I forrige uke tok vi en titt på noen av de viktigste samfunnsmessige truslene. Hva er samfunnsteknikk? [MakeUseOf Forklarer] Hva er samfunnsteknikk? [MakeUseOf Forklarer] Du kan installere bransjens sterkeste og dyreste brannmur. Du kan utdanne ansatte om grunnleggende sikkerhetsprosedyrer og viktigheten av å velge sterke passord. Du kan til og med låse ned serverrommet - men hvordan ... Les mer som du, din bedrift eller dine ansatte bør se etter. I et nøtteskall, sosialteknikk ligner på et konfidenstrick hvor en angriper får tilgang, informasjon eller penger ved å få offerets tillit.
Disse teknikkene kan variere fra phishing-svindel via e-post til å utdype telefontricks og invasive påskudd angrep. Mens det ikke er noen endelig måte å stoppe sosialingeniører, er det noen ting å huske for å forhindre at slike angrep blir for alvorlige. Som alltid er ditt beste forsvar kunnskap og konstant årvåkenhet.
Beskytter mot fysiske angrep
Mange bedrifter utdanner deres nettverkssikkerhetsteam om farene ved fysisk angrep. En metode som kalles "tailgating" brukes i mange fysiske angrep for å få tilgang til områder som er begrenset uten autorisasjon. Dette angrepet preyser på grunnleggende menneskelig høflighet - holder en dør for noen - men når angriperen får fysisk tilgang blir sikkerhetsbruddene svært alvorlige.
Selv om dette ikke egentlig gjelder i et hjem scenario (du er usannsynlig å holde inngangsdøren åpen for en fremmed nå, er du?) Det er noen ting du kan gjøre for å redusere sjansene for å falle offer for en sosialteknikk angrep som avhenger av fysiske materialer eller et sted.
Pretexting er en teknikk som brukes av angripere som først finner informasjon om deres offer (f.eks. Fra en regning eller kredittkortoppgave) som de da kan bruke mot deres offer ved å overbevise dem om at de har en følelse av autoritet. Den mest grunnleggende beskyttelse mot denne typen angrep (noen ganger referert til som "dumpster diving") er ved å ødelegge materiale som inneholder viktig, personlig informasjon.
Dette gjelder også for digitale data, så gamle harddisker skal være tilstrekkelig ødelagt (fysisk) og det optiske mediet kan også rives. Noen selskaper tar selv dette i en slik grad at de låser sin nekte og har sikkerhetsovervåkning. Tenk på det uhullede papirarbeidet du kaster bort - kalendere, kvitteringer, fakturaer og til og med personlige notater - og deretter vurdere om denne informasjonen kan brukes mot deg.
Tanken om innbrudd er ikke særlig bra, men hvis den bærbare datamaskinen ble stjålet, sporet ned og gjenoppret din stjålne bærbar datamaskin med sperre, spore ned og gjenopprette den stjålne bærbare datamaskinen med prey Les mer i morgen ville det være tilstrekkelig låst? Bærbare datamaskiner, smarttelefoner og andre enheter som får tilgang til dine personlige opplysninger, e-postkontoer og sosiale nettverkskontoer, bør alltid være beskyttet med sikre passord. Hvordan lage et sterkt passord som du ikke vil glemme. Hvordan lage et sterkt passord som du ikke vil glemme. å lage og huske et godt passord? Her er noen tips og triks for å opprettholde sterke, separate passord for alle dine elektroniske kontoer. Les mer og koder. Hvis du er veldig paranoid om tyveri, kan du til og med ønske å kryptere dataene på harddisken din ved hjelp av noe som TrueCrypt Hvordan lage krypterte mapper Andre kan ikke vise med Truecrypt 7 Hvordan lage krypterte mapper Andre kan ikke vise med Truecrypt 7 Les mer eller BitLocker.
Husk - All informasjon som en tyv kan trekke ut, kan brukes mot deg i fremtidige angrep, måneder eller år etter hendelsen.
Baiting - å forlate en ondsinnet enhet som for eksempel en kompromittert USB-pinne hvor den lett kan bli funnet - blir lett unngått ved ikke å la dine nysgjerrigheter bli bedre av deg. Hvis du finner en USB-pinne på verandaen, behandle den med den største mistanke. USB-pinner kan brukes til å installere keyloggers, trojanere og annen uønsket programvare for å trekke ut informasjon og presentere en veldig reell trussel.
Forhindre psykologiske anfall
Nesten alle sosialtekniske angrep er psykologiske ved sin definisjon, men i motsetning til påskudd som krever forkunnskap, er noen angrep rent psykologiske. Beskyttelse mot slike angrep er for tiden en stor prioritet for mange selskaper, og dette innebærer utdanning, årvåkenhet og ofte tenkning som en angriper.
Bedrifter begynner nå å utdanne ansatte på alle nivåer, ettersom de fleste angrep starter med sikkerhetsvakt på porten eller resepsjonisten i resepsjonen. Dette innebærer generelt å instruere ansatte til å passe på mistenkelige forespørsler, påtrengende personer eller noe som bare ikke legger til. Denne årvåkenheten kan enkelt overføres til ditt daglige liv, men avhenger av din evne til å identifisere forespørsler om informasjon som er konfidensiell.
Mens nettbaserte angrep via e-post og direktemeldinger blir stadig vanligere, er samfunnsmessige angrep via telefon (og VoIP, noe som gjør det vanskeligere å spore kilden) fortsatt en reell trussel. Den enkleste måten å unngå et angrep er å si opp samtalen den andre du mistenker noe.
Det er mulig at banken din ringer deg, men sjeldne at de vil be om passord eller annen informasjon direkte. Hvis et slikt anrop finner sted, be om bankens telefonnummer, dobbeltkryss det og ring dem tilbake. Det kan ta ekstra fem minutter, men pengene dine og personlige opplysninger er trygge og banken vil forstå. Tilsvarende er et sikkerhetsselskap svært lite sannsynlig å ringe for å advare deg om problemer med datamaskinen din. Behandle alle anrop som svindel, vær mistenkelig og ikke gå på kompromiss med PCen. Cold Calling Computer Technicians: Ikke fall for en svindel som dette [Scam Alert!] Cold Calling Computer Technicians: Fall ikke for et svindel som dette [ Scam Alert!] Du har sikkert hørt ordet "ikke lure en svindler", men jeg har alltid vært glad i å "ikke svindle en teknologisk forfatter" meg selv. Jeg sier ikke at vi er ufeilbare, men hvis svindelen din involverer Internett, en Windows ... Les mer eller kjøp hva de selger!
Utdanning er det beste forsvaret, så du holder deg oppdatert på sikkerhetsteknikker, og nyheter kan hjelpe deg med å se et potensielt angrep. Ressurser som Social-Engineer.org forsøker å utdanne folk av teknikkene som brukes av sosialingeniører, og det er mye informasjon tilgjengelig.
Et par ting å huske
Tillit er en sosial ingeniørs hovedtaktikk og vil bli brukt til å få tilgang til fysiske steder, konfidensiell informasjon og i større grad følsomme bedriftsdata. Et system er bare like sterkt som det svakeste forsvaret, og i tilfelle sosialteknikk betyr det at enkeltpersoner ikke er klar over truslene og teknikkene som brukes.
Konklusjon
For å sitere Kevin Mitnick som klarte å vandre rundt den største sikkerhetskonferansen i verden, unbadged og unchecked (RSA 2001): "Du kan bruke en formue til å kjøpe teknologi og tjenester fra alle utstillere, høyttaler og sponsor på RSA-konferansen og nettverket ditt infrastruktur kan fortsatt forbli utsatt for gammeldags manipulasjon ". Dette gjelder for låser på dørene og alarmen i huset ditt, så hold øye med sosialteknikk taktikk på jobben og hjemme.
Har du opplevd slike angrep? Arbeider du for et selskap som nylig har begynt å utdanne ansatte om farene? Gi oss beskjed om hva du synes, i kommentarene nedenfor.
Billedkreditter: Wolf in Sheep's Clothing (Shutterstock) Paper Shredder (Chris Scheufele), Hard Drive (jon_a_ross), Telefon på skrivebordet (Radio.Guy), Mozilla Reception (Niall Kennedy),