Ved sosial manipulering forsøker angriperen å få tilgang til data eller tjenester ved å skape relasjoner til personer som han eller hun kan utnytte tilliten til. Den første forsvarslinjen er å være på vakt. Angriperen kan lokke deg inn i en samtale som utvikler seg til et forhør. Den beste måten å beskytte deg mot sosial manipulering på er imidlertid å vite hvem du kan stole på, og selv være pålitelig. Du må identifisere alle som kan få tilgang til kontoen din eller påvirke den, og sørge for at de har en god grunn til å gjøre det.
Hva er et angrep med sosial manipulering?
Social engineering-angrep er en form for hacking der en angriper forsøker å få tilgang til informasjon ved å utnytte tillit. Det er et svært effektivt angrep fordi det utnytter ditt ønske om å hjelpe andre, din nysgjerrighet og naivitet. En sosial manipulator kan gjøre deg til en uvitende medskyldig ved å bruke manipulasjon på høyt nivå for å oppnå det angriperen ønsker. Det er en form for hacking, men i stedet for å bryte seg inn i datamaskiner prøver sosialingeniører å få tilgang til dem ved å lure ansatte til å gi fra seg informasjon eller laste ned skadevare.
Hvordan fungerer sosial manipulering? Vanlige teknikker
Sosial manipulering kan utføres via telefon, e-post eller tekstmeldinger. En sosial manipulator kan ringe en bedrift og be om tilgang til et avgrenset område, eller utgi seg for å være en annen person for å få noen andre til å åpne en e-postkonto på deres vegne.
Sosiale ingeniører bruker mange forskjellige taktikker for å nå sine mål. For eksempel kan de hevde at de ringer fra en bedrifts kundestøtte og be om ekstern tilgang slik at de kan fikse noe på datamaskinen eller nettverket. Eller de kan hevde at de trenger passordet ditt eller annen personlig informasjon, for eksempel banklegitimasjon, slik at de kan løse et problem med bankkontoen din.
I noen tilfeller utgir de seg til og med for å være politi betjenter og truer med rettslige skritt hvis du nekter å etterkomme kravene om informasjon. Det er viktig at bedrifter tar disse truslene på alvor, men husk at politiet aldri vil ringe noen og be om passordene deres over telefon!
Formål med sosialteknikk
Sosial engineering brukes ofte i phishing-angrep, som er e-poster som ser ut til å være fra en pålitelig kilde, men som faktisk er rettet mot å stjele din personlige informasjon. E-postene inneholder vanligvis et vedlegg med skadelig programvare (ofte kalt skadelig programvare) som vil infisere datamaskinen din hvis den åpnes.
Målet med sosial ingeniørkunst er alltid det samme: å få tilgang til noe verdifullt uten å måtte jobbe for det.
1. Å stjele sensitiv informasjon
Sosiale ingeniører kan forsøke å lure deg til å oppgi passord og påloggingsinformasjon (f.eks. brukernavn/e-postadresse), slik at de får tilgang til e-postkontoen eller profilen din på sosiale medier og kan stjele personopplysninger som kredittkortnummer og bankkontoopplysninger fra tidligere transaksjoner.
2. Identitetstyveri
De kan også bruke denne informasjonen til å anta offerets identitet og utføre ondsinnede aktiviteter som utgir seg for å være dem på linjen hvis de velger å ikke ødelegge den umiddelbart.
Eksempel på et angrep med sosial manipulering
Bruken av bedrag og lureri for å oppnå en fordel strekker seg langt før den utbredte tilgjengeligheten av personlige datamaskiner og World Wide Web. Men vi kan se lenger tilbake i historien for å se noen av de mest alvorlige angrepssakene for sosial ingeniørarbeid.
I den siste hendelsen, som skjedde i februar 2020, lurte et phishing -forsøk med en falsk renoveringsfaktura Barbara Corcoran fra ABCs " Shark Tank" ut av nesten $400 000.
Hvis du er et offer for sosiale ingeniørangrep, er det viktig å vite hvordan du kan beskytte deg selv mot å bli utsatt. Lær varseltegnene på en potensiell trussel og hvordan du kan beskytte deg selv.
Hvordan identifisere et angrep fra sosial manipulering?
1. Stol på magefølelsen
Hvis du mottar e-poster eller telefonsamtaler som høres mistenkelige ut, ikke gi ut informasjon før du har bekreftet identiteten din. Du kan gjøre dette ved å ringe bedriften din direkte eller ved å sjekke inn med personen som angivelig sendte e-posten eller la igjen en melding på taleposten din.
2. Ikke send inn din personlige informasjon
Hvis noen ber om personnummeret ditt eller andre private opplysninger, er det et tegn på at de prøver å utnytte tilliten din og bruke den mot deg senere. Det anbefales at du ikke gir fra deg informasjon med mindre det er nødvendig.
3. Uvanlige forespørsler uten kontekst
Sosiale ingeniører kommer vanligvis med store forespørsler uten å gi noen sammenheng. Hvis noen ber om penger eller andre ressurser uten å forklare hvorfor de trenger det, er det sannsynligvis noe skummelt som foregår der. Det er bedre å være forsiktig når noen kommer med en stor forespørsel som dette – du vet aldri hva slags skade som kan gjøres med tilgang til bankkontoen din!
Her er noen måter du kan oppdage angrep fra sosialteknikk :
- Motta en e-post fra noen som hevder å være fra IT-avdelingen din som ber deg om å tilbakestille passordet ditt og oppgi det i en e-post eller tekstmelding
- Motta en e-post fra noen som hevder å være fra banken din som ber om personlig informasjon, for eksempel kontonummer eller PIN-kode
- Motta en e-post fra noen som hevder å være fra banken din som ber om personlig informasjon, for eksempel kontonummer eller PIN-kode
- Å bli spurt om informasjon om selskapet av noen som hevder å være fra selskapets HR-avdeling
Typer av sosial manipulering
Social engineering-angrep er en god måte å begå svindel på. Det kan skje på flere måter.
Få tilgang: Hackere kan få tilgang til bankkontoen din ved å søke om kreditt i en annen persons navn. Svindelen foregår ofte ved at venner og familie får en telefonsamtale eller e-post og blir bedt om å foreta en bankoverføring for raskt å betale hackeren for det han eller hun har gjort mot offeret.
Stjele personlig informasjon: En annen vanlig måte å lure folk til å gi fra seg personopplysninger på, er ved å tro at de har vunnet en premie eller konkurranse de aldri har deltatt i, men som de har meldt seg på. Og når de blir oppringt for å forsikre seg om at de vil få premien når de gir fra seg opplysningene, går ofrene i angriperens felle.
Phishing: I dette angrepet sender angriperne e-poster som ser ut som om de kommer fra legitime selskaper eller organisasjoner, men som inneholder ondsinnede lenker eller vedlegg. Dette er dessuten et av de vanligste sosialtekniske angrepene på verdensbasis.
Pretexting: Et annet massivt sosial manipulering-angrep går ut på å skape en falsk identitet eller et falskt scenario for å få tilgang til personlig informasjon. Et av de mest fremtredende eksemplene på sosialmanipulering er når angripere skaffer seg tilgang til å manipulere personer gjennom tekstmeldinger .
Skuldersurfing: Dette er et angrep der angriperen ser over skulderen på noen for å få tilgang til konfidensiell informasjon. Noen ganger er angriperen ikke noe annet enn dine nære venner eller kjære som vil utpresse deg når de får informasjonen de alltid har ønsket seg. Det er derfor viktig å holde øye med slike personer og aldri gi fra seg personlige opplysninger.
Forfølgelse: Tailgating er når en angriper følger etter noen som er autorisert til å gå inn i en bygning eller et sikkert område uten å være autorisert. Det er ikke like vanlig som andre sosial manipulering-angrep, men det er likevel farlig og kan etterlate skadelige spor.
5 måter å beskytte deg selv mot angrep fra sosiale ingeniører
Her har vi samlet noen nyttige tips eller ideer som hjelper deg med å beskytte deg selv mot å bli sosialt angrepet eller forhindre angrep fra sosialt ingeniørarbeid:
1. Ukjente avsendere (e-poster vs. tekstmeldinger)
Vær nøye med avsenderens e-postadresse og innholdet i meldingen. Det er viktig å vite at du ikke trenger å klikke på noen mistenkelige dokumentkoblinger.
2. Slutt å dele personopplysninger
Tenk før du deler personlig informasjon, som passord og kredittkortnumre. Ingen legitim bedrift eller enkeltperson bør noen gang be om denne typen sensitiv informasjon. Bruk alltid sterke passord og bytt dem regelmessig. Unngå å bruke de samme passordene for flere kontoer og spar deg selv fra å bli et offer for sosiale ingeniørangrep.
3. Sikkerhetslag
Bruk tofaktorautentisering når det er mulig. Det kan ytterligere legge til et ekstra lag med sikkerhet ved å kreve at brukerne oppgir en kode sendt til mobiltelefonen og brukernavnet og passordet. Sett alltid opp autentiseringskoder med e-post og telefonnummer, slik at hvis noen skulle få tilgang til et av systemene, ville de ikke kunne bruke kontoen din direkte.
4. Antivirusprogramvare
Installer anti- malware og antivirusprogramvare på alle enhetene dine. Hold disse programmene oppdatert slik at de kan beskytte deg mot de nyeste truslene. Men når du har et antivirus installert på enhetene dine, kan det gi et utmerket skjold mot angrep fra sosial ingeniørkunst.
5. Vær alltid oppmerksom på eventuelle risikoer
Det ville hjelpe hvis du alltid vurderte risikoen. Sørg for at alle forespørsler om informasjon er korrekte ved å dobbeltsjekke og trippelsjekke. Hold utkikk etter nyheter om cybersikkerhet når du er berørt av et nylig sikkerhetsbrudd.
Konklusjon
For å beskytte deg mot sosiale ingeniørangrep, må du lære å ta forholdsregler mot dem. Siden vi allerede har gitt deg noen standardmetoder for sosiale ingeniørangrep, som har blitt brukt i flere aldre i verden, sørg for å begynne å implementere forholdsreglene nå. Sosiale ingeniørangrep kan skade en persons pluss, profesjonelle liv i løpet av sekunder. Beskytt alltid enhetene, passordene og andre pålogginger med to konfigurerte autentiseringsbekreftelseskoder for et ytre beskyttelseslag.
Før du gjør noe annet, snakk med en pålitelig IT-ekspert eller sikkerhetsekspert som PowerDMARC . De kan hjelpe deg med å forstå risikoen for sosiale ingeniørangrep og hvordan du kan minimere dem.