Etyczne hakowanie - inżynieria społeczna
Spróbujmy zrozumieć koncepcję ataków socjotechnicznych na kilku przykładach.
Przykład 1
Musiałeś zauważyć stare dokumenty firmy wyrzucane do śmietników jako śmieci. Dokumenty te mogą zawierać poufne informacje, takie jak imiona i nazwiska, numery telefonów, numery kont, numery ubezpieczenia społecznego, adresy itp. Wiele firm nadal używa kalki w swoich faksach, a po skończonej rolce węgiel trafia do kosza na śmieci, na którym mogą znajdować się ślady wrażliwych danych. Chociaż brzmi to nieprawdopodobnie, napastnicy mogą łatwo odzyskać informacje z firmowych śmietników, okradając śmieci.
Przykład 2
Atakujący może zaprzyjaźnić się z personelem firmy i nawiązać z nim dobre relacje przez pewien czas. Relację tę można nawiązać online za pośrednictwem sieci społecznościowych, pokojów rozmów lub offline przy stoliku do kawy, na placu zabaw lub w jakikolwiek inny sposób. Atakujący traktuje pracowników biura w tajemnicy i ostatecznie wykopuje wymagane poufne informacje bez podawania wskazówek.
Przykład 3
Inżynier społeczny może udawać pracownika, ważnego użytkownika lub VIP-a, sfałszując dowód osobisty lub po prostu przekonując pracowników o swoim stanowisku w firmie. Taka osoba atakująca może uzyskać fizyczny dostęp do obszarów o ograniczonym dostępie, zapewniając w ten sposób dalsze możliwości ataków.
Przykład 4
W większości przypadków zdarza się, że osoba atakująca może znajdować się w pobliżu Ciebie i może to zrobić shoulder surfing podczas wpisywania poufnych informacji, takich jak identyfikator użytkownika i hasło, kod PIN do konta itp.
Atak phishingowy
Atak phishingowy to oparta na komputerach inżynieria społeczna, w ramach której osoba atakująca tworzy wiadomość e-mail wyglądającą na prawdziwą. Takie wiadomości e-mail wyglądają i działają tak samo jak wiadomości otrzymane z oryginalnej witryny, ale mogą zawierać linki do fałszywych witryn internetowych. Jeśli nie jesteś wystarczająco sprytny, wpisz swój identyfikator użytkownika i hasło i spróbujesz się zalogować, co zakończy się niepowodzeniem, a do tego czasu osoba atakująca będzie miała Twój identyfikator i hasło, aby zaatakować Twoje oryginalne konto.
Szybka naprawa
Powinieneś wdrożyć dobrą politykę bezpieczeństwa w swojej organizacji i przeprowadzić wymagane szkolenia, aby wszyscy pracownicy byli świadomi możliwych ataków socjotechnicznych i ich konsekwencji.
Niszczenie dokumentów powinno być obowiązkową czynnością w Twojej firmie.
Upewnij się, że wszelkie linki, które otrzymujesz w swojej wiadomości e-mail, pochodzą z autentycznych źródeł i że prowadzą do właściwych witryn internetowych. W przeciwnym razie możesz zostać ofiarą phishingu.
Bądź profesjonalny i nigdy nie udostępniaj nikomu swojego identyfikatora i hasła.