Samfunnsingeniør er kunsten å manipulere mennesker slik at de gir opp konfidensiell informasjon. Type informasjon disse kriminelle søker kan variere, men når enkeltpersoner er målrettet, prøver kriminelle vanligvis å lure deg til å gi dem passord eller bankinformasjon, eller få tilgang til datamaskinen din for å hemmelig installere skadelig programvare – som vil gi dem tilgang til din passord og bankinformasjon, i tillegg til å gi dem kontroll over datamaskinen din.

Kriminelle bruker sosialteknisk taktikk fordi det vanligvis er lettere å utnytte din naturlige tilbøyelighet til å stole på enn det er å oppdage måter å hacke programvaren din på. For eksempel er det mye lettere å lure noen til å gi deg passordet enn det er for deg å prøve å hacke passordet (med mindre passordet er veldig svakt).

Phishing har utviklet seg. Lær elleve måter hackere ønsker på dataene dine og hvordan du kan beskytte deg selv i denne veiledningen.

Sikkerhet handler om å vite hvem og hva du kan stole på. Det er viktig å vite når og når ikke å ta en person på ordet, og når personen du kommuniserer med er den de sier de er. Det samme gjelder online-interaksjoner og nettstedsbruk: når stoler du på at nettstedet du bruker er legitimt eller trygt å gi informasjonen din?

Spør en sikkerhetspersonell, så vil de fortelle deg at de svakeste lenke i sikkerhetskjeden er mennesket som aksepterer en person eller et scenario til pålydende. Det spiller ingen rolle hvor mange låser og dødbolter som er på dører og vinduer, eller om det er vakthunder, alarmsystemer, lyskastere, gjerder med piggtråd og bevæpnet sikkerhetspersonell; hvis du stoler på personen ved porten som sier at han er en pizzaleverandør og du slipper ham inn uten å først sjekke om han er legitim, blir du fullstendig utsatt for hvilken risiko han representerer.

Hva betyr en Social Engineering Attack Look Like?

E-post fra en venn

Hvis en kriminell klarer å hacke eller sosialt konstruere en persons e-postpassord, har de tilgang til vedkommendes kontaktliste – og fordi folk flest bruker ett passord overalt, har de sannsynligvis også tilgang til vedkommendes sosiale nettverkskontakter.

Når den kriminelle har den e-postkontoen under sin kontroll, sender de e-post til alle personens kontakter eller legger igjen meldinger på alle sine venns sosiale sider, og muligens på sidene til personens venners venner.

Ved å dra nytte av din tillit og nysgjerrighet vil disse meldingene:

• Inneholde en lenke at du bare må sjekke ut – og fordi lenken kommer fra en venn og du er nysgjerrig, vil du stole på lenke og klikke – og bli smittet med skadelig programvare slik at den kriminelle kan overta maskinen din og samle inn kontaktinformasjonen din og lure dem akkurat som du ble lurt

• Inneholder en nedlasting av bilder, musikk, film, dokument osv. som har skadelig programvare innebygd. Hvis du laster ned – noe du sannsynligvis vil gjøre siden du tror det er fra vennen din – blir du smittet. Nå har kriminellen tilgang til maskinen din, e-postkontoen, sosiale nettverkskontoer og kontakter, og angrepet sprer seg til alle du kjenner. Og videre, og videre.

E-post fra en annen klarert kilde

Phishing-angrep er en delmengde av sosialteknisk strategi som etterligner en klarert kilde og lage en tilsynelatende logisk scenario for å overlevere påloggingsinformasjon eller andre sensitive personlige data. I følge Webroot-data representerer finansinstitusjoner det store flertallet av imiterte selskaper, og ifølge Verizons årlige Data Breach Investigations Report er sosialtekniske angrep inkludert phishing og påskudd (se nedenfor) ansvarlige for 93% av vellykkede datainnbrudd.

Ved hjelp av en overbevisende historie eller påskudd, kan disse meldingene:

• Ber om hjelp umiddelbart. «Vennen din» sitter fast i land X, er blitt ranet, slått , og er på sykehuset. De trenger at du sender penger slik at de kan komme hjem, og de forteller deg hvordan du skal sende pengene til den kriminelle.

• Bruk phishing-forsøk med en legitim tilsynelatende bakgrunn. Vanligvis sender en phisher en e-post, direktemelding, kommentar eller tekstmelding som ser ut til å komme fra et legitimt, populært selskap, bank, skole eller institusjon.

• Be deg om å donere til veldedighetsinnsamlingen deres, eller en annen sak. Sannsynligvis med instruksjoner om hvordan du sender pengene til den kriminelle. dness og raushet, disse phisherne ber om hjelp eller støtte for katastrofer, politiske kampanjer eller veldedighetsorganisasjoner som øyeblikkelig er topp-of-mind.

• Presentere et problem som krever at du » bekrefte «informasjonen din ved å klikke på den viste lenken og oppgi informasjon i skjemaet.Koblingsplasseringen kan se veldig legitim ut med alle de riktige logoene og innholdet (faktisk kan de kriminelle ha kopiert det nøyaktige formatet og innholdet på det legitime nettstedet). Fordi alt ser legitimt ut, stoler du på e-postadressen og det falske nettstedet og gir all informasjon kriminellen ber om. Disse typer phishing-svindel inkluderer ofte en advarsel om hva som vil skje hvis du ikke klarer å handle snart fordi kriminelle vet at hvis de kan få deg til å handle før du tenker, er det mer sannsynlig at du faller for deres phishing-forsøk.

• Gi deg beskjed om at du er en «vinner.» Kanskje e-postadressen hevder å være fra et lotteri, eller en død slektning, eller den millionste personen som klikker på nettstedet deres osv. For for å gi deg dine «gevinster» må du oppgi informasjon om bankrutingen din, slik at de vet hvordan de skal sende den til deg eller oppgi adresse og telefonnummer slik at de kan sende premien, og du kan også bli bedt om å bevise hvem du er ofte inkludert personnummer. Dette er ‘grådighetsfiskene’ der selv om historiens påskudd er tynn, vil folk ha det som blir tilbudt og falle for det ved å gi bort informasjonen, deretter tømme bankkontoen og stjele identiteten.

• Still deg som sjef eller kollega. Det kan be om en oppdatering om et viktig, proprietært prosjekt firmaet ditt jobber med, for betalingsinformasjon knyttet til et firmakredittkort, eller en annen forespørsel som utgjør en daglig virksomhet.

Baitscenarier

Disse sosialtekniske ordningene vet at hvis du dingler noe folk vil, vil mange ta agnet. Disse ordningene er ofte funnet på Peer-to-Peer-nettsteder som tilbyr nedlasting av noe som en ny, varm film eller musikk. Men ordningene finnes også på sosiale nettverk, ondsinnede nettsteder du finner gjennom søkeresultater og så videre.

Eller ordningen kan vises som utrolig mye på rubrikkannonsesider, auksjonssteder osv. .. For å redusere mistanken din, kan du se at selgeren har en god vurdering (alt planlagt og laget på forhånd).

Folk som tar agnet kan være smittet med skadelig programvare som kan generere et hvilket som helst antall nye bedrifter mot seg selv og sine kontakter, kan miste pengene sine uten å motta den kjøpte varen, og hvis de var tåpelige nok til å betale med en sjekk, kan de finne bankkontoen sin tom.

Svar på et spørsmål du aldri hatt

Kriminelle kan late som om de svarer på din «forespørsel om hjelp» fra et selskap, samtidig som de tilbyr mer hjelp. De velger selskaper som millioner av mennesker bruker, for eksempel et programvareselskap eller en bank. Hvis du ikke bruker produktet eller tjenesten, vil du ignorere e-post, telefonsamtale eller melding, men hvis du tilfeldigvis bruker tjenesten, er det en god sjanse for at du vil svare fordi du sannsynligvis vil ha hjelp med et problem .

For eksempel, selv om du vet at du ikke opprinnelig stilte et spørsmål, har du sannsynligvis et problem med datamaskinens operativsystem, og du benytter deg av muligheten til å fikse det. Gratis! I det øyeblikket du svarer, har du kjøpt skurkens historie, gitt dem din tillit og åpnet deg for utnyttelse.

Representanten, som faktisk er en kriminell, må ‘autentisere deg’, hvis du har logget deg på ‘deres system’ eller, har du logget på datamaskinen din og enten gitt dem ekstern tilgang til datamaskinen din slik at de kan ‘fikse’ det for deg, eller fortelle deg kommandoene slik at du kan fikse det selv med deres hjelp – der noen av kommandoer de ber deg om å angi, åpner en måte for den kriminelle å komme tilbake på datamaskinen din senere.

Å skape mistillit

Noen sosialteknikker handler om å skape mistillit eller starte konflikter ; disse blir ofte utført av folk du kjenner og som er sinte på deg, men det gjøres også av ekle mennesker som bare prøver å skape kaos, folk som først vil skape mistillit i tankene dine om andre, slik at de kan gå inn som helt og få din tillit, eller av utpressere som ønsker å manipulere informasjon og deretter true deg med avsløring.

Denne formen for sosial ingeniørarbeid begynner ofte med å få tilgang til en e-postkonto eller en annen kommunikasjonskonto på en chat-klient. , sosialt nettverk, chat, forum osv. De oppnår dette enten ved å hacke, sosialteknikk eller bare gjette veldig svake passord.

• Den ondsinnede personen kan da endre sensitiv eller privat kommunikasjon. (inkludert bilder og lyd) ved hjelp av grunnleggende redigeringsteknikker og videresender disse til andre mennesker for å skape drama, mistillit, forlegenhet osv. De kan få det til å se ut som om det ble sendt ved et uhell, eller virke som om de forteller deg hva som egentlig er fortsetter.

• A Alternativt kan de bruke det endrede materialet til å presse ut penger enten fra personen de hacket eller fra den antatte mottakeren.

Det er bokstavelig talt tusenvis av variasjoner til sosialtekniske angrep.Den eneste grensen for antall måter de kan sosialt konstruere brukere gjennom denne typen utnyttelse, er forbryterens fantasi. Og du kan oppleve flere former for utnyttelser i et enkelt angrep. Da vil sannsynligvis forbryteren selge informasjonen din til andre, slik at de også kan kjøre sin bedrift mot deg, vennene dine, vennenes venner og så videre, ettersom kriminelle utnytter folks misplasserte tillit.

Ikke bli et offer

Mens phishing-angrep er voldsomme, kortvarige og trenger bare noen få brukere for å ta agnet for en vellykket kampanje, finnes det metoder for å beskytte deg selv. De fleste trenger ikke mye mer enn bare å ta hensyn til detaljene foran deg. Husk følgende for å unngå å bli phishing selv.

Tips å huske:

• Sakte ned. Spammere vil at du skal handle først og tenke senere. Hvis meldingen formidler en presserende følelse eller bruker salgstaktikk under høyt trykk, skal du være skeptisk. La aldri hasten påvirke din nøye gjennomgang.

• Undersøk fakta. Vær mistenksom overfor uønskede meldinger. Hvis e-posten ser ut som om den er fra et selskap du bruker, gjør du din egen undersøkelse. Bruk en søkemotor for å gå til nettstedet til det virkelige selskapet, eller en telefonkatalog for å finne telefonnummeret deres.

• Ikke la en lenke ha kontroll over hvor du lander. Hold styringen ved å finne nettstedet selv ved hjelp av en søkemotor for å vær sikker på at du lander der du har tenkt å lande. Hvis du holder musepekeren over koblinger i e-post, vises den faktiske nettadressen nederst, men en god falskhet kan fortsatt styre deg galt.

• E-postkapring er voldsomt. Hack e-post, spammere og sosiale ingeniører som tar over kontrollen over folks e-postkontoer (og andre kommunikasjonskontoer) har blitt voldsomt. Når de kontrollerer en e-postkonto, bytter de på tilliten til personens kontakter. Selv når avsenderen ser ut til å være noen du kjenner, hvis du ikke forventer en e-post med en lenke eller vedlegg, ta kontakt med vennen din før du åpner lenker eller laster ned.

• Vokt dere for hvilken som helst nedlasting. Hvis du ikke kjenner avsenderen personlig OG forventer en fil fra dem, er det feil å laste ned noe.

• Utenlandske tilbud er falske. Hvis du mottar en e-post fra et utenlandsk lotteri eller konkurranser, penger fra en ukjent slektning, eller ber om å overføre penger fra et fremmed land for en andel av pengene, er det garantert en svindel.

Måter å beskytte deg selv:

• Slett enhver forespørsel om økonomisk informasjon eller passord. Hvis du blir bedt om å svare på en melding med personlig informasjon, er det en svindel.

• Avvis forespørsler om hjelp eller tilbud om hjelp. Legitime selskaper og organisasjoner kontakter deg ikke for å gi hjelp. Hvis du ikke spesifikt ba om hjelp fra avsenderen, bør du vurdere ethvert tilbud om å hjelpe deg med å gjenopprette kredittpoeng, refinansiere et hjem, svare på spørsmålet ditt, etc., en svindel. Hvis du mottar en forespørsel om hjelp fra en veldedighet eller organisasjon som du ikke har et forhold til, må du slette den. For å gi, oppsøk anerkjente veldedige organisasjoner på egenhånd for å unngå å falle for svindel.

• Sett spamfiltrene dine til høye. Hvert e-postprogram har spam-filtre. For å finne din, se på innstillingsalternativene dine, og sett disse til høye – bare husk å sjekke søppelpostmappen din med jevne mellomrom for å se om legitim e-post ved et uhell er fanget der. Du kan også søke etter en trinnvis veiledning for innstilling av nettsøppelfilter ved å søke på navnet til e-postleverandøren pluss uttrykket «søppelpostfiltre».

• Sikre databehandlingsenheter. Installer antivirusprogramvare, brannmurer, e-postfiltre og hold dem oppdatert. Angi at operativsystemet ditt skal oppdateres automatisk, og hvis smarttelefonen din ikke oppdateres automatisk, må du oppdatere det manuelt når du får beskjed om det. Bruk et anti-phishing-verktøy som tilbys av nettleseren din eller tredjepart for å varsle deg om risiko.

Webroot sin trusseldatabase har mer enn 600 millioner domener og 27 milliarder nettadresser kategorisert for å beskytte brukere mot nettbaserte trusler. Trusselinformasjonen som støtter alle produktene våre, hjelper deg med å bruke nettet sikkert, og våre mobile sikkerhetsløsninger tilbyr sikker nettlesing for å forhindre vellykkede phishing-angrep.