Mi a szociális mérnöki munka?
A szociális mérnöki tevékenység célja az emberi gyengeségek kiaknázása a személyes információkhoz és a védett rendszerekhez való hozzáférés érdekében. A szociáltechnika az egyének manipulálásán alapul, ahelyett, hogy számítógépes rendszereket hackelne, hogy behatoljon egy célszámlába.
A szociális technika megértése
Például egy nő felhívhatja a férfi áldozatok bankját, és úgy tesz, mintha felesége vészhelyzetet állít fel, és fiókjához hozzáférést kér. Ha a nő sikeresen társadalmi mérnököt tud készíteni a bank ügyfélszolgálatának képviselőjéről, ha felhívja a figyelmet a képviselő empatikus hajlamára, akkor sikerül elérnie a férfi számláját, és ellophatja pénzét. Hasonlóképpen, a támadó felveheti a kapcsolatot egy e-mail szolgáltató ügyfélszolgálatával, hogy megkapja a jelszó-visszaállítást, amely lehetővé teszi a támadó számára, hogy a cél e-mail fiókját irányítsa ahelyett, hogy becsapná azt.
A szociáltechnika arra vonatkozik, hogy egy célt manipulálnak úgy, hogy feladják a legfontosabb információkat. Az egyén személyazonosságának ellopása vagy hitelkártya vagy bankszámla veszélyeztetése mellett a szociális tervezés alkalmazható a cég üzleti titkainak megszerzésére vagy a nemzetbiztonság kiaknázására.
A szociális célokat nehéz meggátolni a potenciális célok között. Olyan óvintézkedéseket alkalmaznak, mint a határozott jelszavak használata és a két tényezővel történő hitelesítés a számlákhoz, ám a számlákat hozzáférő harmadik felek, például banki alkalmazottak továbbra is veszélyeztethetik a számlákat. Az egyének azonban csökkenthetik kockázatát, ha elkerülik a bizalmas információk átadását, óvatosak, amikor információt osztanak meg a közösségi médiában, nem ismétlik meg a jelszavakat, kéttényezős hitelesítést használnak, hamis vagy nehezen kitalálható válaszokat használnak a fiók biztonsági kérdéseire, és szorosan figyelje a számlákat, különösen a pénzügyi számlákat.
A támadók gyakran meglepően egyszerű taktikákat alkalmaznak a szociális mérnöki rendszerekben, például segítségért kérnek embereket. Egy másik taktika a katasztrófa áldozatainak kizsákmányolása azáltal, hogy felkéri őket, hogy adjanak meg személyes azonosításra alkalmas információkat, például leánykori neveket, címeket, születési dátumokat és eltűnt vagy elhunyt szeretteik társadalombiztosítási számát - olyan információt, amelyet később felhasználhatnak személyazonosság-lopáshoz.
A technikai támogatást nyújtó szakemberként vagy kézbesítőként való jelentkezés egyszerű módja annak, hogy jogosulatlanul férjen hozzá egy fiókhoz, ugyanis egy látszólag legitim e-mailt küld egy rosszindulatú melléklettel. Az ilyen e-maileket gyakran olyan munkahelyi e-mail címre küldik, ahol az emberek kevésbé valószínűleg gyanakvók egy ismeretlen feladóval szemben.
Az e-mailek rejtőzhetnek úgy, hogy úgy látszanak, mintha egy ismert feladóktól származnának, amikor a hackerek ténylegesen elküldik őket. Az egyes embereknek célzott, kifinomultabb taktikák magukban foglalhatják érdeklődési körük megismerését, majd az érdeklődéshez kapcsolódó link elküldését a célnak. A link olyan rosszindulatú kódot tartalmazhat, amely személyi információkat lophat számítógépükről. A népszerű szociális mérnöki technikák magukban foglalják az adathalászatot, a macskás halászatot, a farokcsalogatást és a csalikat.
