Hva er samfunnsteknikk, og hvordan kan du unngå det?
Malware er ikke den eneste online-trusselen å bekymre seg for. Sosialteknikk er en stor trussel, og det kan slå deg på hvilket som helst operativsystem. Faktisk kan sosialteknikk også forekomme over telefon og i ansikt til ansikt.
Det er viktig å være oppmerksom på sosialteknikk og være på utkikk. Sikkerhetsprogrammer vil ikke beskytte deg mot de fleste samfunnsmessige trusler, så du må beskytte deg selv.
Sosialteknologi forklart
Tradisjonelle databaserte angrep avhenger ofte av å finne et sikkerhetsproblem i datamaskinens kode. Hvis du for eksempel bruker en utdatert versjon av Adobe Flash - eller, forby gud, Java, som var årsaken til 91% av angrepene i 2013 i henhold til Cisco - du kan besøke et ondsinnet nettsted og den nettsiden ville utnytte sikkerhetsproblemet i programvaren din for å få tilgang til datamaskinen din. Angriperen manipulerer feil i programvare for å få tilgang og samle privat informasjon, kanskje med en keylogger de installerer.
Sosialteknikk triks er forskjellige fordi de involverer psykologisk manipulering i stedet. I andre ord utnytter de mennesker, ikke deres programvare.
Du har sikkert allerede hørt om phishing, som er en form for sosialteknikk. Du kan få en e-post som hevder å være fra banken din, kredittkortselskapet eller en annen pålitelig virksomhet. De kan lede deg til en falsk nettside forklart for å se ut som en ekte, eller be deg om å laste ned og installere et ondsinnet program. Men slike sosialtekniske triks trenger ikke å involvere falske nettsteder eller skadelig programvare. Phishing-e-posten kan ganske enkelt be deg om å sende et e-post svar med privat informasjon. I stedet for å prøve å utnytte en feil i en programvare, prøver de å utnytte normale menneskelige interaksjoner. Spyd phishing kan være enda mer farlig, da det er en form for phishing designet for å målrette mot bestemte personer.
Eksempler på sosialteknikk
Et populært triks i chat-tjenester og online spill har vært å registrere en konto med et navn som "Administrator" og sende folk skummelt meldinger som "ADVARSEL: Vi har oppdaget at noen kan hacking din konto, svare med passordet ditt for å autentisere deg selv." Hvis et mål svarer med passordet, har de falt for trikset, og angriperen har nå sitt kontopassord.
Hvis noen har personlig informasjon om deg, kan de bruke den til å få tilgang til kontoene dine. For eksempel brukes informasjon som fødselsdato, personnummer og kredittkortnummer ofte til å identifisere deg. Hvis noen har denne informasjonen, kan de kontakte en bedrift og late som å være deg. Dette trikset ble berømt brukt av en angriper for å få tilgang til Sarah Palins Yahoo! Mail-konto i 2008, sender inn nok personlige opplysninger for å få tilgang til kontoen gjennom Yahoo! S passordgjenoppretting. Den samme metoden kan brukes til over telefonen hvis du har den personlige informasjonen virksomheten krever for å godkjenne deg. En angriper med litt informasjon om et mål kan late som å være dem og få tilgang til flere ting.
Sosialteknikk kan også brukes personlig. En angriper kan gå inn i en bedrift, informere sekretæren om at de er en reparasjonsperson, en ny ansatt eller en branninspektør i en autoritativ og overbevisende tone, og deretter streife omkring hallene og potensielt stjele konfidensielle data eller plantebugger for å utføre bedriftsspionasje. Dette trikset avhenger av angriperen som presenterer seg som noen de ikke er. Hvis en sekretær, dørvakt eller den som er ansvarlig, ikke spørre for mange spørsmål eller ser for nær, vil trikset lykkes.
Sosialtekniske angrep spenner ut fra falske nettsider, falske e-postmeldinger og falske chatmeldinger helt opp til å fortrylle noen på telefonen eller i person. Disse angrepene kommer i mange forskjellige former, men de har alle en ting til felles - de er avhengige av psykisk trickery. Sosialteknikk har blitt kalt kunsten av psykologisk manipulasjon. Det er en av de viktigste måtene "hackere" faktisk "hack" kontoer online.
Hvordan unngå sosialteknikk
Å vite at sosialteknikk eksisterer kan hjelpe deg med å kjempe mot det. Vær mistenksom på uønskede e-postmeldinger, chatmeldinger og telefonsamtaler som ber om privat informasjon. Ikke avslør økonomisk informasjon eller viktig personlig informasjon via e-post. Ikke last ned potensielt farlige e-postvedlegg og kjør dem, selv om en e-post hevder at de er viktige.
Du bør heller ikke følge koblinger i en epost til sensitive nettsteder. For eksempel, ikke klikk på en kobling i en e-post som ser ut til å være fra banken din, og logg inn. Det kan føre deg til et falskt phishing-nettsted som er skjult for å se ut som bankens nettsted, men med en subtilt annerledes nettadresse. Besøk nettstedet direkte i stedet.
Hvis du mottar en mistenkelig forespørsel - for eksempel spør en telefon fra banken din om personlig informasjon - ta kontakt med kilden til forespørselen direkte og be om bekreftelse. I dette eksemplet vil du ringe til banken din og spørre hva de vil, i stedet for å gi informasjonen til noen som hevder å være din bank.
E-postprogrammer, nettlesere og sikkerhetssuiter har vanligvis phishing-filtre som vil advare deg når du besøker et kjent phishing-nettsted. Alt de kan gjøre er å advare deg når du besøker et kjent phishing-område eller mottar en kjent phishing-e-post, og de vet ikke om alle phishing-nettsteder eller e-postadresser der ute. For det meste er det opp til deg å beskytte deg selv - sikkerhetsprogrammer kan bare hjelpe litt.
Det er en god ide å utøve en sunn mistanke når det gjelder å behandle forespørsler om private data og alt annet som kan være et sosialteknisk angrep. Mistanke og forsiktighet vil bidra til å beskytte deg både online og offline.
Bilde Kreditt: Jeff Turnet on Flickr