Innholdsfortegnelse:
- Bruk Internett
- Dumpster dykkere
- Angrepere kan skaffe seg informasjon ved hjelp av funksjonen for å ringe etter navn som er innebygd i de fleste telefonsvarer. For å få tilgang til denne funksjonen, trykker du vanligvis 0 etter å ha ringt til selskapets hovednummer eller etter at du har tastet inn en persons talepostkasse. Dette trikset fungerer best etter timer for å sikre at ingen svarer.
- Den siste kriminelle hackingsåten er
Video: Privacy, Security, Society - Computer Science for Business Leaders 2016 2024
Når sosialingeniører har et mål i tankene, starter de vanligvis angrepet ved å samle offentlig informasjon om deres offer (e). Mange sosialingeniører kjøper informasjon sakte over tid, slik at de ikke vekker mistanke. Åpenbar informasjonsinnsamling er et tips når man forsvarer seg mot sosialteknikk.
Uansett den opprinnelige forskningsmetoden kan det hende at alle hacker trenger å trenge inn i en organisasjon, er en ansattsliste, noen viktige interne telefonnumre, de siste nyhetene fra et nettsamfunn for sosiale medier eller en bedriftskalender.
Bruk Internett
Noen få minutter på Google eller andre søkemotorer, ved hjelp av enkle søkeord, for eksempel firmanavn eller bestemte ansattes navn, produserer ofte mye informasjon. Du finner enda mer informasjon i SEC-arkiver på og på slike nettsteder som Hoover's og Yahoo Finance. Ved å bruke denne søkemotorinformasjonen og surfe på selskapets nettside, har angriperen ofte nok informasjon til å starte et sosialteknisk angrep.
De dårlige kan betale bare noen få dollar for en omfattende online bakgrunnskontroll på enkeltpersoner. Disse søkene kan vise nesten alle offentlige - og noen ganger private - opplysninger om en person på få minutter.
Dumpster dykkere
Dumpster dykking er litt mer risikabelt - og det er absolutt rotete. Men det er en svært effektiv metode for å skaffe informasjon. Denne metoden innebærer bokstavelig talt rommaging gjennom søppelbokser for informasjon om et selskap.
Dumpster dykking kan vise opp den mest konfidensielle informasjonen fordi mange ansatte antar at deres informasjon er trygt etter at den går inn i søpla. De fleste tenker ikke på den potensielle verdien av papiret de kaster bort. Disse dokumentene inneholder ofte et vell av informasjon som kan tippe av sosialingeniør med informasjon som trengs for å trenge inn i organisasjonen. Den stakkars sosialingeniør ser etter følgende trykte dokumenter:
-
Internt telefonlister
-
Organisasjonsdiagrammer
-
Ansattehåndbøker, som ofte inneholder sikkerhetspolitikk
-
Nettverksdiagrammer
-
Passordlister
-
Møteanbefalinger > Regneark og rapporter
-
Utskrifter av e-post som inneholder konfidensiell informasjon
-
Makuleringsdokumenter er bare effektive hvis papiret er
kryssformet i små konfetti-deler. Billige shredders som makulerer dokumenter bare i lange strimler er i utgangspunktet verdiløse mot en bestemt sosial ingeniør. Med litt tid og tape kan en sosialingeniør dele et dokument sammen igjen hvis det er det han er fast bestemt på å gjøre. De dårlige ser også ut i søplaen for CD-ROMer og DVDer, gamle datamaskinsaker (spesielt de med harddisker som fortsatt er intakte) og backup-bånd.
Telefonsystemer
Angrepere kan skaffe seg informasjon ved hjelp av funksjonen for å ringe etter navn som er innebygd i de fleste telefonsvarer. For å få tilgang til denne funksjonen, trykker du vanligvis 0 etter å ha ringt til selskapets hovednummer eller etter at du har tastet inn en persons talepostkasse. Dette trikset fungerer best etter timer for å sikre at ingen svarer.
Angrepere kan beskytte sine identiteter hvis de kan skjule hvor de ringer fra. Her er noen måter de kan gjemme sine steder på:
Residential telefoner
-
kan noen ganger skjule sine numre fra anroper-ID ved å ringe * 67 før telefonnummeret. Denne funksjonen er ikke effektiv når du ringer uten nummer (800, 888, 877, 866) eller 911.
Forretningstelefoner
-
på et kontor som bruker en telefonbryter, er vanskeligere å spoofe. Men alle angriperne trenger vanligvis brukerhåndboken og administratorpassordet for telefonbryterprogramvaren. I mange brytere kan angriperen angi kildenummeret - inkludert et forfalsket nummer, for eksempel offerets hjemnummer. Voice over Internet Protocol (VoIP) telefonsystemer gjør dette til et ikke-problem, men. VoIP-servere
-
som åpen kildekode Asterisk kan brukes og konfigureres til å sende et hvilket som helst nummer de vil ha. Phish-e-post
Den siste kriminelle hackingsåten er
phishing - Kriminelle sender falske e-post til potensielle ofre for å få dem til å avsløre sensitiv informasjon eller klikke ondsinnede lenker. Phishing har faktisk eksistert i årevis, men det har nylig fått større synlighet gitt noen høyprofilerte utnyttelser mot tilsynelatende ugjennomtrengelige organisasjoner. Phishing er effektiv, og konsekvensene er ofte stygge. Noen få velplasserte e-postmeldinger er alt som kreves for kriminelle å hente passord, stjele sensitiv informasjon, eller injisere malware i målrettede datamaskiner.
Du kan utføre din egen phishing-øvelse. En rudimentær metode er å sette opp en falsk e-postkonto som ber om informasjon eller koble til et ondsinnet nettsted, sende e-post til ansatte eller andre brukere du vil teste, og se hva som skjer. Det er egentlig så enkelt som det.
Du vil bli overrasket over hvor utsatt brukerne egentlig er for dette trikset. De fleste phishing-tester har en suksessrate på 10-15 prosent. Det kan være så høyt som 80 prosent. Disse prisene er ikke gode for sikkerhet eller for forretninger!
En mer formell måte å utføre phishing-tester på er å bruke et verktøy som er laget spesielt for jobben. Selv om du har en god opplevelse med kommersielle leverandører, må du tenke lenge og hardt om å gi opp potensielt sensitiv informasjon som kan sendes direkte eller uforvarende, uten å bli kontrollert igjen.
Hvis du går ned denne banen, må du sørge for at du forstår hva som blir avslørt til disse tredjeparts phishing-leverandørene, akkurat som du ville med en hvilken som helst skyttjenesteleverandør. Stol på, men bekreft.
En åpen kildekode alternativ til kommersielle phishing-verktøy er Simple Phishing Toolkit, også kjent som SPT.Å sette opp et spt-prosjektmiljø er ikke nødvendigvis enkelt, men etter at du har det på plass, kan det gjøre fantastiske ting for phishing-initiativene dine.
Du vil ha forhåndsinstallerte e-postmaler, muligheten til å
skrape (kopiere side fra) levende nettsteder, slik at du kan tilpasse din egen kampanje og ulike rapporteringsmuligheter slik at du kan spore hvilken e -mail-brukere tar agnet og feiler tester. Sosialingeniører kan finne interessante biter av informasjon, til tider, for eksempel når deres ofre er ute av byen, bare ved å lytte til talepostmeldinger. De kan til og med studere ofre stemmer ved å lytte til sine talepostmeldinger, podcaster eller webcasts, slik at de kan lære å etterligne dem.