Social Engineering กำลังเพิ่มขึ้น: ปกป้องตัวเองในขณะนี้

เนื่องจากการรักษาความปลอดภัยของเว็บได้พัฒนาได้ง่ายกว่าที่จะล็อคระบบของคุณลง ผลิตภัณฑ์จำนวนมากออกมาจากกล่องได้รับการกำหนดค่าล่วงหน้าเพื่อรวมแนวทางปฏิบัติด้านความปลอดภัยที่ดีเช่นเดียวกับที่โดดเด่นที่สุดในบริการอินเทอร์เน็ตได้ปรับตัวขึ้นเกี่ยวกับการเข้ารหัสรวมถึงที่เก็บข้อมูลรหัสผ่าน นั่นไม่ใช่เพื่อระบุว่าสิ่งต่าง ๆ สมบูรณ์แบบอย่างไรก็ตามในขณะที่ระบบคอมพิวเตอร์ได้รับความเข้มข้นที่จะแตกพวกเขาคนจนจะมุ่งเน้นไปที่ระบบที่ไม่สามารถทำงานได้มากขึ้นในการผสม – องค์ประกอบของมนุษย์

ประวัติศาสตร์ซ้ำตัวเอง

นับตั้งแต่วันของชาวกรีกโบราณเช่นเดียวกับที่มีแนวโน้มมากที่สุดก่อนหน้านั้นวิศวกรรมโซเชียลเป็นทางเลือกหนึ่งที่จะได้รับรอบการป้องกันของศัตรูของคุณ พวกเราทุกคนเข้าใจเรื่องเก่าของยูลิสซิสที่ใช้ไม้ยักษ์ไม้ยักษ์เพื่อเทคนิคการโทรจันเพื่อให้กองทัพเล็ก ๆ เข้ามาในเมืองทรอย พวกเขาออกจากม้านอกกำแพงเมืองหลังจากการล้อมห้าปีที่ล้มเหลวเช่นเดียวกับการโทรจันนำมาเมื่อในกำแพงเมืองกองทัพเล็ก ๆ ปีนขึ้นไปในเวลากลางคืนรวมทั้งจับเมือง

แตกต่างกันอย่างไรที่จะทิ้งแฟลชไดรฟ์ USB ที่เต็มไปด้วยมัลแวร์รอบ ๆ สวนสาธารณะของ บริษัท ขนาดใหญ่ที่รอความอยากรู้อยากเห็นของมนุษย์ที่จะเข้ายึดครองเช่นเดียวกับคนงานเพื่อเสียบแกดเจ็ตเข้ากับคอมพิวเตอร์ที่ติดอยู่กับเครือข่ายธุรกิจมากหรือไม่ ทั้งม้าไม้รวมถึงเทคนิคไดรฟ์ USB มีสิ่งหนึ่งที่เหมือนกันมนุษย์ไม่สมบูรณ์แบบเช่นเดียวกับการตัดสินใจที่อาจไม่มีเหตุผล

วิศวกรสังคมที่มีชื่อเสียง

[Victor Lustig] เป็นหนึ่งในวิศวกรโซเชียลที่มีชื่อเสียงของประวัติศาสตร์ที่เชี่ยวชาญในการหลอกลวงเช่นเดียวกับการเป็นชายที่สารภาพตนเอง เขามีชื่อเสียงมากที่สุดสำหรับการเสนอหอไอเฟล หลังจากสงครามโลกครั้งที่หนึ่งครั้งแรกเงินแน่นเช่นเดียวกับฝรั่งเศสกำลังมีช่วงเวลาที่ยากลำบากในการจ่ายค่าบำรุงรักษาหอไอเฟลเช่นเดียวกับการทรุดโทรม หลังจากอ่านเกี่ยวกับปัญหาของหอคอย [Lustig] ขึ้นมาพร้อมกับโครงการของเขา: เขาจะต้องใช้เทคนิคคนที่เชื่อว่าหอคอยจะถูกนำเสนอเป็นเศษเล็กเศษน้อยเช่นเดียวกับที่เขาเป็นผู้อำนวยความสะดวกในการจัดการทุกประเภท ใช้การฟอร์จของรัฐบาลที่อยู่กับที่หยุดยั้งเขาจัดการเพื่อดึงเทคนิคนี้ออก: สองครั้ง!

หลังจากนั้นเขาก็กลับไปหลอกลวง [อัลคาโปน] จาก 5,000 ดอลลาร์โดยการโน้มน้าวให้เขาลงทุน 50,000 ดอลลาร์ในการจัดการตลาดหุ้น เขาประกาศข้อเสนอที่ลดลงแม้ว่าจะไม่มีข้อตกลง หลังจากผ่านไปไม่กี่เดือนเขาให้เงินของเขากลับคืนมารวมถึงได้รับรางวัล $ 5,000 สำหรับ “ความซื่อสัตย์” ของเขา

[Charles Ponzi] มีชื่อเสียงในแผนที่เขาใช้ซึ่งมีชีวิตชีวาเช่นเดียวกับวันนี้ได้รับการตั้งชื่อตามเขา แผน Ponzi เป็นการหลอกลวงการลงทุนปิรามิดใช้เงินสมาชิกใหม่เพื่อจ่ายนักลงทุนที่มีอายุมากกว่า ตราบใดที่การรับสมัครใหม่ยังคงเข้ามาคนที่อยู่ด้านบนของปิรามิดรับเงิน เมื่อสระว่ายน้ำของผู้ดูดใหม่แห้งมันจบแล้ว

แผน Ponzi ที่ใหญ่ที่สุดที่เคยพบมาจากนั้นได้รับการยอมรับจากใบปลิวสูงเช่นเดียวกับนักเก็งกำไรในตลาดหุ้น [Bernard Madoff] โครงการมูลค่าประมาณ 65 พันล้านเหรียญสหรัฐรวมถึงยังคงเป็นที่ใหญ่ที่สุดในประวัติศาสตร์ Madoff นั้นอุดมสมบูรณ์มากเขามีธนาคารรัฐบาลรวมถึงกองทุนบำเหน็จบำนาญที่ลงทุนในโครงการของเขา

[Kevin Mitnick] เป็นที่น่าจะเป็นแฮ็กเกอร์คอมพิวเตอร์ที่มีชื่อเสียงที่สุดในปัจจุบันยังคงมีชีวิตอยู่ในปัจจุบัน แต่เขาก็เป็นวิศวกรสังคมมากกว่าที่คุณคิด เควินเริ่มเด็ก ที่สิบสามเขาชักชวนให้คนขับรถบัสบอกเขาว่าจะซื้อตั๋วเจาะตั๋วสำหรับโครงการสถาบันเมื่อจริงมันจะใช้กับตั๋ว Dumpster Dived ที่ค้นพบในถังขยะของสถานีขนส่งของ บริษัท รถบัส

ที่สิบหกเขาแฮ็กระบบคอมพิวเตอร์ของ Digital Devices Corporation การคัดลอกแอปพลิเคชันซอฟต์แวร์ที่เป็นกรรมสิทธิ์เช่นเดียวกับการแฮ็คคอมพิวเตอร์ข้อความเสียงของ Pacific Bell พร้อมกับระบบอื่น ๆ อีกมากมาย เขากำลังวิ่งหนีไปสองสามปีเช่นเดียวกับที่ถูกคุมขังในที่สุดสำหรับอาชญากรรมของเขา ออกจากคุกเขาได้กลายเป็นที่ปรึกษาด้านความปลอดภัยเช่นเดียวกับตัวเองด้วยการอยู่ในด้านที่ถูกต้องของกฎหมาย

[John Draper], Aka Captain Crunch เป็นผู้บุกเบิกในโลก Phreaking World เขาได้รับ Noniker ของเขาตั้งแต่มีเสียงนกหวีดฟรีให้กับการรวมกลุ่มของ Cap’n Crunch Crunch เขาตระหนักว่านกหวีดเหล่านี้เล่น 2,600 เฮิร์ตซ์ซึ่งเพิ่งเกิดเสียงที่แม่นยำที่ AT & T สายการบินระยะยาวที่ใช้เพื่อแนะนำว่าสายลำต้นได้รับการจัดทำขึ้นเช่นเดียวกับที่เสนอให้กับเส้นทางการโทรใหม่ สิ่งนี้มีอิทธิพลต่อ [John Draper] เพื่อทดลองกับเช่นเดียวกับการพัฒนากล่องสีน้ำเงินอย่างมีประสิทธิภาพ วันนั้นหายไปแล้วเมื่อระบบโทรศัพท์เปลี่ยนจากอะนาล็อกเป็นดิจิตอล

ประเภทของการหลอกลวงทางวิศวกรรมสังคมเช่นเดียวกับวิธีการป้องกันพวกเขา

มีการโจมตีทางวิศวกรรมสังคมประเภทต่าง ๆ มากมาย – รูปภาพนับจำนวนวิธีการที่มีอยู่กับคนเทคนิค ถึงกระนั้นมันก็คุ้มค่าที่จะเข้าใจการหลอกลวงที่โดดเด่นที่สุดเนื่องจากคุณต้องการปกป้องตัวเอง

การเพ้อฝัน
การหลอกลวงประเภทนี้รวมถึงการบอกใครสักคนเพื่อให้ได้รับการเข้าถึงไปยังพื้นที่หรือข้อมูลที่ได้รับการยกเว้น Pretexting มักจะดำเนินการในประเภทของการหลอกลวงทางโทรศัพท์ที่ผู้โทรจะประกันการเรียกร้องให้ทำงานเพื่อธุรกิจขนาดใหญ่บางอย่างรวมถึงต้องตรวจสอบตัวตนของเป้าหมาย จากนั้นพวกเขาไปรวบรวมข้อมูลเช่นหมายเลขประกันสังคมชื่อหญิงสาวของแม่รายละเอียดบัญชีรวมถึงวันเดือนปีเกิด เนื่องจากการโทรหรือสถานการณ์โดยปกติจะริเริ่มโดยวิศวกรโซเชียลเป็นวิธีที่ยอดเยี่ยมในการปกป้องตนเองจากการหลอกลวงนี้คือการโทรกลับหรือตรวจสอบว่าพวกเขาระบุว่าพวกเขาเป็นใคร – ใช้ข้อมูลที่คุณรวบรวมเกี่ยวกับ บริษัท เช่นเดียวกับ ไม่ได้ให้โดยพวกเขา

การเหยื่อ
การวางไดรฟ์ USB ที่เต็มไปด้วยมัลแวร์รอบ ๆ ที่จอดรถจำนวนมากหรือม้าไม้ยักษ์ใกล้กับกำแพงศัตรูของคุณเป็นเหยื่อแบบดั้งเดิม นี่คือการจู่โจมอย่างง่าย ๆ ด้วยการบรรเทาง่าย ๆ : โปรดทราบว่าหากมีสิ่งที่ปราศจากสิ่งที่น่าสนใจเพียงแค่นอนอยู่รอบ ๆ ดูเหมือนว่าเป็นเรื่องจริงแล้วมันเป็นไปได้มากที่สุด

ฟิชชิ่ง
ฟิชชิงเป็นวิธีการส่งอีเมลการวางตัวเป็นบริการเว็บหรือ บริษัท ที่รู้จักกันอย่างกว้างขวางรวมถึงการตั้งเป้าหมายที่จะให้ผู้รับเปิดเอกสารที่ถูกบุกรุกไปที่เว็บไซต์วางยาพิษหรือทำลายความปลอดภัยของคุณเอง ไม่กี่สัปดาห์ที่ผ่านมา [Pedro Umbelino] ของ Hackaday ประกอบด้วยวิธีการที่ง่ายต่อการใช้ประโยชน์จากการรักษาความปลอดภัยมากที่สุดที่มีสติรอบตัวเรา (มันมีฉัน) ด้วยการโจมตี Homograph ของ IDN

ฟิชชิ่งส่วนใหญ่จะทำในระดับที่สูงขึ้น – โดยปกติจะมีการโคลนเว็บไซต์รวมถึงอีเมลถูกส่งผู้ที่ตกเป็นเหยื่อเพื่อแก้ไขรหัสผ่านของพวกเขา เป้าหมายที่มีมูลค่าสูงอาจมีประสบการณ์ฟิชชิ่งที่เป็นส่วนตัวอย่างสมบูรณ์เข้าใจว่าเป็น “ฟิชชิ่งหอก” ซึ่งผู้หลอกลวงจะใช้ความพยายามมากขึ้นในเว็บไซต์โคลนหรือข้อความอีเมลโดยรวมข้อมูลส่วนตัวเพื่อให้ดูเป็นของแท้มากขึ้น ฟิชชิ่งเป็นเรื่องง่ายต่อการตรวจสอบที่อยู่ของลิงค์ประเภทใดก็ได้ก่อนที่จะคลิก เช่นเดียวกับถ้าคุณถูกขอให้แก้ไขรหัสผ่านด้วยอีเมลปิดอีเมลรวมถึงเข้าสู่เว็บไซต์ด้วยวิธีการทั่วไปผ่านลิงค์ที่ไม่ดีทั้งหมด

ransomware
Ransomware จำนวนมากถูกจัดทำโดยฟิชชิ่งอย่างไรก็ตามเนื่องจากมีจำนวนกรณีที่กว้างขวางเพิ่มขึ้น แต่ก็ได้รับหัวข้อของตัวเอง อย่างไรก็ตามบุคคลนั้นถูกหลอกให้ใช้มัลแวร์ในคอมพิวเตอร์ของพวกเขามันจะเข้ารหัสข้อมูลที่มีค่าหรือล็อคบุคคลที่ออกจากระบบของพวกเขารวมถึงความต้องการการชำระคืนเพื่อนำสิ่งที่กลับมาเป็นปกติ ไม่ว่าจะเกิดขึ้นหรือไม่เมื่อชำระเงินคือทุกคนเดา

มีจำนวนมากของการโจมตี Ransomware ที่มีรายละเอียดสูงมากเมื่อเร็ว ๆ นี้รวมถึง NHS ของ Ransomware Crippling ของสหราชอาณาจักรรวมถึงการแพร่กระจายทั่วโลก จะจบลงหรือไม่ กลยุทธ์การบรรเทาที่ง่ายที่สุดต่อ Ransomware นอกเหนือจากการคลิกลิงก์ที่น่าสงสัยแอปพลิเคชันหรือการรักษาระบบของคุณให้มากที่สุดเท่าที่ในตอนแรกคือการสำรองข้อมูลระบบของคุณเป็นประจำเพื่อให้แน่ใจว่าหากคุณได้รับการไถ่คุณชนะ ไม่ต้องจ่าย การสำรองข้อมูลมีประโยชน์อื่น ๆ เช่นกันแน่นอน

Quid Pro Quo
การหลอกลวง Quid Pro Quo นั้นเป็น “Quid” ทั้งหมดเช่นเดียวกับที่ไม่มี “quo” บริการโทรศัพท์ผู้ให้บริการบริการให้บริการเพื่อซ่อมแซมข้อผิดพลาดหรือกำจัดมัลแวร์ (ที่ไม่มีอยู่) โดยมีค่าธรรมเนียม การเรียกดูอย่างรวดเร็วบน YouTube จะเปลี่ยนวิดีโอนักต้มตุ๋นนับไม่ถ้วนลองเสี่ยงโชคด้วยวัยรุ่นที่ชาญฉลาด เช่นเดียวกับข้อเสียมากมายที่หลอกลวงนี้สามารถหลีกเลี่ยงได้โดยไม่ตอบสนองต่อข้อเสนอนอกสีน้ำเงิน ในทางตรงกันข้ามการหลอกลวงนี้ดูเหมือนว่าจะประสบความสำเร็จเพียงพอที่จะยังคงทำงานอยู่ ความเข้าใจเกี่ยวกับมันเป็นการป้องกันที่ดีที่สุด

การปรับ
วิธีหนึ่งในการเข้าสู่พื้นที่ที่ถูก จำกัด ที่ปลอดภัยโดยประตูปิดคือการรอคอยคนงานหรือใครบางคนที่เข้าถึงได้รับการเข้าถึงรวมถึงพวกเขาการโจมตีเหล่านี้มักจะมุ่งเป้าไปที่ธุรกิจหรืออาคารอพาร์ตเมนต์เช่นเดียวกับการแก้ปัญหา คือการไม่ปล่อยให้ใครเข้ากับคุณ

ดำน้ำถังขยะ
เพื่อแอบอ้างเป็นผู้รับเหมาที่ถูกต้องตามกฎหมายช่วยให้เข้าใจชื่อของ บริษัท ที่รวมถึงแม้กระทั่งคะแนนในการติดต่อกับภายใน บริษัท ข้อมูลทั้งหมดนี้รวมถึงสามารถค้นพบเพิ่มเติมในใบเสร็จรับเงินในถังขยะที่อยู่ด้านหลัง บริษัท ลงทุนในเครื่องหั่นย่อยเช่นเดียวกับที่ไม่ทิ้งอะไรให้มีโอกาส

สื่อสังคม
ผู้คนแบ่งปันข้อมูลส่วนบุคคลจำนวนมากเกี่ยวกับโซเชียลมีเดียดังนั้นจึงไม่แปลกใจเลยที่มันเป็นเครื่องมือใหม่สำหรับวิศวกรโซเชียล การมองหาบัญชีของใครบางคนเป็นเหมือนการดูภาพรวมของชีวิตของใครบางคน ทำไมคุณถึงเปิดเผยบ้านของคุณจะว่างเปล่าไปอีกสองสัปดาห์ข้างหน้าเพื่อให้โลกทั้งใบ บ้านของคุณแค่ขอให้ Burgled หรือเชื่อว่ากระสุนที่คุณมอบให้กับหอกที่น่าจะเป็น เชื่อเกี่ยวกับการแลกเปลี่ยนของการแบ่งปันข้อมูลส่วนบุคคลเกี่ยวกับตัวคุณต่อสาธารณะ

การศึกษาสถานการณ์ทางวิศวกรรมสังคมที่โดดเด่น

ตอนนี้เรามาดูตัวอย่างคู่ของเทคนิควิศวกรรมสังคมเหล่านี้ในป่า

ข่าว Scandal การแฮ็คโทรศัพท์ทั่วโลก
ที่นี่ในสหราชอาณาจักรมีพายุสาธารณะขนาดใหญ่เมื่อข่าวต่างประเทศมีโดย Media Mogul [Rupert Murdoch] ถูกค้นพบว่าใช้งานวิศวกรรมสังคมเพื่อ “แฮ็ค” ในบริการวอยซ์เมลของ PRคนดัง Ominent นักการเมือง Royals เช่นเดียวกับนักข่าว รายการแฮ็คโทรศัพท์มีความยาวมาก พวกเขามักจะถูกแฮ็กเข้ากับข้อความเสียงโดยการปลอมแปลงรหัสผู้โทรที่ได้รับการเข้าถึงเข้าสู่กล่องข้อความเสียงของโทรศัพท์ ข้อความเสียงบางอย่างมีรหัสผ่านที่ปลอดภัยด้วยรหัสสี่หลักที่เดาได้อย่างรวดเร็ว ในโอกาสอื่น ๆ พวกเขาเพียงแค่เรียกว่าสายด่วนบริการของผู้ให้บริการโทรศัพท์รวมถึงระบุว่าพวกเขาไม่สามารถจดจำรหัสผ่านของพวกเขา – pretexting ธรรมดา – วานิลลา

celebgate iCloud ภาพเปลือย “แฮ็ค”
[ไรอันคอลลินส์] ใช้วิธีการฟิชชิ่งเพื่อให้ได้รับการเข้าถึงไปยังบัญชี iCloud ของ Jennifer Lawrence, Kate Upton เช่นเดียวกับ Kim Kardashian เขาผลิตการแจ้งเตือนปลอมจาก Google เช่นเดียวกับ Apple รวมถึงส่งไปยังที่อยู่อีเมลของเป้าหมายของเขา ในเวลานั้นมีการคาดเดาว่า iCloud ของ Apple ถูกแฮ็กในขนาดใหญ่ แทนคอลลินส์ยอมรับในการให้สัมภาษณ์ว่าเขาใช้วิธีการฟิชชิ่งเพื่อให้ได้รับการเข้าถึงข้อมูลส่วนบุคคลของเหยื่อของเขา

เราจะไปที่ไหนจากที่นี่

หากการทำลายระบบคอมพิวเตอร์เป็นเรื่องยากเช่นกันคุณสามารถมั่นใจได้ว่าอาชญากรจะพยายามทำลายระบบมนุษย์ ไม่ว่าคุณจะโทรหา “วิศวกรรมสังคม” นี้ “ข้อเสีย” หรือ “หลอกลวง” แต่พวกเขามีแนวโน้มที่จะเพิ่มขึ้น วิธีที่ดีที่สุดในการป้องกันตัวเองคือการสอนทุกคนด้วยการเข้าถึงข้อมูลหรือรายละเอียดของคุณเกี่ยวกับวิธีการที่การโจมตีทำงานเช่นเดียวกับวิธีการป้องกันพวกเขา

มีทรัพยากรมากมายบนอินเทอร์เน็ตที่คุณจะมีประโยชน์สำหรับการช่วยเหลือป้องกันตัวเองจากเวกเตอร์การโจมตีเหล่านี้ ป้องกันตัวเองจากการโจมตีทางวิศวกรรมทางสังคมแปดแห่งนั้นค่อนข้างเป็นจุดเริ่มต้นที่ยอดเยี่ยมเช่นเดียวกับกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯในระหว่างเดียวกันก็ให้ข้อมูลที่ยอดเยี่ยมเกี่ยวกับการป้องกันการแฮ็กวิศวกรรมโซเชียลที่คุณสามารถชี้ให้คน

ในท้ายที่สุดส่วนใหญ่จะต้มเพื่อรับทราบรูปแบบรวมถึงความสงสัยเมื่อคุณเห็นพวกเขา ยืนยันข้อมูลกับช่องอื่น ๆ อย่าสุ่มสี่สุ่มห้าคลิกลิงค์เช่นเดียวกับระวังรายละเอียดส่วนตัวที่คุณมอบให้ทนายความ