Innlegg

Den første forsvarslinjen er å være på vakt. I sosiale ingeniørangrep kan angriperen lokke deg inn i en samtale som blir mer et avhør. Den beste måten å beskytte deg selv mot sosial ingeniørkunst på er imidlertid å vite hvem du kan stole på og være til å stole på selv. Du må identifisere alle som kan få tilgang til kontoen din eller kan påvirke den og sørge for at de har en god grunn til å gjøre det. 

Fortsett å lese vil hjelpe deg å vite hva som er en vanlig metode som brukes innen sosial ingeniørkunst og hvordan du kan beskytte deg mot cyberangrep i fremtiden!

Hva er en Social Engineering Attasociack?

I sosiale ingeniørangrep prøver en angriper å få tilgang til data eller tjenester ved å knytte relasjoner til folk hvis tillit de kan utnytte.

Social engineering-angrep er en form for hacking der en angriper prøver å få tilgang eller informasjon ved å utnytte tillit. Det er et veldig effektivt angrep fordi det utnytter ditt ønske om å hjelpe mennesker, nysgjerrighet og naivitet. En sosial ingeniør kan gjøre deg til en uvitende medskyldig ved å bruke manipulasjon på høyt nivå for å få det angriperen vil ha. 

Bruken av bedrag og lureri for å oppnå en fordel strekker seg langt før den utbredte tilgjengeligheten av personlige datamaskiner og World Wide Web. Men vi kan se lenger tilbake i historien for å se noen av de mest alvorlige angrepssakene for sosial ingeniørarbeid.

I den siste hendelsen, som skjedde i februar 2020, lurte et phishing -forsøk med en falsk renoveringsfaktura Barbara Corcoran fra ABCs " Shark Tank" ut av nesten $400 000.

Hvis du er et offer for sosiale ingeniørangrep, er det viktig å vite hvordan du kan beskytte deg selv mot å bli utsatt. Lær varseltegnene på en potensiell trussel og hvordan du kan beskytte deg selv.

Relatert lesning: Hva er sosialteknikk?

Hva er en vanlig metode som brukes i sosialteknikk?

En vanlig metode som brukes av sosiale ingeniører i sosiale ingeniørangrep er å etterligne IT-støtte. Dette kan gjøres ved å ringe en bedrift og be om å få snakke med IT-avdelingen eller sende en e-post til bedriften om at de ringer fra IT-avdelingen.

Når den som ringer eller sender har fått tilgang, kan de late som om de er fra en annen avdeling eller be om informasjon som selskapet normalt ikke vil gi ut. Sosialingeniøren vil også ofte samle inn så mye informasjon om målet som mulig før han tar kontakt.

5 måter å beskytte deg selv mot angrep fra sosiale ingeniører

Her har vi samlet noen nyttige tips eller ideer som hjelper deg med å beskytte deg selv mot å bli sosialt angrepet eller forhindre angrep fra sosialt ingeniørarbeid:

Ukjente avsendere (e-post vs. tekstmeldinger)

Vær nøye med avsenderens e-postadresse og innholdet i meldingen. Det er viktig å vite at du ikke trenger å klikke på noen mistenkelige dokumentkoblinger. 

Slutt å dele personlig informasjon

Tenk før du deler personlig informasjon, som passord og kredittkortnumre. Ingen legitim bedrift eller enkeltperson bør noen gang be om denne typen sensitiv informasjon. Bruk alltid sterke passord og bytt dem regelmessig. Unngå å bruke de samme passordene for flere kontoer og spar deg selv fra å bli et offer for sosiale ingeniørangrep.

Lag av sikkerhet

Bruk tofaktorautentisering når det er mulig. Det kan ytterligere legge til et ekstra lag med sikkerhet ved å kreve at brukerne oppgir en kode sendt til mobiltelefonen og brukernavnet og passordet. Sett alltid opp autentiseringskoder med e-post og telefonnummer, slik at hvis noen skulle få tilgang til et av systemene, ville de ikke kunne bruke kontoen din direkte.

Antivirus programvare

Installer anti- malware og antivirusprogramvare på alle enhetene dine. Hold disse programmene oppdatert slik at de kan beskytte deg mot de nyeste truslene. Men når du har et antivirus installert på enhetene dine, kan det gi et utmerket skjold mot angrep fra sosial ingeniørkunst.

Vær alltid oppmerksom på eventuelle risikoer

Du bør alltid vurdere risiko. Sørg for at enhver forespørsel om informasjon er nøyaktig ved å dobbelt- og trippelsjekke. Hold øye med cybersikkerhetsnyheter når du er berørt av et nylig brudd. 

Hva er eksempler på sosialteknikk?

Å ofre mennesker gjennom angrep på sosialt ingeniørarbeid er en fin måte å begå svindel på. Det kan foregå på flere måter. Her er noen eksempler på sosial ingeniørkunst:

Få tilgang

Hackere kan få tilgang til bankkontoen din ved å søke om kreditt i navnet til en annen person. Denne svindelen involverer ofte en telefonsamtale eller e-post sendt til venner og familie, som deretter blir bedt om å foreta en bankoverføring for raskt å tilbakebetale hackeren for deres toll på offerets liv. 

Stjele personlig informasjon

En annen vanlig måte folk blir lurt til å gi fra seg personlig informasjon er ved å tro at de har vunnet en premie eller konkurranse de aldri har deltatt på, men har registrert seg for. Og når de mottar slike oppringninger for å være sikker på at de får premien når de gir detaljene sine, er det der ofrene kommer opp i angriperens felle. 

Phishing

I dette angrepet sender angripere e-poster som ser ut som de er fra legitime selskaper eller organisasjoner, men som inneholder ondsinnede lenker eller vedlegg. Videre er dette et av de vanligste angrepene innen sosial ingeniørkunst over hele verden. 

Påskudd

Et annet massivt sosialt ingeniørangrep innebærer å opprette en falsk identitet eller et scenario for å få tilgang til personlig informasjon. Et av de mest fremtredende eksemplene på sosial ingeniørkunst er der angripere får tilgang til å manipulere folk gjennom teksting.

Skuldersurfing

Det er et angrep der angriperen ser over skulderen til noen for å få tilgang til konfidensiell informasjon. Noen ganger er angriperen ikke annet enn dine nære venner eller kjære som vil utpresse deg når de får informasjonen de alltid ønsket å ha. Så det er viktig å holde et øye med slike mennesker og aldri oppgi alle personlige detaljer. 

Bakluke

Tailgating er når en angriper følger etter noen som er autorisert til å gå inn i en bygning eller et sikkert område uten faktisk å være autorisert. Det er ikke så vanlig som andre sosiale ingeniørangrep, men likevel er det farlig og kan gi skadelige bemerkninger.

Konklusjon

For å beskytte deg mot sosiale ingeniørangrep, må du lære å ta forholdsregler mot dem. Siden vi allerede har gitt deg noen standardmetoder for sosiale ingeniørangrep, som har blitt brukt i flere aldre i verden, sørg for å begynne å implementere forholdsreglene nå. Sosiale ingeniørangrep kan skade en persons pluss, profesjonelle liv i løpet av sekunder. Beskytt alltid enhetene, passordene og andre pålogginger med to konfigurerte autentiseringsbekreftelseskoder for et ytre beskyttelseslag.

Før du gjør noe annet, snakk med en pålitelig IT-ekspert eller sikkerhetsekspert som PowerDMARC . De kan hjelpe deg med å forstå risikoen for sosiale ingeniørangrep og hvordan du kan minimere dem.

Før vi dykker inn i typene sosial ingeniørangrep som ofre blir offer for på daglig basis, sammen med kommende angrep som har tatt internett med en storm, la oss først kort komme inn på hva sosial ingeniørkunst handler om. 

For å forklare det i lekmannstermer, refererer sosial ingeniørkunst til en implementeringstaktikk for nettangrep der trusselaktører bruker psykologisk manipulasjon for å utnytte ofrene sine og svindle dem.

Social Engineering: Definisjon og eksempler

Hva er et sosialt ingeniørangrep?

I motsetning til nettkriminelle som hacker seg inn på datamaskinen eller e-postsystemet din, orkestreres angrep på sosialteknikk ved å prøve å påvirke et offers meninger til å manøvrere dem til å avsløre sensitiv informasjon. Sikkerhetsanalytikere har bekreftet at mer enn 70 % av nettangrepene som finner sted på internett på årsbasis, er sosiale ingeniørangrep.

Eksempler på sosialteknikk

Ta en titt på eksemplet vist nedenfor:

 

Her kan vi se en nettannonsering som lokker offeret inn med et løfte om å tjene $1000 per time. Denne annonsen inneholder en ondsinnet kobling som kan sette i gang en installasjon av skadelig programvare på systemet deres. 

Denne typen angrep er ofte kjent som Online Baiting eller ganske enkelt Baiting, og er en form for sosialt ingeniørangrep. 

Nedenfor er et annet eksempel:

Som vist ovenfor, kan sosiale ingeniørangrep også utføres ved å bruke e-post som et potent medium. Et vanlig eksempel på dette er et phishing-angrep. Vi vil komme nærmere inn på disse angrepene i neste avsnitt.

Typer sosiale ingeniørangrep

1. Vishing & Smishing

Tenk deg at du i dag får en SMS fra banken din (angivelig) som ber deg bekrefte identiteten din ved å klikke på en lenke, ellers vil kontoen din bli deaktivert. Dette er en veldig vanlig melding som ofte sirkuleres av nettkriminelle for å lure intetanende mennesker. Når du klikker på lenken, blir du omdirigert til en forfalskningsside som krever bankinformasjonen din. Vær trygg på at hvis du ender opp med å gi bankdetaljene dine til angripere, vil de tømme kontoen din. 

På samme måte initieres Vishing eller Voice phishing gjennom telefonsamtaler i stedet for SMS.

2. Online Baiting / Baiting 

Vi kommer over en rekke nettannonser hver eneste dag mens vi surfer på nettsider. Mens de fleste av dem er ufarlige og autentiske, kan det være noen dårlige epler som gjemmer seg i partiet. Dette kan lett identifiseres ved å se annonser som virker for gode til å være sanne. De har vanligvis latterlige påstander og lokker som å vinne jackpoten eller tilby en enorm rabatt.

Husk at dette kan være en felle ( aka et agn ). Hvis noe virker for godt til å være sant, er det sannsynligvis det. Derfor er det bedre å unngå mistenkelige annonser på internett, og motstå å klikke på dem.

3. Phishing

Sosiale ingeniørangrep utføres oftere enn ikke via e-post, og kalles phishing. Phishing-angrep har skapt kaos på global skala nesten like lenge som selve e-posten har eksistert. Siden 2020, på grunn av en økning i e-postkommunikasjon, har phishing-frekvensen også skutt opp, svindlet organisasjoner, store og små, og skapt overskrifter hver dag. 

Phishing-angrep kan kategoriseres i Spear-phishing, hvalfangst og CEO-svindel, og refererer til handlingen med å utgi seg for spesifikke ansatte i en organisasjon, henholdsvis beslutningstakere i selskapet og administrerende direktør.

4. Romantikk-svindel

Federal Bureau of Investigation (FBI) definerer internettromantikk-svindel som "svindel som oppstår når en kriminell adopterer en falsk nettidentitet for å få et offers hengivenhet og tillit. Svindleren bruker deretter illusjonen om et romantisk eller nært forhold til å manipulere og/eller stjele fra offeret.» 

Romantikk-svindel faller inn under typene sosiale ingeniørangrep siden angripere bruker manipulerende taktikker for å danne et nært romantisk forhold til ofrene før de handler på hovedagendaen deres: dvs. svindle dem. I 2021 tok romantikk-svindel nummer 1-posisjonen som årets mest økonomisk skadelige nettangrep, tett fulgt av løsepengevare.

5. Spoofing

Domeneforfalskning er en høyt utviklet form for sosialt ingeniørangrep. Dette er når en angriper forfalsker et legitimt firmadomene for å sende e-post til kunder på vegne av avsenderorganisasjonen. Angriperen manipulerer ofre til å tro at nevnte e-post kommer fra en autentisk kilde, altså et selskap hvis tjenester de er avhengige av. 

Spoofing-angrep er vanskelig å spore siden e-poster sendes fra et selskaps eget domene. Det finnes imidlertid måter å feilsøke det på. En av de populære metodene som brukes og anbefales av bransjeeksperter er å minimere spoofing ved hjelp av et DMARC- oppsett.

6. Påskudd

Påskudd kan refereres til som en forgjenger til et sosialt ingeniørangrep. Det er når en angriper vever en hypotetisk historie for å støtte påstanden hans om sensitiv selskapsinformasjon. I de fleste tilfeller utføres påskudd via telefonsamtaler, der en angriper utgir seg for å være en kunde eller ansatt og krever sensitiv informasjon fra selskapet. 

Hva er en vanlig metode som brukes i sosial ingeniørkunst?

Den vanligste metoden som brukes i sosial ingeniørkunst er phishing. La oss ta en titt på litt statistikk for bedre å forstå hvordan phishing er en økende global trussel:

  • 2021 Cybersecurity Threat Trends-rapporten fra CISCO fremhevet at hele 90 % av datainnbrudd skjer som et resultat av phishing
  • IBM i deres Cost of a Data Breach Report fra 2021 delegerte tittelen på mest økonomisk kostnadskrevende angrepsvektor til phishing
  • For hvert år har frekvensen av phishing-angrep vist seg å øke med 400 %, som rapportert av FBI

Hvordan beskytte deg mot angrep fra Social Engineering?

Protokoller og verktøy du kan konfigurere: 

  • Implementer e-postautentiseringsprotokoller i organisasjonen din som SPF, DKIM og DMARC. Start med å lage en gratis DMARC-post i dag med vår DMARC-postgenerator .
  • Håndhev DMARC-retningslinjene dine for å p=avvise for å minimere direkte domeneforfalskning og phishing-angrep på e -post
  • Sørg for at datasystemet ditt er beskyttet ved hjelp av et antivirusprogram

Personlige tiltak du kan ta:

  • Øk bevisstheten i organisasjonen din mot vanlige typer sosiale ingeniørangrep, angrepsvektorer og advarselsskilt
  • Lær deg selv om angrepsvektorer og typer. Besøk kunnskapsbasen vår, skriv inn "phishing" i søkefeltet, trykk enter, og begynn å lære i dag!  
  • Send aldri inn konfidensiell informasjon på eksterne nettsteder
  • Aktiver anrops-ID-identifikasjonsapplikasjoner på mobilenheten din
  • Husk alltid at banken din aldri vil be deg om å sende inn kontoinformasjon og passord via e-post, SMS eller telefon
  • Sjekk alltid e-postens Fra-adresse og returbaneadressen til e-postene dine på nytt for å sikre at de stemmer overens 
  • Klikk aldri på mistenkelige e-postvedlegg eller lenker før du er 100 % sikker på ektheten til kilden deres
  • Tenk to ganger før du stoler på folk du samhandler med på nettet og ikke kjenner i det virkelige liv
  • Ikke bla gjennom nettsteder som ikke er sikret over en HTTPS-tilkobling (f.eks. http://domain.com)