Oluline on olla teadlik sotsiaaltehnoloogiast ja olla kursis. Turvalisuse programmid ei kaitse teid enamiku sotsiaalsete inseneride ohtude eest, seega peate end kaitsma.
Sotsiaaltehnika selgitus
Traditsioonilised arvutipõhised rünnakud sõltuvad sageli arvuti koodi haavatavuse tuvastamisest. Näiteks kui kasutate Adobe Flashi aegunud versiooni - või, Jumal, keelake, Java, mis oli Cisco järgi 91% rünnakutest 2013. aastal - võite külastada pahatahtlikku veebisaiti ja seda veebisaiti kasutab oma arvutites ligipääsu oma tarkvaras haavatavust. Ründaja manipuleerib tarkvara veadesse, et pääseda juurde ja koguda privaatset teavet, ehk siis nende installitud keyloggeriga.
Sotsiaalhoolduse trikid on erinevad, sest nende asemel on tegemist psühholoogilise manipuleerimisega. Teisisõnu kasutavad nad inimesi, mitte nende tarkvara.
Olete ilmselt juba kuulnud andmepüügist, mis on sotsiaalse inseneri vorm. Võite saada e-posti, milles väidetakse, et see on teie pangast, krediitkaardiettevõttest või mõnelt muust usaldusväärses ettevõttes. Nad võivad suunata teid võltsitud veebisaiti, mis on varjatud ja tundub olevat tõeline, või palub teil pahatahtlikku programmi alla laadida ja installida. Kuid sellised sotsiaalse inseneri trikid ei pea kaasama võltsitud veebisaite ega pahavara. Andmepüügimälus võib lihtsalt paluda saata e-posti vastus privaatse teabega. Selle asemel, et proovida kasutada viga tarkvara, püüavad nad kasutada tavapäraseid inimesevahelisi suhteid. Späri andmepüük võib olla veelgi ohtlikum, kuna see on teatud tüüpi üksikisikutele suunatud andmepüügi vorm.
Sotsiaaltehnoloogia näited
Üks vestlusteenuste ja võrgumängude populaarne trikk oli registreerida kontot nimega "Administraator" ja saata inimestele hirmutavad sõnumid, nagu "HOIATUS! Oleme tuvastanud, et keegi võib teie konto häkkida, oma parooli autentimiseks vastata oma parooliga." Kui sihtmärk vastab nende paroolile, on nad oma pettuse tõttu rünnanud ja ründajal on nüüd oma konto parool.
Kui kellelgi on teie kohta isiklikke andmeid, võivad nad kasutada seda teie kontodele juurdepääsu saamiseks. Näiteks kasutatakse teie tuvastamiseks sageli teavet nagu teie sünnikuupäev, sotsiaalkindlustuse number ja krediitkaardi number. Kui kellelgi on see teave, võivad nad ettevõttega ühendust võtta ja teeselda, et olete teiega. Selle trikiga kasutas ründaja Sarah Palini Yahoo!-ile juurdepääsu. Posti konto 2008, esitades piisavalt isikuandmeid, et pääseda kontole Yahoo! Parooli taastamise vormis. Sama meetodit saab telefoni kasutada, kui teil on isiklik teave, mida ettevõte vajab teie autentimiseks. Ründaja, kellel on mõni teave sihtmärgi kohta, võib teeselda, et nad on ja saavad juurdepääsu rohkematele asjadele.
Sotsiaalset insenerit saab kasutada ka isiklikult. Ründaja võib ettevõttest sisse minna, teavitada sekretäri, et nad on usaldusväärne ja veenev toon, et nad on remonditöötaja, uus töötaja või tuletõrjeinspektor, ning seejärel rändavad salud ja varustavad konfidentsiaalseid andmeid või taime vigu ettevõtte spionaaži tegemiseks. See trikk sõltub sellest, et ründaja esitab end kui keegi, kellest nad ei ole. Kui sekretär, uksehoidja või keegi teine vastutab, ei küsi liiga palju küsimusi ega vaata liiga tihedalt, on trikk õnnestunud.
Sotsiaalsete initsiatiivide rünnakud hõlmavad võltsitud veebisaitide, petturlike e-kirjade ja halva vestlusloendi ulatust kuni telefoni või isikliku isikupära kujundamiseni. Need rünnakud on väga erinevad, kuid neil kõigil on üks ühine asi - need sõltuvad psühholoogilisest pettustest. Sotsiaalset inseneriat on nimetanud psühholoogilise manipulatsiooni kuniks. See on üks peamisi viise, kuidas häkkerid "võrgus" tegelikult hackisid.
Kuidas vältida sotsiaaltehnoloogiat
Sotsiaalse inseneri olemasolu teadmine aitab teil seda võidelda. Olge kahtlane soovimatute e-kirjade, vestlussõnumite ja telefonikõnede eest, mis küsivad privaatset teavet. Ärge avaldage e-posti teel finantsteavet ega olulist isiklikku teavet. Ärge laadige alla potentsiaalselt ohtlikke e-posti manuseid ja käitage neid, isegi kui e-post väidab, et need on olulised.
Samuti ei tohiks te tundlikel veebisaitidel e-posti lingid jälgida. Näiteks ärge klõpsake lingil e-posti aadressil, mis tundub olevat teie pangast ja logige sisse. See võib viia teid võltsitud andmepüügisaiti, mis on peidetud panga saidil, kuid millel on üsna erinev URL. Külastage veebisaiti otse selle asemel.
Kui saate kahtlase taotluse - näiteks teie pangast telefonikõne küsib isiklikku teavet - pöörduge palve allika poole otse ja küsige kinnitus. Selles näites võite helistada pangale ja küsida, mida nad tahavad, selle asemel, et avaldada teavet kellelegi, kes väidab end olevat teie pank.
E-posti programmid, veebibrauserid ja turvapakendused sisaldavad üldjuhul andmepüügifiltreid, mis hoiatavad teid teadaoleva andmepüügisaiti külastades.Kõik, mida nad saavad teha, hoiatavad teid, kui külastate teadaolevat andmepüügisaiti või saate teadaoleva andmepüügi e-kirju ning nad ei tea kõikidest andmepüügisaitidest ja e-kirjast. Enamasti on ennast ise ennast kaitsta - turvaprogrammid võivad natuke aidata.
Hea mõte on eraelu puutumatuse taotluste ja muu, mis võib olla sotsiaal-tehniline rünnak, käsitlemiseks terve kahtlus. Kahtlus ja ettevaatlikkus kaitsevad teid nii veebis kui ka väljaspool seda.
