaller stuur.
5. Water-Holing
Die watergat-bedrogspul maak gebruik van betroubare webwerwe wat gereeld deur baie mense besoek word. Die misdadiger sal inligting oor 'n geteikende groep mense insamel om te bepaal watter webwerwe hulle gereeld besoek. Hierdie webwerwe sal dan vir kwesbaarhede getoets word. Met verloop van tyd sal een of meer lede van hierdie groep besmet raak. Die aanvaller sal dan toegang tot die veilige stelsel van hierdie besmette gebruikers kan kry.
Die naam kom van die analogie van hoe diere water drink deur by hul vertroude plekke bymekaar te kom wanneer hulle dors is. Hulle dink nie twee keer daaraan om voorsorgmaatreëls te tref nie. Die roofdiere is bewus hiervan, so hulle wag naby, gereed om hulle aan te val wanneer hul wag af is. Watergate in die digitale landskap kan gebruik word om van die mees verwoestende aanvalle op 'n groep kwesbare gebruikers terselfdertyd te maak.
6. Aas
Soos dit uit die naam blyk, behels aas die gebruik van 'n valse belofte om die slagoffer se nuuskierigheid of hebsug te ontlok. Die slagoffer word in 'n digitale lokval gelok wat die misdadiger sal help om hul persoonlike besonderhede te steel of wanware in hul stelsels te installeer.
Aas kan plaasvind deur beide aanlyn en vanlyn mediums. As 'n vanlyn voorbeeld, kan die misdadiger die aas in die vorm van 'n flash drive laat wat met wanware besmet is op opvallende plekke. Dit kan die hysbak, badkamer, parkeerterrein, ens., van die geteikende maatskappy wees. Die flash drive sal 'n outentieke voorkoms hê, wat die slagoffer dit sal laat neem en in hul werk- of tuisrekenaar plaas. Die flash drive sal dan outomaties wanware na die stelsel uitvoer.
Aanlyn vorme van lokaas kan wees in die vorm van aantreklike en aanloklike advertensies wat slagoffers sal aanmoedig om daarop te klik. Die skakel kan kwaadwillige programme aflaai, wat dan hul rekenaar met wanware sal besmet.
7. Quid Pro Quo
'n quid pro quo-aanval beteken 'n "iets vir iets"-aanval. Dit is 'n variasie van die lokaastegniek. In plaas daarvan om die slagoffers te lok met die belofte van 'n voordeel, beloof 'n quid pro quo-aanval 'n diens as 'n spesifieke aksie uitgevoer is. Die aanvaller bied 'n vals voordeel aan die slagoffer in ruil vir toegang of inligting.
Die mees algemene vorm van hierdie aanval is wanneer 'n misdadiger 'n IT-personeel van 'n maatskappy naboots. Die misdadiger kontak dan die maatskappy se werknemers en bied hulle nuwe sagteware of 'n stelselopgradering aan. Die werknemer sal dan gevra word om hul anti-virus sagteware te deaktiveer of kwaadwillige sagteware te installeer as hulle die opgradering wil hê.
8. Agterkant
'n Aanval op die agterkant word ook piggybacking genoem. Dit behels dat die misdadiger toegang tot 'n beperkte plek soek wat nie behoorlike stawingsmaatreëls het nie. Die misdadiger kan toegang verkry deur agter 'n ander persoon in te stap wat gemagtig is om die area binne te gaan.
As voorbeeld kan die misdadiger hom voordoen as 'n afleweringsbestuurder wat sy hande vol pakkies het. Hy wag vir 'n gemagtigde werknemer om by die deur in te gaan. Die bedrieër-afleweraar vra dan die werknemer om die deur vir hom te hou en hom sodoende toegang te gee sonder enige magtiging.
9. Heuningval
Hierdie truuk behels dat die misdadiger aanlyn voorgee dat hy 'n aantreklike persoon is. Die persoon raak bevriend met hul teikens en vervals 'n aanlyn verhouding met hulle. Die misdadiger trek dan voordeel uit hierdie verhouding om hul slagoffers se persoonlike besonderhede te onttrek, geld by hulle te leen, of om hulle wanware in hul rekenaars te laat installeer.
Die naam 'heuningval' kom van die ou spioenasietaktieke waar vroue gebruik is om mans te teiken.
10. Skelm
Rogue sagteware kan verskyn in die vorm van skelm teen-wanware, skelm skandeerder, skelm bangmaakware, anti-spioenware, ensovoorts. Hierdie tipe rekenaarwanware mislei gebruikers om te betaal vir 'n gesimuleerde of vals sagteware wat belowe het om wanware te verwyder. Skelm sekuriteitsagteware het die afgelope jaar 'n groeiende bekommernis geword. 'n Niksvermoedende gebruiker kan maklik die prooi word van sulke sagteware, wat in oorvloed beskikbaar is.
11. Wanware
Die doel van 'n wanware-aanval is om die slagoffer te kry om wanware in hul stelsels te installeer. Die aanvaller manipuleer menslike emosies om die slagoffer die wanware in hul rekenaars te laat toelaat. Hierdie tegniek behels die gebruik van kitsboodskappe, teksboodskappe, sosiale media, e-pos, ens., om uitvissingboodskappe te stuur. Hierdie boodskappe mislei die slagoffer om op 'n skakel te klik wat 'n webwerf sal oopmaak wat die wanware bevat.
Bangmaaktaktieke word dikwels vir die boodskappe gebruik. Hulle kan sê dat daar iets fout is met jou rekening en dat jy dadelik op die verskafde skakel moet klik om by jou rekening aan te meld. Die skakel sal jou dan 'n lêer laat aflaai waardeur die wanware op jou rekenaar geïnstalleer sal word.
Bly Bewus, Bly Veilig
Om jouself ingelig te hou is die eerste stap om jouself te beskerm teen sosiale ingenieursaanvalle. 'n Basiese wenk is om enige boodskappe wat jou wagwoord of finansiële inligting vra, te ignoreer. Jy kan strooiposfilters gebruik wat saam met jou e-posdienste kom om sulke e-posse te vlag. Om 'n betroubare anti-virus sagteware te kry, sal ook help om jou stelsel verder te beveilig.
