Mi Szociális tervezés? 11 példa, amire figyelni kell
Tartalomjegyzék
Egyáltalán, mi is az a Social Engineering?
A társadalmi manipuláció az emberek manipulálására utal bizalmas információik kinyerése érdekében. Az, hogy a bűnözők milyen információkat keresnek, eltérő lehet. Általában az egyéneket a banki adataik vagy a számlajelszavaik alapján célozzák meg. A bűnözők megpróbálnak hozzáférni az áldozat számítógépéhez, hogy rosszindulatú szoftvereket telepítsenek. Ez a szoftver ezután segít nekik az esetlegesen szükséges információk kinyerésében.
A bûnözõk social engineering taktikákat alkalmaznak, mert gyakran könnyen kizsákmányolhatnak egy személyt azáltal, hogy megnyerik a bizalmukat, és ráveszik, hogy adják fel személyes adataikat. Kényelmesebb módszer, mint közvetlenül valaki számítógépét a tudta nélkül feltörni.
Social Engineering példák
Jobban meg tudja védeni magát azáltal, hogy tájékozódhat a szociális manipuláció különböző módjairól.
1. Pretexting
Az ürügyet akkor használják, ha a bűnöző érzékeny információhoz akar hozzáférni az áldozattól egy kritikus feladat elvégzése érdekében. A támadó több gondosan kidolgozott hazugságon keresztül próbálja megszerezni az információkat.
A bűnöző azzal kezdődik, hogy bizalmat alakít ki az áldozattal. Ezt megtehetik barátaik, kollégáik, banki tisztviselőik, rendőrségi vagy más hatóságok személyi adataival, akik ilyen érzékeny információkat kérhetnek. A támadó egy sor kérdést tesz fel nekik azzal az ürüggyel, hogy megerősítse személyazonosságát, és ennek során személyes adatokat gyűjt.
Ezzel a módszerrel mindenféle személyes és hivatalos adatot kinyernek egy személyből. Ilyen információk lehetnek személyes címek, társadalombiztosítási számok, telefonszámok, telefonnyilvántartások, banki adatok, a személyzet szabadságának dátumai, a vállalkozásokkal kapcsolatos biztonsági információk stb.
2. Elterelési lopás
Ez egy olyan típusú csalás, amely általában futár- és szállítási cégeket céloz meg. A bűnöző úgy próbálja becsapni a célcéget, hogy a szállítócsomagjukat az eredeti szándéktól eltérő szállítási helyre szállítja. Ezt a technikát a postán keresztül kézbesített értékes áruk ellopására használják.
Ez a csalás offline és online is végrehajtható. A csomagokat szállító személyzet megkereshető, és meggyőződhet arról, hogy a szállítmányt egy másik helyre adják le. A támadók hozzáférhetnek az online kézbesítési rendszerhez is. Ezután lehallgathatják a szállítási ütemtervet, és módosíthatják azt.
3. Adathalászat
Az adathalászat a szociális manipuláció egyik legnépszerűbb formája. Az adathalász csalások e-maileket és szöveges üzeneteket foglalnak magukban, amelyek kíváncsiságot, félelmet vagy sürgősséget kelthetnek az áldozatokban. A szöveg vagy e-mail arra készteti őket, hogy olyan linkekre kattintsanak, amelyek rosszindulatú webhelyekhez vagy mellékletekhez vezetnek, amelyek rosszindulatú programokat telepítenek eszközeikre.
Például egy online szolgáltatás felhasználói kaphatnak egy e-mailt, amelyben azt állítják, hogy olyan irányelvmódosítás történt, amely megköveteli, hogy azonnal módosítsák jelszavaikat. A levél egy illegális webhelyre mutató hivatkozást tartalmaz, amely megegyezik az eredeti weboldallal. A felhasználó ezután beírja a fiók hitelesítő adatait az adott webhelyre, azt tekintve, hogy ez a legális. Adataik elküldésekor az információk hozzáférhetők lesznek a bűnöző számára.
4. Lándzsa adathalászat
Ez egyfajta adathalász csalás, amely inkább egy adott személyt vagy szervezetet céloz meg. A támadó az áldozattal kapcsolatos munkakörök, jellemzők és szerződések alapján testreszabja üzeneteit, hogy azok valódibbnak tűnjenek. A lándzsás adathalászat több erőfeszítést igényel a bűnözőtől, és sokkal több időt vehet igénybe, mint a szokásos adathalászat. Azonban nehezebb azonosítani őket, és jobb a sikerességi arányuk.
Például egy támadó, aki lándzsás adathalászatot kísérel meg egy szervezeten, e-mailt küld a cég informatikai tanácsadójának kiadó alkalmazottjának. Az e-mail olyan keretbe kerül, amely pontosan hasonló ahhoz, ahogyan a tanácsadó teszi. Elég hitelesnek fog tűnni ahhoz, hogy megtévessze a címzettet. Az e-mail felszólítja az alkalmazottat, hogy változtassa meg jelszavát, és adjon meg egy hivatkozást egy rosszindulatú weboldalra, amely rögzíti az adatait, és elküldi azokat a támadónak.
5. Víz-Holing
A víznyelő csalás megbízható webhelyeket használ ki, amelyeket rendszeresen látogatnak sokan. A bűnöző információkat gyűjt egy megcélzott embercsoportról, hogy meghatározza, mely webhelyeket látogatja meg gyakran. Ezeket a webhelyeket ezután tesztelik a sebezhetőségek szempontjából. Idővel ennek a csoportnak egy vagy több tagja megfertőződik. A támadó ezután hozzáférhet a fertőzött felhasználók biztonságos rendszeréhez.
A név abból a hasonlatból származik, hogy az állatok vizet isznak úgy, hogy megbízható helyükön gyűlnek össze, amikor szomjasak. Nem gondolják meg kétszer az óvintézkedéseket. A ragadozók tisztában vannak ezzel, ezért a közelben várakoznak, készen arra, hogy megtámadják őket, amikor az őrség leáll. A digitális környezetben történő vízkitörések felhasználhatók egyidejűleg a legpusztítóbb támadások némelyikére a sebezhető felhasználók egy csoportja ellen.
6. Csalizás
Amint az a névből is kitűnik, a csali hamis ígéret felhasználásával jár, hogy kiváltsa az áldozat kíváncsiságát vagy kapzsiságát. Az áldozatot egy digitális csapdába csábítják, amely segít a bűnözőnek ellopni személyes adatait vagy rosszindulatú programokat telepíteni a rendszerébe.
A csalizás történhet online és offline médiumokon is. Offline példaként a bűnöző feltűnő helyeken rosszindulatú programokkal fertőzött pendrive formájában hagyhatja el a csalit. Ez lehet a megcélzott cég liftje, fürdőszobája, parkolója stb. A pendrive hiteles megjelenésű lesz, ami arra készteti az áldozatot, hogy magához vegye és behelyezze a munkahelyi vagy otthoni számítógépébe. A flash meghajtó ezután automatikusan exportálja a rosszindulatú programokat a rendszerbe.
A csalizás online formái vonzó és csábító reklámok formájában jelenhetnek meg, amelyek arra ösztönzik az áldozatokat, hogy kattintsanak rá. A link rosszindulatú programokat tölthet le, amelyek aztán megfertőzik a számítógépüket rosszindulatú programokkal.
7. Quid Pro Quo
A quid pro quo támadás „valamit valamiért” támadást jelent. Ez a csalizási technika egy változata. Ahelyett, hogy előny ígéretével csalná meg az áldozatokat, a quid pro quo támadás szolgálatot ígér, ha egy konkrét akciót végrehajtanak. A támadó hamis juttatást ajánl fel az áldozatnak a hozzáférésért vagy információért cserébe.
Ennek a támadásnak a leggyakoribb formája az, amikor egy bűnöző egy cég informatikai munkatársának adja ki magát. A bűnöző ezután felveszi a kapcsolatot a cég alkalmazottaival, és új szoftvert vagy rendszerfrissítést ajánl nekik. Az alkalmazottat ezután felkérik, hogy tiltsa le a víruskereső szoftverét, vagy telepítsen rosszindulatú szoftvert, ha frissítést szeretne.
8. Háttérzárás
A farokcsapást támadásnak is nevezik. Ez magában foglalja a bûnözõt, aki olyan korlátozott helyre keres bejutást, amely nem rendelkezik megfelelõ hitelesítési intézkedésekkel. A bűnöző úgy férhet hozzá, ha egy másik személy mögé sétál, aki jogosult a területre belépni.
Például a bűnöző kiadhatja magát egy kézbesítő sofőrnek, akinek tele van csomagokkal a keze. Megvárja, amíg egy felhatalmazott alkalmazott belép az ajtón. A szélhámos kézbesítő ezután megkéri az alkalmazottat, hogy tartsa neki az ajtót, így engedi, hogy minden engedély nélkül hozzáférjen.
9. Mézcsapda
Ez a trükk abban áll, hogy a bűnöző vonzó személynek adja ki magát az interneten. A személy összebarátkozik a célpontjaival, és online kapcsolatot hamisít velük. A bűnöző ezután kihasználja ezt a kapcsolatot, hogy kimásolja áldozataik személyes adatait, pénzt kérjen tőlük kölcsön, vagy rávegye őket, hogy rosszindulatú programokat telepítsenek a számítógépükre.
A „mézescsapda” elnevezés a régi kémtaktikából származik, ahol a nőket használták a férfiak megcélzására.
10. Gazember
A szélhámos szoftverek megjelenhetnek rosszindulatú anti-malware, rogue scanner, rogue scareware, anti-spyware és így tovább. Az ilyen típusú számítógépes rosszindulatú programok félrevezetik a felhasználókat, hogy fizessenek egy szimulált vagy hamis szoftverért, amely a rosszindulatú programok eltávolítását ígérte. A szélhámos biztonsági szoftverek egyre nagyobb aggodalomra adnak okot az elmúlt években. Egy gyanútlan felhasználó könnyen áldozatává válhat egy ilyen szoftvernek, amely bőven elérhető.
11. Rosszindulatú programok
A rosszindulatú támadás célja, hogy rávegye az áldozatot, hogy rosszindulatú programot telepítsen a rendszerébe. A támadó emberi érzelmeket manipulál, hogy az áldozat beengedje a kártevőt a számítógépébe. Ez a technika azonnali üzenetek, szöveges üzenetek, közösségi média, e-mailek stb. használatát foglalja magában adathalász üzenetek küldésére. Ezek az üzenetek ráveszik az áldozatot, hogy rákattintson egy hivatkozásra, amely a rosszindulatú programot tartalmazó webhelyet nyit meg.
Az üzenetekhez gyakran alkalmaznak ijesztgetési taktikát. Azt mondhatják, hogy valami nincs rendben a fiókjával, és azonnal rá kell kattintania a megadott linkre a fiókjába való bejelentkezéshez. A hivatkozás segítségével letölthet egy fájlt, amelyen keresztül a rosszindulatú program települ a számítógépére.
Legyen éber, maradjon biztonságban
A tájékozottság az első lépés afelé, hogy megvédje magát azoktól social engineering támadások. Egy alapvető tipp, hogy figyelmen kívül hagyja a jelszavát vagy pénzügyi adatait kérő üzeneteket. Az e-mailek megjelölésére használhatja az e-mail szolgáltatásaihoz mellékelt spamszűrőket. Megbízható vírusirtó szoftver beszerzése szintén hozzájárul a rendszer további védelméhez.
