Κοινωνική μηχανική επιθέσεις χάκερ

Θα δοκιμάσετε σε θέματα ασφαλείας στις εξετάσεις A + όταν ζητάτε την Πιστοποίηση CompTIA A +. Μια επίθεση κοινωνικής μηχανικής εμφανίζεται όταν ένας χάκερ προσπαθεί να αποκτήσει πληροφορίες ή να αποκτήσει πρόσβαση σε ένα σύστημα μέσω κοινωνικής επαφής με έναν χρήστη. Συνήθως, ο χάκερ θέτει ως κάποιον άλλο και προσπαθεί να εξαπατήσει έναν χρήστη να αποκαλύψει προσωπικές ή εταιρικές πληροφορίες που επιτρέπουν στον χάκερ την πρόσβαση σε ένα σύστημα ή ένα δίκτυο.

Για παράδειγμα, ένας χάκερ καλεί τον αριθμό τηλεφώνου της εταιρείας σας, που περιλαμβάνεται στον τηλεφωνικό κατάλογο, και θέτει ως άτομο τεχνικής υποστήριξης για την εταιρεία σας. Αναφέρει στον χρήστη που απαντά στο τηλέφωνο ότι έχει αναπτυχθεί μια νέα εφαρμογή στο δίκτυο και για να λειτουργήσει η εφαρμογή, ο κωδικός του χρήστη πρέπει να επαναφερθεί. Μετά την επαναφορά του κωδικού πρόσβασης σε ό, τι θέλει ο χάκερ, μπορεί να "επαληθεύσει" με το χρήστη τις πιστοποιήσεις που χρησιμοποιεί ο χρήστης. Ένας χρήστης που δεν έχει εκπαιδευτεί στην κοινωνική μηχανική μπορεί να αποκαλύψει σημαντικές πληροφορίες χωρίς σκέψη.

Μια επίθεση κοινωνικής μηχανικής είναι μια επίθεση κατά την οποία ένας χάκερ προσπαθεί να εξαπατήσει έναν χρήστη ή έναν διαχειριστή να αποκαλύψει ευαίσθητες πληροφορίες μέσω της κοινωνικής επαφής. Αφού ληφθούν οι ευαίσθητες πληροφορίες, ο χάκερ μπορεί στη συνέχεια να χρησιμοποιήσει αυτές τις πληροφορίες για να θέσει σε κίνδυνο το σύστημα ή το δίκτυο.

Το παράδειγμα αυτό μπορεί να ακούγεται ρεαλιστικό, αλλά συμβαίνει συνεχώς. Εάν εργάζεστε για μια μικρή επιχείρηση, ενδέχεται να μην αντιμετωπίσετε επίθεση κοινωνικής μηχανικής. Σε ένα μεγάλο εταιρικό περιβάλλον, όμως, είναι εξαιρετικά πιθανό μια επίθεση κοινωνικής μηχανικής να είναι επιτυχής εάν η εταιρεία δεν εκπαιδεύσει τους χρήστες της. Μια μεγάλη επιχείρηση συνήθως έχει το προσωπικό IT ή τη διοίκηση που βρίσκεται στο κεντρικό γραφείο, αλλά οι περισσότερες εγκαταστάσεις υποκαταστημάτων δεν έχουν μιλήσει ποτέ με τη διοίκηση της πληροφορικής, έτσι ώστε οι υπάλληλοι των κλάδων να μην αναγνωρίζουν τις φωνές των ανθρώπων της πληροφορικής. Ένας χάκερ θα μπορούσε να μιμηθεί κάποιον από το κεντρικό γραφείο και ο χρήστης στο υποκατάστημα δεν θα ξέρει ποτέ τη διαφορά.

Υπάρχουν διάφορα σενάρια δημοφιλών κοινωνικών μηχανικών επιθέσεων - και οι διαχειριστές δικτύων είναι εξίσου πιθανό να είναι θύματα κοινωνικής μηχανικής ως «τακτικοί» υπάλληλοι, οπότε πρέπει να γνωρίζουν. Εδώ είναι μερικά δημοφιλή σενάρια κοινωνικής μηχανικής:

Ο χάκερ μοιράζει τον διαχειριστή πληροφορικής.

Ο χάκερ καλεί ή αποστέλλει ηλεκτρονικό ταχυδρομείο σε έναν υπάλληλο και προσποιείται ότι είναι ο διαχειριστής του δικτύου. Ο χάκερ κόβει τον υπάλληλο να αποκαλύψει έναν κωδικό πρόσβασης ή ακόμα και να επαναφέρει τον κωδικό πρόσβασης. Ο χάκερ μιμείται το χρήστη.
Ο hacker καλεί ή αποστέλλει μηνύματα ηλεκτρονικού ταχυδρομείου στο διαχειριστή του δικτύου και προσποιείται ότι είναι χρήστης που τον ξεχάσει τον κωδικό πρόσβασης, ζητώντας από τον διαχειριστή να επαναφέρει τον κωδικό πρόσβασής του για λογαριασμό του. Πρόγραμμα ηλεκτρονικού ταχυδρομείου Hacker.
Ο χάκερ συνήθως στέλνει μηνύματα σε όλους τους χρήστες σε ένα δίκτυο, λέγοντάς τους για ένα σφάλμα ασφαλείας στο λειτουργικό σύστημα και ότι χρειάζεται να τρέξουν την ενημέρωση. αρχείο exe που επισυνάπτεται στο ηλεκτρονικό ταχυδρομείο. Σε αυτό το παράδειγμα, η ενημέρωση. το exe είναι η επίθεση - ανοίγει τον υπολογιστή έτσι ώστε ο χάκερ να έχει πρόσβαση στον υπολογιστή. Εκπαιδεύστε τους χρήστες σας να μην εκτελούν ποτέ κάποιο πρόγραμμα που τους έχει σταλεί μέσω μηνύματος ηλεκτρονικού ταχυδρομείου. Οι περισσότεροι πωλητές λογισμικού, όπως η Microsoft, δηλώνουν ότι δεν θα στείλουν ποτέ ένα πρόγραμμα σε ένα άτομο: Αντ 'αυτού, θα στείλουν με email την διεύθυνση URL σε μια ενημερωμένη έκδοση, αλλά εναπόκειται στο άτομο να μεταβεί στη διεύθυνση URL και να το κατεβάσει.

Phishing

Το phishing

είναι ένας τύπος κοινωνικής μηχανικής που περιλαμβάνει τον hacker που σας στέλνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που θυμίζει έναν ιστότοπο όπως μια τράπεζα ή μια ηλεκτρονική τοποθεσία όπως το eBay. Το μήνυμα ηλεκτρονικού ταχυδρομείου συνήθως σας ενημερώνει ότι υπάρχει πιεστικό θέμα, όπως ένας συμβιβασμός ασφαλείας με το λογαριασμό σας, και ότι πρέπει να συνδεθείτε στο λογαριασμό σας για να επαληθεύσετε τις συναλλαγές σας. Το μήνυμα ηλεκτρονικού ταχυδρομείου σας δίνει έναν σύνδεσμο που μπορείτε να χρησιμοποιήσετε για την πλοήγηση στον ιστότοπο, αλλά αντί να πλοηγηθείτε στον πραγματικό ιστότοπο, ο χάκερ σας οδηγεί σε μια ψεύτικη τοποθεσία που έχει δημιουργήσει. Αυτός ο ψεύτικος ιστότοπος μοιάζει με τον πραγματικό ιστότοπο, αλλά όταν πληκτρολογείτε το όνομα χρήστη και τον κωδικό πρόσβασης, ο χάκερ συλλαμβάνει αυτές τις πληροφορίες και στη συνέχεια το χρησιμοποιεί για να αποκτήσει πρόσβαση στον λογαριασμό σας στον πραγματικό ιστότοπο! Μια μορφή phishing είναι γνωστή ως δόλωμα phishing.

Το phishing

Περιήγηση σε ώμο

Το surfing

είναι ένας άλλος τύπος επίθεσης κοινωνικής μηχανικής, όπου κάποιος κρέμεται πίσω από εσάς και παρακολουθεί τι πληκτρολογείτε στο πληκτρολόγιο. Το άτομο ελπίζει να ανακαλύψει ευαίσθητες πληροφορίες, όπως κωδικό πρόσβασης. Το κλειδί για την προστασία από την ιστιοσανίδα είναι η εκπαίδευση των εργαζομένων και η ενημέρωσή τους ότι δεν πρέπει ποτέ να πληκτρολογούν ευαίσθητες πληροφορίες ενώ κάποιος κοιτάζει πάνω από τον ώμο τους ή στην οθόνη τους.