Как защитить себя от этих 8 атак социальной инженерии

Программное обеспечение может только получить вас так далеко. Вы можете защитить свои пароли, установить антивирусное программное обеспечение, настроить брандмауэр, но в конечном итоге всегда есть слабое звено.

Люди.

Целый сектор взлома развился вокруг человеческого аспекта безопасности, известного как социальная инженерия

, Используя сочетание технических навыков взлома и межличностного общения, с большой дозой манипуляций, социальный инженер — который может также работать как хакер или в тандеме с ним — надеется извлечь личную или конфиденциальную информацию из цели. Люди манипулировали и обманывали других в течение многих, многих лет, но социальная инженерия делает это с конкретной целью создания среды, в которой люди будут раскрывать личную информацию.

Хотя эти методы часто используются для проникновения в компанию, их можно использовать для отдельных лиц, особенно высококлассных. Если вы нацелены — как бы вы узнали? Какие методы социальной инженерии использовал бы хакер и как бы вы защитились от них? Давайте рассмотрим некоторые из наиболее распространенных методов атаки.

1. Фишинг

Social-Engineer.org описывает фишинг как «практику отправки электронных писем из авторитетных источников с целью оказания влияния или получения личной информации».

Фишинг-Shutterstock

Наиболее распространенными примерами этого являются печально известные нигерийские банковские письма

вместе с «Срочно: Вы имеете право на возврат налога».

Как защитить себя

  • Не нажимайте на ссылки в электронных письмах. Если у вас есть какие-либо сомнения по поводу безопасности электронной почты, не нажимайте на ссылки — даже если они выглядят законно

    , Проще навести указатель мыши на ссылку и посмотреть, направляет ли она на правильный сайт на рабочем столе, чем на мобильный, но лучшее решение — просто вручную перейти на сам сайт и войти в систему напрямую, чем используя предоставленный URL-адрес.

  • Не загружайте вложения. Самый простой способ заразить ваше устройство вредоносным ПО — это загрузить вложения электронной почты. Большинство веб-почтовых клиентов сканируют вложения, чтобы сообщить вам, безопасны ли они, но это не является надежной защитой. Если вы загружаете вложение, перед его открытием обязательно проверьте его антивирусом. Если расширение файла не соответствует ожидаемому, не открывайте его, поскольку некоторые вредоносные программы могут быть замаскированы под «Document.pdf.exe». На всякий случай — никогда не открывайте (и не загружайте) вложения «.exe».
  • Проверьте адрес отправителя. На мобильных устройствах это может быть сложно, и злоумышленники знают об этом и все чаще встраивают это в свои атаки. Типичным примером является отправитель, указанный как «Paypal», но адрес может выглядеть как «[email protected]» или «[email protected]». Если это выглядит необычно, не нажимайте ссылки и не загружайте вложения.

2. Vishing

Vishing — это фишинг, но выполняется по телефону

, Это может быть очень эффективным, так как общение с реальным человеком может дать людям ощущение легкости, пока достигается правильное взаимопонимание.

Vishing_Shutterstock

Типичным примером является звонок из «технической поддержки», который затем попросит вас подтвердить свой пароль или другую конфиденциальную информацию.

Как защитить себя

  • Проверьте идентификатор звонящего. Если кто-то утверждает, что звонит из вашего банка, обратите внимание на его проверки безопасности, такие как упоминание определенных вещей из вашей учетной записи. Получить полное имя, отдел и филиал. Убедитесь, что вы уверены, что они те, кем они себя называют.
  • Получить контактную информацию. Спросите у них их контактную информацию, попробуйте проверить это онлайн и скажите, что вы перезвоните им. Это дает вам время для их аутентификации.
  • Будьте осторожны с представительными посетителями. Хотя с некоторыми людьми приятно и искренне приятно общаться, это также может быть частью инструментария социального инженера, который поможет вам чувствовать себя непринужденно и с большей вероятностью раскрывать информацию. Если звонок дал вам повод для подозрения, будьте скептичны к звонящему.

3. Социальные сети

Как часто вы сами гуглите? Продолжай — нет, правда — как часто? И что происходит, когда вы делаете? Возможно, ваши аккаунты в Twitter, LinkedIn, Facebook, Foursquare. Переключите поиск на изображения, и вы увидите эту зернистую картинку из своего старого профиля MySpace или Bebo.

Social_Media-Shutterstock

Теперь подумайте, какую информацию вы получите по этим ссылкам — примерное (или подробное) местоположение, места, которые вы посещаете, список друзей, место работы и многое другое. Может быть довольно страшно, сколько информации вы публикуете, даже если вы этого не хотите.

Как защитить себя

  • Подумайте, прежде чем отправлять. Публикуете ли вы что-то, что вы не имели в виду, например, геотеггинг вашей фотографии, или на фоне фотографии есть конфиденциальная или идентифицирующая информация?
  • Настройте эти параметры конфиденциальности. Мы все знаем, что социальные сети любят, чтобы мы делились всем со всеми, поэтому настройки конфиденциальности Facebook так сложны

    , но эти настройки существуют по причине. Убедитесь, что вы публикуете сообщения только тех людей, которым вы хотите видеть свое сообщение. Выбирайте «друзей», которых вы не знаете. Это действительно важно на Facebook, который является сетью, в которой вы активно поощряетесь к переплате

    ,

  • Запрет индексирования поисковой системы. Если вы хотите, чтобы ваш аккаунт Pinterest не появлялся в результатах поиска рядом с LinkedIn, зайдите в настройки и отключите индексирование поисковой системы. У большинства крупных социальных сетей есть такая опция.
  • Давай в приват. Подумайте, действительно ли вам нужны ваши аккаунты в Instagram и Twitter, чтобы быть публичными.
  • Подумайте, если вам нужно опубликовать. То, что есть возможность опубликовать, не означает, что вы должны это делать. Это не только не дает вам возможности делиться публично, но также может помочь вам улучшить отношения с технологиями.

4. Dumpster Diving

К сожалению, правда в том, что даже в нашем современном мире мы все еще получаем конфиденциальную информацию (медицинские записи, банковские выписки) или спам в наших (физических) почтовых ящиках. А как насчет тех документов, которые вы принесли домой с работы, чтобы отредактировать перед следующей большой встречей? Вы только что положили их в корзину, когда закончили с ними? Это сундук с сокровищами для начинающего социального инженера.

В определенных ситуациях они могут выбрать «погружение в мусорное ведро», когда они перебирают мусор, чтобы найти информацию, которую они могут использовать о вас.

Как защитить себя

  • Измельчите все вещи. Как и в случае с социальными сетями, по каждому пункту трудно понять, какой вред может быть выбрасывать что-то вроде квитанции. Но когда вся эта информация собрана воедино, она откроет о вас гораздо больше, чем вы предполагали. Лучший совет здесь, если явно безобиден, а затем уничтожить его

    ,

. Имейте в виду, что некоторые вредоносные программы могут уклоняться и даже отключать антивирусное программное обеспечение.

6. Задняя дверь

Эта атака чаще всего направлена ​​на компании, но не исключительно. Это когда злоумышленник получит доступ к физическому пространству, следуя или преследуя позади уполномоченного лица.

Как защитить себя

  • Знайте, кто вокруг вас. Хороший злоумышленник не выделяется, но если кто-то, кого вы не узнаете, появится однажды, следите за ним.
  • Не бойтесь задавать вопросы. Задняя дверь чаще всего встречается на работе, когда злоумышленник надеется получить информацию о компании. Даже вне рабочего контекста вы не должны бояться задавать вопросы. Если кто-то идет за вами в ваш жилой дом, спросите его, куда они идут, и можете ли вы помочь им найти дорогу. Чаще всего социальный инженер уклоняется от этих вопросов и может даже отказаться от своей атаки.

7. Typosquatting

Просто слишком просто неправильно набрать адрес сайта. И это именно то, что хочет социальный инженер. Эти злоумышленники утверждают, что веб-сайты похожи на популярные направления (например, «Амазон», а не «Амазон»), а затем используют эти страницы для перенаправления пользователей или сбора информации для входа на реальный сайт. Некоторые крупные сайты уже помогли вам с этим, и они перенаправляют варианты неправильных написаний своего URL на правильный.

Как защитить себя

  • Обратите внимание при вводе адресов сайтов. Я знаю, что спешить может быть заманчиво, особенно если вы знаете сайт, но всегда проверяйте, прежде чем нажать Enter.
  • Установите хороший антивирус. Некоторые сайты опечаток собираются попытаться заставить вас загрузить вредоносное ПО. Хорошее антивирусное программное обеспечение подберет любые вредоносные файлы или даже веб-сайты, прежде чем они причинят вам вред.
  • Добавьте в закладки часто посещаемые сайты. Это то, что закладки для

    , Это означает, что вы всегда будете знать, что идете на реальный сайт.

8. Clickjacking

Clickjacking — это техника, используемая для того, чтобы заставить пользователя щелкнуть по чему-то другому, чем он думал

они были.

ClickJacking-Скриншот

Примером этого может быть, если на Facebook будет опубликовано видео с лолкатом, похожее на видео на YouTube. Вы нажимаете кнопку воспроизведения, но вместо того, чтобы смотреть, как катаются некоторые кошки, вы попадаете на страницу с просьбой загрузить программное обеспечение или что-либо иное, кроме просмотра вашего видео на lolcat.

Как защитить себя

  • Установите NoScript. NoScript — это дополнение к Firefox, которое автоматически блокирует исполняемый веб-скрипт, такой как Flash, Java и Javascript. В NoScript есть функция под названием «ClearClick», которая направлена ​​на предотвращение атак, связанных с кликбеком.
  • Не используйте встроенные браузеры. На мобильных устройствах это может быть сложнее, а предотвращение перехвата кликов. Один из способов избежать этого — не использовать встроенные в приложение веб-браузеры, так как это наиболее вероятная точка атаки для перехвата кликов. Придерживайтесь вашего браузера по умолчанию.

Защити себя — но будь спокоен

Хотя социальная инженерия может показаться пугающей — кто-то использует человеческое поведение, чтобы обмануть вас, чтобы выдать личную или конфиденциальную информацию, — но важно сохранять спокойствие. Риск может быть всегда, но вряд ли когда-либо случится.

У вас, как у человека, есть то, что называется «конфиденциальность через неизвестность», поэтому, если вы не являетесь знаменитостью или главой крупной компании, то вряд ли вы будете специально нацелены. Убедитесь, что вы помните об этих привычках, но не позволяйте им контролировать свою жизнь. Жизнь, проведенная в состоянии постоянного недоверия, была бы чрезвычайно напряженной и намного менее приятной.

Используете ли вы какие-либо из этих советов, чтобы защитить себя? Знаете ли вы, что существует такая вещь, как социальная инженерия? Есть предложения? Дайте нам знать в комментариях ниже!

Изображение предоставлено: хакер усердно работает от ra2studio через Shutterstock, Andrey_Popov через Shutterstock.com, Изображение предоставлено: wk1003mike через Shutterstock.com, Изображение предоставлено: rvlsoft via Shutterstock.com

Ссылка на основную публикацию
Adblock
detector