Πίνακας περιεχομένων:
- Χρήση του Διαδικτύου
- Βυτιοφόροι δύτες
- Οι επιτιθέμενοι μπορούν να λάβουν πληροφορίες χρησιμοποιώντας τη λειτουργία dial-by-name ενσωματωμένη στα περισσότερα συστήματα φωνητικού ταχυδρομείου. Για να αποκτήσετε πρόσβαση σε αυτήν τη λειτουργία, συνήθως πατάτε μόνο το πλήκτρο 0 μετά την κλήση του κύριου αριθμού της εταιρείας ή μετά την είσοδο στο τηλεφωνητή φωνής κάποιου. Αυτό το τέχνασμα λειτουργεί καλύτερα μετά από ώρες για να εξασφαλίσει κανείς δεν απαντά.
- Η τελευταία τρέλα πειρατείας είναι
Βίντεο: Sergey Brin and Larry Page: The genesis of Google 2024
Αφού οι κοινωνικοί μηχανικοί έχουν στο μυαλό τους ένα στόχο, συνήθως ξεκινούν την επίθεση συλλέγοντας δημόσιες πληροφορίες για το θύμα τους. Πολλοί κοινωνικοί μηχανικοί αποκτούν πληροφορίες με αργό ρυθμό, ώστε να μην δημιουργούν καχυποψία. Η προφανής συλλογή πληροφοριών είναι μια απόρριψη όταν υπερασπίζεται την κοινωνική μηχανική.
Ανεξάρτητα από την αρχική μέθοδο έρευνας, όλοι οι χάκερ μπορεί να χρειαστεί να διεισδύσουν σε έναν οργανισμό είναι ένας κατάλογος των εργαζομένων, μερικοί βασικοί εσωτερικοί αριθμοί τηλεφώνου, τα τελευταία νέα από έναν ιστότοπο κοινωνικών μέσων ή ένα ημερολόγιο εταιρείας.
Χρήση του Διαδικτύου
Η αναζήτηση λίγων λεπτών στο Google ή σε άλλες μηχανές αναζήτησης, χρησιμοποιώντας απλές λέξεις-κλειδιά, όπως το όνομα της εταιρείας ή συγκεκριμένα ονόματα των εργαζομένων, συχνά παράγει πολλές πληροφορίες. Μπορείτε να βρείτε ακόμη περισσότερες πληροφορίες στις αιτήσεις SEC σε και σε τέτοιες τοποθεσίες όπως το Hoover's και το Yahoo Finance. Χρησιμοποιώντας αυτές τις πληροφορίες κινητήρα αναζήτησης και περιηγώντας την ιστοσελίδα της εταιρείας, ο επιτιθέμενος έχει συχνά αρκετές πληροφορίες για να ξεκινήσει μια επίθεση κοινωνικής μηχανικής.
Οι κακοί μπορούν να πληρώσουν μόνο μερικά δολάρια για έναν περιεκτικό διαδικτυακό έλεγχο ιστορικού σε άτομα. Αυτές οι αναζητήσεις μπορούν να εμφανίσουν σχεδόν οποιαδήποτε δημόσια - και μερικές φορές ιδιωτικές - πληροφορίες για ένα άτομο μέσα σε λίγα λεπτά.
Βυτιοφόροι δύτες
Οι καταδύσεις των Dumpster είναι λίγο πιο επικίνδυνες - και είναι σίγουρα βρώμικο. Αλλά, είναι μια πολύ αποτελεσματική μέθοδος απόκτησης πληροφοριών. Αυτή η μέθοδος περιλαμβάνει κυριολεκτικά τη μετακίνηση μέσω δοχείων απορριμμάτων για πληροφορίες σχετικά με μια εταιρεία.
Οι καταδύσεις σε Dumpster μπορούν να εμφανίσουν τις πιο εμπιστευτικές πληροφορίες, επειδή πολλοί υπάλληλοι υποθέτουν ότι οι πληροφορίες τους είναι ασφαλείς μετά την είσοδό τους στα σκουπίδια. Οι περισσότεροι άνθρωποι δεν σκέφτονται για την πιθανή αξία του χαρτιού που πετάνε μακριά. Αυτά τα έγγραφα περιέχουν συχνά μια πληθώρα πληροφοριών που μπορούν να ανατρέψουν τον κοινωνικό μηχανικό με τις πληροφορίες που απαιτούνται για να διεισδύσουν στην οργάνωση. Ο ευφυής κοινωνικός μηχανικός αναζητά τα ακόλουθα έντυπα έγγραφα:
-
Εσωτερικές λίστες τηλεφώνων
-
Οργανωτικοί χάρτες
-
Εγχειρίδια υπαλλήλων που συχνά περιέχουν πολιτικές ασφαλείας
-
Διαγράμματα δικτύου
-
Λίστα λίστας κωδικών
-
> Φυλλάδια και αναφορές
-
Εκτυπώσεις ηλεκτρονικών μηνυμάτων που περιέχουν εμπιστευτικές πληροφορίες
-
Τα έγγραφα τεμαχισμού είναι αποτελεσματικά μόνο αν το χαρτί είναι
διασταυρωμένο σε μικρά κομμάτια κομφετί. Οι φθηνοί τεμαχιστές που καταστρέφουν έγγραφα μόνο σε μεγάλες λωρίδες είναι ουσιαστικά άνευ αξίας έναντι ενός αποφασισμένου κοινωνικού μηχανικού. Με λίγο χρόνο και ταινία, ένας κοινωνικός μηχανικός μπορεί να βάλει μαζί ένα έγγραφο, αν αυτό είναι αποφασισμένο να κάνει. Οι κακοί αναζητούν επίσης τα σκουπίδια για CD-ROM και DVD, παλιές θήκες υπολογιστών (ειδικά εκείνες με σκληρούς δίσκους ακόμα άθικτες) και εφεδρικές ταινίες.
Συστήματα τηλεφώνου
Οι επιτιθέμενοι μπορούν να λάβουν πληροφορίες χρησιμοποιώντας τη λειτουργία dial-by-name ενσωματωμένη στα περισσότερα συστήματα φωνητικού ταχυδρομείου. Για να αποκτήσετε πρόσβαση σε αυτήν τη λειτουργία, συνήθως πατάτε μόνο το πλήκτρο 0 μετά την κλήση του κύριου αριθμού της εταιρείας ή μετά την είσοδο στο τηλεφωνητή φωνής κάποιου. Αυτό το τέχνασμα λειτουργεί καλύτερα μετά από ώρες για να εξασφαλίσει κανείς δεν απαντά.
Οι επιτιθέμενοι μπορούν να προστατεύσουν την ταυτότητά τους αν μπορούν να κρύψουν από εκεί που καλούν. Εδώ είναι μερικοί τρόποι με τους οποίους μπορούν να κρύψουν τις τοποθεσίες τους:
Τα οικιακά τηλέφωνα
-
μερικές φορές μπορούν να κρύψουν τους αριθμούς τους από το αναγνωριστικό καλούντος καλώντας * 67 πριν τον αριθμό τηλεφώνου. Αυτή η λειτουργία δεν είναι αποτελεσματική όταν καλείτε αριθμούς χωρίς χρέωση (800, 888, 877, 866) ή 911.
Τα εταιρικά τηλέφωνα
-
σε ένα γραφείο που χρησιμοποιεί τηλεφωνικό διακόπτη είναι πιο δύσκολο να παραβιαστούν. Ωστόσο, όλος ο επιτιθέμενος συνήθως χρειάζεται είναι ο οδηγός χρήσης και ο κωδικός πρόσβασης διαχειριστή για το λογισμικό του τηλεφωνικού διακόπτη. Σε πολλούς διακόπτες, ο εισβολέας μπορεί να εισάγει τον αριθμό πηγής - συμπεριλαμβανομένου ενός παραποιημένου αριθμού, όπως ο αριθμός τηλεφώνου του θύματος. Τα τηλεφωνικά συστήματα Voice over Internet Protocol (VoIP) καθιστούν το θέμα αυτό όμως μη. Οι διακομιστές VoIP
-
όπως ο αστερίσκος ανοιχτού κώδικα μπορούν να χρησιμοποιηθούν και να διαμορφωθούν για την αποστολή οποιουδήποτε αριθμού θέλουν. Τα ηλεκτρονικά μηνύματα phish
Η τελευταία τρέλα πειρατείας είναι
phishing - οι εγκληματίες στέλνουν ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου σε πιθανά θύματα σε μια προσπάθεια να τους αποκαλύψουν ευαίσθητες πληροφορίες ή να κάνουν κλικ σε κακόβουλα links. Το ηλεκτρονικό ψάρεμα έχει περάσει εδώ και χρόνια, αλλά έχει αποκτήσει πρόσφατα μεγαλύτερη προβολή, δεδομένου ότι εκμεταλλεύεται υψηλού επιπέδου τις φαινομενικά αδιαπέραστες οργανώσεις. Η αποτελεσματικότητα του phishing είναι εκπληκτική και οι συνέπειες είναι συχνά άσχημες. Μερικά καλά τοποθετημένα ηλεκτρονικά μηνύματα απαιτούν από τους εγκληματίες να συλλέγουν κωδικούς πρόσβασης, να κλέβουν ευαίσθητες πληροφορίες ή να εισάγουν κακόβουλα προγράμματα σε στοχευμένους υπολογιστές.
Μπορείτε να εκτελέσετε τη δική σας άσκηση ηλεκτρονικού ψαρέματος. Μια στοιχειώδης μέθοδος είναι η δημιουργία ενός ψεύτικου λογαριασμού ηλεκτρονικού ταχυδρομείου που να ζητά πληροφορίες ή να συνδέεται με έναν κακόβουλο ιστότοπο, να στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου σε υπαλλήλους ή άλλους χρήστες που θέλετε να δοκιμάσετε και να δείτε τι συμβαίνει. Είναι πραγματικά τόσο απλό.
Θα εκπλαγείτε με το πόσο ευαίσθητοι είναι οι χρήστες σας σε αυτό το τέχνασμα. Οι περισσότερες δοκιμές phishing έχουν ποσοστό επιτυχίας 10-15%. Μπορεί να είναι τόσο υψηλό όσο 80 τοις εκατό. Αυτές οι τιμές δεν είναι καλές για ασφάλεια ή για δουλειά!
Ένα πιο επίσημο μέσο για την εκτέλεση των δοκιμών phishing σας είναι να χρησιμοποιήσετε ένα εργαλείο ειδικά σχεδιασμένο για την εργασία. Ακόμη και αν έχετε μια καλή εμπειρία με τους εμπορικούς προμηθευτές, πρέπει να σκεφτείτε πολύ και πολύ για να σταματήσετε τις δυνητικά ευαίσθητες πληροφορίες που θα μπορούσαν να αποσταλούν απευθείας ή αθέλητα εκτός τόπου, ώστε να μην ελέγχονται ποτέ ξανά.
Εάν κατεβείτε αυτό το μονοπάτι, σιγουρευτείτε ότι καταλαβαίνετε πλήρως τι αποκαλύπτεται σε αυτούς τους πωλητές ηλεκτρονικού "ψαρέματος" τρίτου μέρους όπως θα κάνατε με οποιονδήποτε πάροχο υπηρεσιών cloud. Εμπιστέψου, αλλά επιβεβαίωσε.
Μια εναλλακτική λύση ανοιχτού κώδικα για τα εργαλεία ηλεκτρονικού "ψαρέματος" (phishing) είναι το απλό εργαλείο Phishing Toolkit, γνωστό και ως spt.Η δημιουργία ενός περιβάλλοντος έργου spt δεν είναι απαραιτήτως απλή, αλλά αφού το έχετε εγκαταστήσει, μπορεί να κάνει εκπληκτικά πράγματα για τις πρωτοβουλίες σας για phishing.
Θα έχετε προ-εγκατεστημένα πρότυπα ηλεκτρονικού ταχυδρομείου, τη δυνατότητα
ξύστε ζωντανές ιστοσελίδες (αντιγράψτε σελίδα από) ώστε να μπορείτε να προσαρμόσετε τη δική σας καμπάνια και διάφορες δυνατότητες αναφοράς, ώστε να μπορείτε να παρακολουθείτε ποια e οι χρήστες ηλεκτρονικού ταχυδρομείου λαμβάνουν το δόλωμα και αποτυγχάνουν στις δοκιμές σας. Οι κοινωνικοί μηχανικοί μπορούν να βρουν ενδιαφέρουσες πληροφορίες, κατά καιρούς, όπως όταν τα θύματά τους είναι έξω από την πόλη, απλώς ακούγοντας μηνύματα φωνητικού ταχυδρομείου. Μπορούν ακόμη και να μελετήσουν τις φωνές των θυμάτων, ακούγοντας τα μηνύματά τους, τα podcasts ή τις εκπομπές μέσω του διαδικτύου, ώστε να μπορούν να μάθουν να μιμούνται αυτούς τους ανθρώπους.