Kio estas socia Inĝenierio? 11 Ekzemploj por Atenti
Enhavtabelo
Kio ĝuste estas Socia Inĝenierado, ĉiuokaze?
Socia inĝenierado rilatas al la ago manipuli homojn por ĉerpi iliajn konfidencajn informojn. La speco de informoj, kiujn krimuloj serĉas, povas varii. Kutime, la individuoj estas celitaj por siaj bankaj detaloj aŭ siaj kontaj pasvortoj. Krimuloj ankaŭ provas aliri la komputilon de la viktimo por ke ili instalu malican programaron. Ĉi tiu programaro tiam helpas ilin ĉerpi ajnan informon, kiun ili eble bezonos.
Krimuloj uzas taktikojn de socia inĝenierado ĉar ofte estas facile ekspluati homon akirante sian fidon kaj konvinkas ilin prirezigni siajn personajn detalojn. Ĝi estas pli oportuna maniero ol rekte haki ies komputilon sen ilia scio.
Ekzemploj de Socia Inĝenierado
Vi povos pli bone protekti vin informante pri la malsamaj manieroj, kiel socia inĝenierado estas farita.
1. Preteksto
Pretexting estas uzata kiam la krimulo volas aliri sentemajn informojn de la viktimo por plenumi kritikan taskon. La atakanto provas akiri la informojn per pluraj zorge kreitaj mensogoj.
La krimulo komencas establante fidon kun la viktimo. Ĉi tio povas esti farita personigante iliajn amikojn, kolegojn, bankoficistojn, policanojn aŭ aliajn aŭtoritatojn, kiuj povas peti tiajn sentemajn informojn. La atakanto demandas al ili serion da demandoj kun la preteksto konfirmi ilian identecon kaj kolektas personajn datumojn en ĉi tiu procezo.
Ĉi tiu metodo estas uzata por ĉerpi ĉiajn personajn kaj oficialajn detalojn de homo. Tiaj informoj povas inkluzivi personajn adresojn, sociajn asekurajn numerojn, telefonnumerojn, telefonajn registrojn, bankajn detalojn, feriajn datojn de dungitaro, sekurecan informon rilate al entreprenoj, ktp.
2. Distra Ŝtelo
Ĉi tio estas speco de fraŭdo, kiu estas ĝenerale celita al kurieroj kaj transportkompanioj. La krimulo provas trompi la celfirmaon igante ilin disponigi sian liverpakaĵon al malsama liverloko ol tiu origine celita. Ĉi tiu tekniko estas uzata por ŝteli valorajn varojn, kiuj estas liveritaj per la poŝto.
Ĉi tiu fraŭdo povas esti farita ambaŭ eksterrete kaj interrete. La personaro portanta la pakaĵojn povas esti kontaktita kaj esti konvinkita demeti la liveraĵon en malsama loko. Atakantoj ankaŭ povus akiri aliron al la interreta liversistemo. Ili tiam povas kapti la liverhoraron kaj fari ŝanĝojn al ĝi.
3. Phishing
Phishing estas unu el la plej popularaj formoj de socia inĝenierado. Phishing-fraŭdoj implikas retpoŝtajn kaj tekstajn mesaĝojn, kiuj povus krei senton de scivolemo, timo aŭ urĝeco ĉe la viktimoj. La teksto aŭ retpoŝto instigas ilin alklaki ligilojn, kiuj kondukus al malicaj retejoj aŭ aldonaĵoj, kiuj instalus malware sur iliaj aparatoj.
Ekzemple, uzantoj de reta servo povus ricevi retpoŝton asertante, ke okazis politika ŝanĝo, kiu postulas ilin tuj ŝanĝi siajn pasvortojn. La poŝto enhavos ligilon al kontraŭleĝa retejo, kiu estas identa al la originala retejo. La uzanto tiam enigos siajn kontajn akreditaĵojn en tiun retejon, konsiderante ĝin kiel la legitima. Sendante iliajn detalojn, la informoj estos alireblaj por la krimulo.
4. Spear Phishing
Ĉi tio estas speco de phishing-fraŭdo, kiu estas pli celita al aparta individuo aŭ organizo. La atakanto personigas siajn mesaĝojn surbaze de la laborpostenoj, karakterizaĵoj kaj kontraktoj rilataj al la viktimo, por ke ili ŝajnu pli aŭtentaj. Lanco-fiŝkaptado postulas pli da penado de la krimulo kaj povas preni multe pli da tempo ol regula phishing. Tamen, ili estas pli malfacile identigeblaj kaj havas pli bonan sukceson.
Ekzemple, atakanto provanta lancon phishing sur organizo sendos retpoŝton al dungito parodianta la IT-konsultiston de la firmao. La retpoŝto estos enkadrigita en maniero ĝuste simila al kiel la konsultisto faras ĝin. Ĝi ŝajnos sufiĉe aŭtentika por trompi la ricevanton. La retpoŝto instigos la dungiton ŝanĝi sian pasvorton provizante al ili ligilon al malica retpaĝo, kiu registros iliajn informojn kaj sendos ĝin al la atakanto.
5. Akvotruado
La akvotrua fraŭdo utiligas fidindajn retejojn, kiuj estas regule vizitataj de multaj homoj. La krimulo kolektos informojn pri celita grupo de homoj por determini kiujn retejojn ili ofte vizitas. Ĉi tiuj retejoj tiam estos provitaj pri vundeblecoj. Kun la tempo, unu aŭ pluraj membroj de ĉi tiu grupo infektiĝos. La atakanto tiam povos aliri la sekuran sistemon de ĉi tiuj infektitaj uzantoj.
La nomo venas de la analogeco de kiel bestoj trinkas akvon kolektante ĉe siaj fidindaj lokoj kiam ili soifas. Ili ne pensas dufoje pri preni antaŭzorgojn. La predantoj konscias pri tio, do ili atendas proksime, pretaj ataki ilin kiam ilia gardisto malaltiĝos. Akvotruado en la cifereca pejzaĝo povas esti uzata por fari kelkajn el la plej ruinigaj atakoj kontraŭ grupo de vundeblaj uzantoj samtempe.
6. Loĝado
Kiel ĝi estas evidente de la nomo, logilo implikas la uzon de malvera promeso ekigi la scivolemon aŭ avidecon de la viktimo. La viktimo estas logita en ciferecan kaptilon, kiu helpos la krimulon ŝteli siajn personajn detalojn aŭ instali malware en siaj sistemoj.
Logado povas okazi per interretaj kaj eksterretaj rimedoj. Kiel eksterreta ekzemplo, la krimulo eble forlasos la logilon en la formo de poŝmemoro, kiu estis infektita per malware ĉe okulfrapaj lokoj. Ĉi tio povus esti la lifto, banĉambro, parkejo, ktp., de la celata firmao. La flash drive havos aŭtentan aspekton al ĝi, kio igos la viktimon preni ĝin kaj enmeti ĝin en sian laboran aŭ hejman komputilon. La poŝmemoro tiam aŭtomate eksportos malware en la sistemon.
Retaj formoj de logilo povus esti en la formo de allogaj kaj allogaj reklamoj, kiuj instigus viktimojn alklaki ĝin. La ligo povas elŝuti malicajn programojn, kiuj tiam infektos ilian komputilon per malware.
7. Quid Pro Quo
Quid pro quo-atako signifas "io por io" atako. Ĝi estas vario de la logiltekniko. Anstataŭ logado de la viktimoj kun la promeso de profito, atako pro quo promesas servon se specifa ago estis efektivigita. La atakanto ofertas falsan avantaĝon al la viktimo kontraŭ aliro aŭ informoj.
La plej ofta formo de ĉi tiu atako estas kiam krimulo parodias IT-kunlaborantaron de firmao. La krimulo tiam kontaktas la dungitojn de la firmao kaj ofertas al ili novan softvaron aŭ sistemĝisdatigon. La dungito tiam estos petita malŝalti sian kontraŭvirusan programaron aŭ instali malican programaron se ili volas la ĝisdatigon.
8. Tailgating
Atako ankaŭ estas nomita piggybacking. Ĝi implikas la krimulon serĉantan eniron ene de limigita loko, kiu ne havas taŭgajn aŭtentigajn mezurojn. La krimulo povas akiri aliron enirante malantaŭ alia persono kiu estis rajtigita eniri la areon.
Ekzemple, la krimulo povas parodii liveriston, kiu havas siajn manojn plenaj de pakaĵoj. Li atendas ke rajtigita dungito eniru la pordon. La trompisto liveristo tiam petas al la dungito teni la pordon por li, tiel lasante lin aliri sen iu rajtigo.
9. Mielkaptilo
Ĉi tiu ruzo implikas la krimulon ŝajnigi esti alloga persono interrete. La persono amikigas siajn celojn kaj falsas interretan rilaton kun ili. La krimulo tiam ekspluatas ĉi tiun rilaton por ĉerpi personajn detalojn de siaj viktimoj, prunti monon de ili aŭ igi ilin instali malware en siaj komputiloj.
La nomo "mielkaptilo" venas de la malnovaj spiontaktikoj kie virinoj estis uzataj por celi virojn.
10. Fripono
Fripona programaro povus aperi en la formo de fripona kontraŭ-malware, fripona skanilo, fripona timigilo, kontraŭ-spiono, ktp. Ĉi tiu speco de komputila malware trompas uzantojn pagi por ŝajniga aŭ falsa programaro kiu promesis forigi malware. Fripona sekureca programaro fariĝis kreskanta zorgo en la lastaj jaroj. Sensuspekta uzanto povus facile fali predon al tia programaro, kiu estas havebla en multe da.
11. Malware
La celo de malware-atako estas igi la viktimon instali malware en siaj sistemoj. La atakanto manipulas homajn emociojn por igi la viktimon permesi la malbonvaron en iliajn komputilojn. Ĉi tiu tekniko implikas la uzon de tujmesaĝoj, tekstmesaĝoj, sociaj amaskomunikiloj, retpoŝto, ktp., por sendi phishing mesaĝojn. Ĉi tiuj mesaĝoj trompas la viktimon klaki ligilon, kiu malfermos retejon, kiu enhavas la malware.
Timigaj taktikoj estas ofte uzataj por la mesaĝoj. Ili povus diri, ke estas io malĝusta kun via konto kaj ke vi devas tuj alklaki la provizitan ligilon por ensaluti en vian konton. La ligo tiam igos vin elŝuti dosieron per kiu la malware estos instalita en via komputilo.
Restu Konscia, Restu Sekura
Teni vin informita estas la unua paŝo por protekti vin kontraŭ atakoj de socia inĝenierado. Baza konsilo estas ignori ajnajn mesaĝojn petante vian pasvorton aŭ financan informon. Vi povas uzi spam-filtrilojn kiuj venas kun viaj retpoŝtaj servoj por marki tiajn retpoŝtojn. Akiri fidindan kontraŭvirusan programaron ankaŭ helpos plu sekurigi vian sistemon.
