Social engineering er kunsten at manipulere mennesker, så de opgiver fortrolige oplysninger. De typer information, som disse kriminelle søger, kan variere, men når enkeltpersoner er målrettet, prøver de kriminelle normalt at narre dig til at give dem dine adgangskoder eller bankoplysninger eller få adgang til din computer for i hemmelighed at installere ondsindet software – der giver dem adgang til din adgangskoder og bankoplysninger samt give dem kontrol over din computer.

Kriminelle bruger social engineering-taktik, fordi det normalt er lettere at udnytte din naturlige tilbøjelighed til at stole på, end det er at finde måder at hacke din software på. For eksempel er det meget nemmere at narre nogen til at give dig deres adgangskode, end det er for dig at prøve at hacke deres adgangskode (medmindre adgangskoden er virkelig svag).

Phishing har udviklet sig. Lær 11 måder, hvorpå hackere vinkler efter dine data, og hvordan du beskytter dig selv i denne vejledning.

Sikkerhed handler om at vide, hvem og hvad du kan stole på. Det er vigtigt at vide, hvornår og hvornår man ikke skal tage en person på ordet, og hvornår den person, du kommunikerer med, er den, de siger, de er. Det samme gælder for online-interaktioner og brug af webstedet: hvornår stoler du på, at det websted, du bruger, er legitimt eller sikkert at give dine oplysninger?

Spørg enhver sikkerhedsprofessionel, og de vil fortælle dig, at de svageste link i sikkerhedskæden er det menneske, der accepterer en person eller et scenarie til pålydende værdi. Det betyder ikke noget, hvor mange låse og dødbolte der er på dine døre og vinduer, eller hvis der er vagthunde, alarmsystemer, projektører, hegn med pigtråd og bevæbnet sikkerhedspersonale; hvis du stoler på personen ved porten, der siger, at han er en pizzaleverings fyr, og du lader ham komme ind uden først at kontrollere, om han er legitim, er du fuldstændig udsat for den risiko, han repræsenterer.

Hvad betyder en Social Engineering Attack Look Like?

E-mail fra en ven

Hvis en kriminel formår at hacke eller socialt konstruere en persons e-mail-adgangskode, har de adgang til denne persons kontaktliste – og fordi de fleste mennesker bruger en adgangskode overalt, har de sandsynligvis også adgang til personens sociale netværkskontakter.

Når den kriminelle har den e-mail-konto under deres kontrol, sender de e-mails til alle personens kontakter eller efterlader beskeder på alle deres vens sociale sider og muligvis på siderne til personens vens venner.

Udnyttelse af din tillid og nysgerrighed vil disse meddelelser:

• Indeholder et link at du bare skal tjekke ud – og fordi linket kommer fra en ven, og du er nysgerrig, vil du stole på link og klik – og blive inficeret med malware, så den kriminelle kan overtage din maskine og indsamle dine kontaktoplysninger og bedrage dem ligesom du blev bedraget

• Indeholder en download af billeder, musik, film, dokument osv., der har indbygget ondsindet software. Hvis du downloader – hvilket du sandsynligvis vil gøre, da du tror, det er fra din ven – bliver du smittet. Nu har den kriminelle adgang til din maskine, e-mail-konto, sociale netværkskonti og kontakter, og angrebet spreder sig til alle, du kender. Og videre og igen.

E-mail fra en anden betroet kilde

Phishing-angreb er en delmængde af social engineering-strategi, der efterligner en betroet kilde og sammensætter en tilsyneladende logisk scenario til aflevering af loginoplysninger eller andre følsomme personlige data. Ifølge data fra Webroot repræsenterer finansielle institutioner langt størstedelen af efterlignede virksomheder, og ifølge Verizons årlige Data Breach Investigations Report er socialtekniske angreb inklusive phishing og påskud (se nedenfor) ansvarlige for 93% af vellykkede databrud.

Ved hjælp af en overbevisende historie eller påskud kan disse meddelelser muligvis:

• Bede omgående om din hjælp. Din ‘ven’ sidder fast i land X, er blevet røvet, slået og er på hospitalet. De har brug for dig til at sende penge, så de kan komme hjem, og de fortæller dig, hvordan du sender pengene til den kriminelle.

• Brug phishingforsøg med en legitim tilsyneladende baggrund. Typisk sender en phisher en e-mail, chat, kommentar eller sms, der ser ud til at komme fra en legitim, populær virksomhed, bank, skole eller institution.

• Bed dig om at donere til deres velgørenhedsindsamling eller en anden sag. Sandsynligvis med instruktioner om, hvordan du sender pengene til den kriminelle. dness og generøsitet, disse phishere beder om hjælp eller støtte til enhver katastrofe, politisk kampagne eller velgørenhed, der øjeblikkeligt er top-of-mind.

• Præsenter et problem, der kræver, at du ” bekræft “dine oplysninger ved at klikke på det viste link og give oplysninger i deres form.Linkplaceringen kan se meget legitim ud med alle de rigtige logoer og indhold (faktisk kan de kriminelle have kopieret det nøjagtige format og indhold på det legitime websted). Fordi alt ser legitimt ud, stoler du på e-mailen og det falske websted og giver de oplysninger, som skurken beder om. Disse typer af phishing-svindel indeholder ofte en advarsel om, hvad der vil ske, hvis du ikke handler hurtigt, fordi kriminelle ved, at hvis de kan få dig til at handle, før du tænker, er det mere sandsynligt, at du falder for deres phishing-forsøg.

• Giv dig besked om, at du er en ‘vinder’. Måske hævder e-mailen at være fra et lotteri, eller en død slægtning, eller den millionste person, der klikker på deres websted osv. For for at give dig dine ‘gevinster’ skal du give oplysninger om din bankrute, så de ved, hvordan de skal sende det til dig eller give din adresse og telefonnummer, så de kan sende præmien, og du kan også blive bedt om at bevise, hvem du er ofte med dit personnummer. Dette er de ‘grådige phisher’, hvor selvom historiens påskud er tyndt, folk ønsker det, der tilbydes, og falder for det ved at give deres oplysninger væk, derefter får deres bankkonto tømt og identitet stjålet.

• Poser som en chef eller kollega. Det beder muligvis om en opdatering af et vigtigt, proprietært projekt, som din virksomhed i øjeblikket arbejder på, for betalingsoplysninger, der vedrører et virksomhedskreditkort, eller en anden forespørgsel, der skjuler sig som en daglig virksomhed.

Baiting scenarier

Disse socialtekniske ordninger ved, at hvis du dingler noget folk ønsker, vil mange mennesker agn. Disse ordninger findes ofte på Peer-to-Peer-websteder, der tilbyder en download af noget som en varm ny film eller musik. Men ordningerne findes også på sociale netværkssider, ondsindede websteder, du finder gennem søgeresultater osv.

Eller ordningen kan muligvis dukke op som en utrolig stor del på klassificerede websteder, auktionssider osv. .. For at dæmpe din mistanke kan du se, at sælgeren har en god vurdering (alt planlagt og udformet på forhånd).

Folk, der tager agn, kan blive inficeret med ondsindet software, der kan generere et vilkårligt antal nye bedrifter mod sig selv og deres kontakter, kan miste deres penge uden at modtage deres købte vare, og hvis de var tåbelige nok til at betale med en check, kan de finde deres bankkonto tom.

Svar på et spørgsmål, du aldrig haft

Kriminelle foregiver måske at svare på din ‘anmodning om hjælp’ fra en virksomhed og samtidig tilbyde mere hjælp. De vælger virksomheder, som millioner af mennesker bruger, f.eks. Et softwarefirma eller en bank. Hvis du ikke bruger produktet eller tjenesten, vil du ignorere e-mailen, telefonopkaldet eller meddelelsen, men hvis du tilfældigvis bruger tjenesten, er der en god chance for at du vil svare, fordi du sandsynligvis vil have hjælp til et problem .

For eksempel, selvom du ved, at du ikke oprindeligt stillede et spørgsmål, er du sandsynligvis et problem med din computers operativsystem, og du benytter denne mulighed for at få det rettet. Gratis! I det øjeblik du svarer, har du købt skurkens historie, givet dem din tillid og åbnet dig selv for udnyttelse.

Repræsentanten, der faktisk er en kriminel, skal ‘godkende dig’, hvis du logger ind ‘deres system’ eller har du logget ind på din computer og enten givet dem fjernadgang til din computer, så de kan ‘rette’ det for dig, eller fortælle dig kommandoerne, så du selv kan rette det med deres hjælp – hvor nogle af kommandoer, som de beder dig om at indtaste, åbner en måde for den kriminelle at komme tilbage på din computer senere.

At skabe mistillid

Nogle socialteknikker handler om at skabe mistillid eller starte konflikter ; disse udføres ofte af mennesker, du kender, og som er vrede på dig, men det gøres også af grimme mennesker, der bare prøver at skabe kaos, folk der først vil skabe mistillid i dit sind om andre, så de derefter kan træde ind som en helt og vind din tillid eller af afpresningspersoner, der ønsker at manipulere oplysninger og derefter true dig med afsløring.

Denne form for social engineering begynder ofte med at få adgang til en e-mail-konto eller en anden kommunikationskonto på en IM-klient. , socialt netværk, chat, forum osv. De opnår dette enten ved hacking, social engineering eller blot gætte rigtig svage adgangskoder.

• Den ondsindede person kan derefter ændre følsom eller privat kommunikation (inklusive billeder og lyd) ved hjælp af grundlæggende redigeringsteknikker og videresender disse til andre mennesker for at skabe drama, mistillid, forlegenhed osv. De kan få det til at se ud som om det ved et uheld blev sendt eller se ud som om de fortæller dig, hvad der er ‘virkelig’ fortsætter.

• A Alternativt kan de bruge det ændrede materiale til at afpresse penge enten fra den person, de hackede eller fra den formodede modtager.

Der er bogstaveligt talt tusindvis af variationer til socialtekniske angreb.Den eneste grænse for antallet af måder, hvorpå de socialt kan konstruere brugere gennem denne form for udnyttelse, er kriminelens fantasi. Og du kan opleve flere former for udnyttelser i et enkelt angreb. Derefter vil kriminelle sandsynligvis sælge dine oplysninger til andre, så de også kan køre deres udnyttelse mod dig, dine venner, dine venners venner og så videre, da kriminelle udnytter folks misplacerede tillid.

Bliv ikke et offer

Mens phishing-angreb er uhyrlige, kortvarige og kun har brug for et par brugere for at tage agn for en vellykket kampagne, er der metoder til at beskytte dig selv. De fleste kræver ikke meget mere end blot at være opmærksomme på detaljerne foran dig. Husk følgende for at undgå at blive phishing selv.

Tips at huske:

• Sæt farten op. Spammere vil have dig til at handle først og tænke senere. Hvis meddelelsen formidler en hastende følelse eller bruger salgstaktik under højt tryk, skal du være skeptisk; lad aldrig deres haster påvirke din omhyggelige gennemgang.

• Undersøg fakta. Vær mistænksom over for uopfordrede meddelelser. Hvis e-mailen ser ud som om den er fra et firma, du bruger, skal du foretage din egen undersøgelse. Brug en søgemaskine til at gå til det rigtige selskabs websted, eller et telefonkatalog for at finde deres telefonnummer.

• Lad ikke et link have kontrol over, hvor du lander. Bliv i kontrol ved selv at finde webstedet ved hjælp af en søgemaskine til sørg for at du lander, hvor du har til hensigt at lande. Hvis du svæver over links i e-mail, vises den faktiske URL i bunden, men en god falskhed kan stadig styre dig forkert.

• E-mail-kapring er udbredt. Hack erere, spammere og sociale ingeniører, der overtager kontrollen over folks e-mail-konti (og andre kommunikationskonti) er blevet voldsomt. Når de kontrollerer en e-mail-konto, byder de på tillid fra personens kontakter. Selv når afsenderen ser ud til at være en, du kender, skal du kontakte din ven, før du åbner links eller downloader, hvis du ikke forventer en e-mail med et link eller en vedhæftet fil.

• Pas på enhver download. Hvis du ikke kender afsenderen personligt OG forventer en fil fra dem, er det en fejl at downloade noget.

• Udenlandske tilbud er falske. Hvis du modtager en e-mail fra et udenlandsk lotteri eller konkurrencer, penge fra en ukendt slægtning eller anmoder om at overføre penge fra et fremmed land til en del af pengene, er det garanteret en fidus.

Måder at beskytte dig selv:

• Slet enhver anmodning om økonomiske oplysninger eller adgangskoder. Hvis du bliver bedt om at svare på en besked med personlige oplysninger, er det en fidus.

• Afvis anmodninger om hjælp eller tilbud om hjælp. Lovlige virksomheder og organisationer kontakter dig ikke for at yde hjælp. Hvis du ikke specifikt anmodede afsenderen om hjælp, skal du overveje ethvert tilbud om at ‘hjælpe’ med at gendanne kredit score, refinansiere et hjem, besvare dit spørgsmål osv., En fidus. Tilsvarende, hvis du modtager en anmodning om hjælp fra en velgørenhedsorganisation eller organisation, som du ikke har et forhold til, skal du slette den. For at give skal du opsøge velrenommerede velgørenhedsorganisationer alene for at undgå at falde for en fidus.

• Indstil dine spamfiltre til høje. Hvert e-mail-program har spamfiltre. For at finde din skal du se på dine indstillingsmuligheder og indstille disse til høje – bare husk at tjekke din spam-mappe med jævne mellemrum for at se, om legitim e-mail ved et uheld er fanget der. Du kan også søge efter en trinvis vejledning til indstilling af dine spamfiltre ved at søge på navnet på din e-mail-udbyder plus sætningen ‘spamfiltre’.

• Sikre din computerenheder. Installer antivirussoftware, firewalls, e-mail-filtre, og hold disse opdaterede. Indstil dit operativsystem til automatisk opdatering, og hvis din smartphone ikke opdateres automatisk, skal du opdatere det manuelt, når du modtager en meddelelse om at gøre det. Brug et anti-phishing-værktøj, der tilbydes af din webbrowser eller tredjepart for at advare dig om risici.

Webroot’s trusseldatabase har mere end 600 millioner domæner og 27 milliarder webadresser kategoriseret for at beskytte brugerne mod webbaserede trusler. Trusselinformationen, der understøtter alle vores produkter, hjælper dig med at bruge internettet sikkert, og vores mobile sikkerhedsløsninger tilbyder sikker browsing for at forhindre vellykkede phishing-angreb.