Socialteknik är konsten att manipulera människor så att de ger upp konfidentiell information. Vilken typ av information dessa brottslingar söker kan variera, men när individer riktas in försöker brottslingarna vanligtvis lura dig att ge dem dina lösenord eller bankinformation, eller komma åt din dator för att i hemlighet installera skadlig programvara – som ger dem tillgång till din lösenord och bankinformation samt ger dem kontroll över din dator.

Brottslingar använder socialteknik eftersom det vanligtvis är lättare att utnyttja din naturliga lust att lita på än att upptäcka sätt att hacka din programvara. Det är till exempel mycket lättare att lura någon att ge dig sitt lösenord än att du försöker hacka lösenordet (såvida inte lösenordet är riktigt svagt).

Nätfiske har utvecklats. Lär dig 11 sätt som hackare söker efter dina data och hur du skyddar dig i den här guiden.

Säkerhet handlar om att veta vem och vad du ska lita på. Det är viktigt att veta när och när man inte ska ta en person på sitt ord och när personen du kommunicerar med är den de säger att de är. Detsamma gäller online-interaktioner och webbplatsanvändning: när litar du på att webbplatsen du använder är legitim eller är säker att tillhandahålla din information?

Fråga någon säkerhetspersonal så kommer de att säga att de svagaste länk i säkerhetskedjan är den människa som accepterar en person eller ett scenario till nominellt värde. Det spelar ingen roll hur många lås och dödbultar som finns på dina dörrar och fönster, eller om det finns vakthundar, larmsystem, strålkastare, staket med taggtråd och beväpnad säkerhetspersonal; om du litar på personen vid porten som säger att han är pizzan och du släpper in honom utan att först kontrollera om han är legitim, är du helt utsatt för vilken risk han representerar.

Vad betyder en Socialteknisk attack ser ut?

E-post från en vän

Om en brottsling lyckas hacka eller socialt konstruera en persons e-postlösenord har de tillgång till den personens kontaktlista – och eftersom de flesta människor använder ett lösenord överallt, de har förmodligen också tillgång till den personens sociala nätverkskontakter.

När brottslingen har det e-postkontot under sin kontroll, skickar de e-post till alla personens kontakter eller lämnar meddelanden på alla sina väns sociala sidor och eventuellt på sidorna till personens kompisar.

Utnyttja ditt förtroende och nyfikenhet kommer dessa meddelanden:

• Innehåller en länk att du bara måste kolla in – och eftersom länken kommer från en vän och du är nyfiken, litar du på länka och klicka – och smittas med skadlig kod så att brottslingen kan ta över din maskin och samla in dina kontaktuppgifter och lura dem precis som du lurades

• Innehåller en nedladdning av bilder, musik, film, dokument osv. som har skadlig programvara inbäddad. Om du laddar ner – vilket du sannolikt kommer att göra eftersom du tror att det kommer från din vän – blir du smittad. Nu har brottslingen tillgång till din maskin, e-postkonto, sociala nätverkskonton och kontakter, och attacken sprider sig till alla du känner. Och vidare och vidare.

E-post från en annan betrodd källa

Nätfiskeattacker är en delmängd av socialteknikstrategi som imiterar en betrodd källa och sammanställer en till synes logiskt scenario för överlämnande av inloggningsuppgifter eller andra känsliga personuppgifter. Enligt Webroot-data representerar finansinstitut den stora majoriteten av imiterade företag och enligt Verizons årliga Data Breach Investigations Report är socialtekniska attacker inklusive phishing och förevändning (se nedan) ansvariga för 93% av framgångsrika dataintrång. p>

Med hjälp av en övertygande berättelse eller förevändning kan dessa meddelanden:

• Be om hjälp omgående. Din ”vän” har fastnat i land X, har blivit rånad, misshandlad och är på sjukhuset. De behöver att du skickar pengar så att de kan komma hem och de berättar hur du skickar pengarna till brottslingen.

• Använd nätfiskeförsök med en legitim utseende bakgrund. Vanligtvis skickar en phisher ett e-postmeddelande, en chatt, en kommentar eller ett textmeddelande som verkar komma från ett legitimt, populärt företag, bank, skola eller institution.

• Be dig att donera till deras välgörenhetsinsamling eller någon annan sak. Troligtvis med instruktioner om hur man skickar pengarna till brottslingen. dness och generosity, dessa phishers ber om hjälp eller stöd för oavsett katastrof, politisk kampanj eller välgörenhet som är ögonblick top-of-mind.

• Presentera ett problem som kräver att du ” verifiera ”din information genom att klicka på den länk som visas och tillhandahålla information i deras form.Länkplatsen kan se väldigt legitim ut med alla rätt logotyper och innehåll (i själva verket kan de brottslingar ha kopierat det exakta formatet och innehållet på den legitima webbplatsen). Eftersom allt ser legitimt ut, litar du på e-postmeddelandet och den falska webbplatsen och tillhandahåller all information som skurken ber om. Dessa typer av nätfiskebedrägerier innehåller ofta en varning om vad som kommer att hända om du inte agerar snart eftersom brottslingar vet att om de kan få dig att agera innan du tänker, är det mer troligt att du faller för deras nätfiskeförsök.

• Meddela dig att du är en ”vinnare.” Kanske e-postmeddelandet hävdar att det kommer från ett lotteri, eller en död släkting, eller den miljonte personen som klickar på sin webbplats osv. för att ge dig dina ”vinster” måste du ge information om din bankrutt så att de vet hur de ska skicka det till dig eller ange din adress och telefonnummer så att de kan skicka priset, och du kan också bli ombedd att bevisa vem du är ofta inklusive ditt personnummer. Dessa är de ”giriga fiskarna” där även om berättelsen är tunn, vill folk ha det som erbjuds och faller för det genom att ge bort sin information, sedan tömma sitt bankkonto och stölda identiteten.

• Posera som chef eller kollega. Det kan fråga om en uppdatering om ett viktigt, proprietärt projekt som ditt företag för närvarande arbetar med, om betalningsinformation som hänför sig till ett företagskreditkort eller någon annan förfrågan som maskeras som det dagliga arbetet.

Betescenarier

Dessa sociala tekniska system vet att om du dinglar något folk vill, kommer många att beta. Dessa system finns ofta på peer-to-peer-webbplatser som erbjuder en nedladdning av något som en ny het film eller musik. Men scheman finns också på sociala nätverkssajter, skadliga webbplatser som du hittar genom sökresultat och så vidare.

Eller kan schemat visas som en otroligt bra affär på sekretesswebbplatser, auktionswebbplatser, etc. .. För att undanröja din misstanke kan du se att säljaren har ett bra betyg (allt planerat och utformat i förväg).

Människor som tar betet kan smittas med skadlig programvara som kan generera valfritt antal nya exploateringar mot sig själva och sina kontakter, kan förlora sina pengar utan att få sitt köpta objekt, och om de var dumma nog att betala med en check kan de hitta sitt bankkonto tomt.

Svar på en fråga som du aldrig haft

Brottslingar kan låtsas svara på din ”begäran om hjälp” från ett företag samtidigt som de erbjuder mer hjälp. De väljer företag som miljontals människor använder, till exempel ett programvarubolag eller en bank. Om du inte använder produkten eller tjänsten kommer du att ignorera e-postmeddelandet, telefonsamtalet eller meddelandet, men om du råkar använda tjänsten finns det en stor chans att du kommer att svara eftersom du förmodligen vill ha hjälp med ett problem .

Till exempel, även om du vet att du ursprungligen inte ställde en fråga så är du förmodligen ett problem med datorns operativsystem och du tar tillfället i akt att fixa det. Gratis! I det ögonblick du svarar har du köpt skurkens historia, gett dem ditt förtroende och öppnat dig själv för exploatering.

Representanten, som faktiskt är en brottsling, kommer att behöva ”autentisera dig”, om du har loggat in ”deras system” eller, har du loggat in på din dator och antingen ge dem fjärråtkomst till din dator så att de kan ”fixa” det åt dig, eller berätta kommandona så att du kan fixa det själv med deras hjälp – där några av kommandon som de ber dig att ange kommer att göra det möjligt för brottslingen att komma tillbaka till din dator senare.

Att skapa misstro

En del socialteknik handlar om att skapa misstro eller starta konflikter ; dessa utförs ofta av människor du känner och som är arg på dig, men det görs också av otäcka människor som bara försöker utlösa förödelse, människor som först vill skapa misstro i ditt sinne gentemot andra så att de sedan kan gå in som en hjälte och få ditt förtroende, eller av utpressare som vill manipulera information och sedan hota dig med avslöjande.

Denna form av socialteknik börjar ofta med att få tillgång till ett e-postkonto eller ett annat kommunikationskonto på en chattklient. , sociala nätverk, chatt, forum, etc. De åstadkommer detta antingen genom hacking, social engineering eller helt enkelt gissa riktigt svaga lösenord.

• Den skadliga personen kan sedan ändra känslig eller privat kommunikation (inklusive bilder och ljud) med hjälp av grundläggande redigeringstekniker och vidarebefordrar dessa till andra människor för att skapa drama, misstro, förlägenhet etc. De kan få det att se ut som om det skickades av misstag eller verkar som om de berättar för dig vad som är ”riktigt” pågår.

• A Alternativt kan de använda det förändrade materialet för att pressa ut pengar antingen från personen de hackade eller från den förmodade mottagaren.

Det finns bokstavligen tusentals variationer i socialtekniska attacker.Den enda gränsen för antalet sätt att socialt konstruera användare genom denna typ av utnyttjande är brottslingens fantasi. Och du kan uppleva flera former av exploateringar i en enda attack. Då kommer brottslingen sannolikt att sälja din information till andra så att de också kan köra sitt utnyttjande mot dig, dina vänner, dina kompisars vänner och så vidare, eftersom brottslingar utnyttjar människors felaktiga förtroende.

Bli inte ett offer

Medan phishing-attacker är skenande, kortvariga och behöver bara ett fåtal användare för att ta betet för en framgångsrik kampanj, finns det metoder för att skydda dig själv. De flesta behöver inte mycket mer än att bara vara uppmärksamma på detaljerna framför dig. Tänk på följande för att undvika att bli phishing själv.

Tips att komma ihåg:

• Sakta ner. Spammare vill att du ska agera först och tänka senare. Om meddelandet förmedlar en känsla av brådska eller använder högtrycksförsäljningstaktik är skeptisk, låt aldrig deras brådskande påverka din noggranna granskning.

• Undersök fakta. Var misstänksam mot alla oönskade meddelanden. Om e-postmeddelandet ser ut som om det kommer från ett företag du använder, gör din egen undersökning. Använd en sökmotor för att gå till det riktiga företagets webbplats, eller en telefonkatalog för att hitta deras telefonnummer.

• Låt inte en länk ha kontroll över var du landar. Håll kontrollen genom att hitta webbplatsen själv med hjälp av en sökmotor för att se till att du landar där du tänker landa. Om du håller muspekaren över länkar i e-postmeddelandet visas den faktiska webbadressen längst ner, men en bra falsk kan fortfarande styra dig fel.

• E-postkapning hackar e-post, spammare och socialtekniker som tar över kontrollen över människors e-postkonton (och andra kommunikationskonton) har blivit tuff. När de väl har kontrollerat ett e-postkonto är de beroende av personens kontakter. Även om avsändaren verkar vara någon du känner, om du inte förväntar dig ett e-postmeddelande med en länk eller en bilaga, kontakta din vän innan du öppnar länkar eller laddar ner.

• Se upp för någon nedladdning. Om du inte känner avsändaren personligen OCH förväntar dig en fil från dem är det ett misstag att ladda ner något.

• Utländska erbjudanden är falska. Om du får ett e-postmeddelande från ett utländskt lotteri eller utlottning, pengar från en okänd släkting eller begär att överföra pengar från ett främmande land för en del av pengarna är det garanterat en bluff.

Sätt att skydda dig själv:

• Radera alla förfrågningar om ekonomisk information eller lösenord. Om du blir ombedd att svara på ett meddelande med personlig information är det en bluff.

• Avvisa begäran om hjälp eller erbjudanden om hjälp. Legitima företag och organisationer kontaktar dig inte för att ge hjälp. Om du inte specifikt begärde hjälp från avsändaren kan du överväga att erbjuda hjälp att återställa kreditpoäng, refinansiera ett hem, svara på din fråga etc., en bluff. På samma sätt, om du får en begäran om hjälp från en välgörenhetsorganisation eller organisation som du inte har någon relation med, ta bort den. För att ge, sök efter välrenommerade välgörenhetsorganisationer på egen hand för att undvika att bli en bluff.

• Ställ in dina skräppostfilter till höga. Varje e-postprogram har skräppostfilter. För att hitta din, titta på dina inställningsalternativ och ställ in dessa till högt – kom bara ihåg att kontrollera din skräppostmapp regelbundet för att se om legitim e-post av misstag har fastnat där. Du kan också söka efter en steg-för-steg-guide för att ställa in dina skräppostfilter genom att söka på namnet på din e-postleverantör plus frasen ”skräppostfilter”.

• Säkra din datorenheter. Installera antivirusprogram, brandväggar, e-postfilter och håll dessa uppdaterade. Ställ in ditt operativsystem så att det automatiskt uppdateras, och om din smartphone inte uppdateras automatiskt, uppdatera det manuellt när du får ett meddelande om att göra det. Använd ett anti-phishing-verktyg som erbjuds av din webbläsare eller tredje part för att varna dig för risker.

Webroots hotdatabas har mer än 600 miljoner domäner och 27 miljarder webbadresser kategoriserad för att skydda användare mot webbaserade hot. Hotinformation som stöder alla våra produkter hjälper dig att använda webben säkert, och våra mobila säkerhetslösningar erbjuder säker surfning för att förhindra framgångsrika nätfiskeattacker.