Miten hakkerit hakkeroivat pankkitilejä,sosiaalisen median tilejä ja järjestelmiä

Aditya Rana

Seuraa

28. huhtikuuta, 2020 – 6 min read

Tämä blogi kertoo, miten hakkerit hakkeroivat pankkitilejä,sosiaalisen median tilejä ja järjestelmiä. Tämä opetusohjelma on vain opetustarkoituksiin.

Hakkerit käyttävät tekniikkaa, jota kutsutaan sosiaaliseksi manipuloinniksi, joten ensin meidän pitäisi tietää, mitä kutsutaan sosiaaliseksi manipuloinniksi?

Sosiaalinen manipulointi on ihmisten psykologista manipulointia, jotta he suorittaisivat toimia tai paljastaisivat luottamuksellisia tietoja.Yksinkertaisesti sanottuna se tarkoittaa ihmisten huijaamista niin, että hyökkääjä voi saada henkilön luottamuksellisia tietoja. Tämä sosiaalinen manipulointi ei ole vain taloudellista hyötyä. Sosiaalista manipulointia voidaan tehdä myös muihin tarkoituksiin, esimerkiksi tietojen keräämiseksi ihmisiltä. Sosiaalinen manipulointihyökkäys ei kohdistu vain yksittäiseen henkilöön, vaan sitä voidaan tehdä myös organisaatioon.Sosiaalista manipulointia ei ole sertifioitu.Sosiaalisia insinöörejä löytyy kaikkialta. Jopa ystäväsi, joka istuu vieressäsi ja keskittyy näppäimistöön, kun kirjoitat salasanojasi, on sosiaalinen insinööri.

Sosiaalisen insinöörin hyökkäystyypit:

Sosiaalisen insinöörin taktiikoita on monia riippuen välineestä, jota käytetään sen toteuttamiseen. Väline voi olla sähköposti, verkko, puhelin, USB-asemat tai jokin muu asia. Kerrotaan siis erityyppisistä social engineering -hyökkäyksistä:

Phishing on yleisin social engineering -hyökkäyksen tyyppi. Hyökkääjä luo uudelleen tunnetun yrityksen verkkosivuston tai tukiportaalin ja lähettää linkin kohteille sähköpostitse tai sosiaalisen median alustoilla. Todellisesta hyökkääjästä täysin tietämätön toinen henkilö päätyy vaarantamaan henkilökohtaisia tietoja ja jopa luottokorttitietoja.

Voit estää phishing-sähköpostit käyttämällä roskapostisuodattimia sähköpostitileilläsi. Useimmat sähköpostipalveluntarjoajat tekevät tämän nykyään oletusarvoisesti. Älä myöskään avaa mitään sähköpostiviestejä, jotka tulevat epäluotettavasta lähteestä tai jotka koet epäilyttäviksi.

Spear Phishing

Spear Phishing -nimellä tunnetun sosiaalisen manipuloinnin tekniikan voidaan olettaa olevan phishingin alalaji. Vaikka kyseessä on samanlainen hyökkäys, se vaatii hyökkääjiltä ylimääräistä vaivannäköä. Heidän on kiinnitettävä huomiota ainutlaatuisuuden asteeseen niiden kohteena olevan rajallisen käyttäjämäärän osalta. Ja kova työ maksaa itsensä takaisin, sillä Spear Phishingin tapauksessa käyttäjien mahdollisuudet langeta valheellisiin sähköpostiviesteihin ovat huomattavasti suuremmat.

Vishing

Hyökkääjät tai sosiaaliset insinöörit voivat olla missä tahansa internetissä. Monet kuitenkin suosivat vanhanaikaista tapaa; he käyttävät puhelinta. Tämäntyyppinen social engineering -hyökkäys tunnetaan nimellä Vishing. He jäljittelevät yrityksen IVR-järjestelmää (Interactive Voice Response). Se liitetään maksuttomaan numeroon ja ihmisiä huijataan soittamaan puhelinnumeroon ja syöttämään tietonsa. Oletko samaa mieltä tästä? Useimmat ihmiset eivät mieti kahdesti ennen kuin syöttävät luottamuksellisia tietoja oletettavasti luotettavaan IVR-järjestelmään, vai mitä?

Pretexting

Pretexting on toinen esimerkki sosiaalisesta manipuloinnista, johon olet ehkä törmännyt. Se perustuu skriptattuun skenaarioon, joka esitetään kohteiden edessä ja jota käytetään PII:n tai muiden tietojen hankkimiseen. Hyökkääjä saattaa esiintyä toisena henkilönä tai tunnettuna hahmona.

Olet ehkä nähnyt erilaisia TV-sarjoja ja elokuvia, joissa etsivät käyttävät tätä tekniikkaa päästäkseen paikkoihin, joihin heillä ei ole henkilökohtaista lupaa, tai saadakseen tietoja huijaamalla ihmisiä. Toinen esimerkki pretextingistä voivat olla väärennetyt sähköpostiviestit, joita saat kaukaisilta ystäviltäsi, jotka tarvitsevat rahaa. Todennäköisesti joku on hakkeroinut heidän tilinsä tai luonut väärennöksen.

Baiting

Jos olet nähnyt elokuvan Troija, saatat muistaa troijalainen hevonen -kohtauksen. Tämän tekniikan digitaalinen muunnelma tunnetaan nimellä Baiting, ja se on yksi ihmisten käyttämistä sosiaalisen suunnittelun tekniikoista. Hyökkääjät tartuttavat usb-asemia tai optisia levyjä julkisilla paikoilla siinä toivossa, että joku poimii sen uteliaisuudesta ja käyttää sitä laitteissaan. Nykyaikaisempi esimerkki baitingista löytyy verkosta. Erilaisia latauslinkkejä, jotka useimmiten sisältävät haittaohjelmia, heitetään satunnaisten ihmisten eteen siinä toivossa, että joku klikkaisi niitä.

Tailgating

Päivän viimeinen social engineering -hyökkäystyyppimme tunnetaan nimellä tailgating tai ”piggybacking”. Tällaisissa hyökkäyksissä joku, jolla ei ole asianmukaista todentamista, seuraa todennettua työntekijää rajoitetulle alueelle. Hyökkääjä saattaa esiintyä jakelukuljettajana ja odottaa rakennuksen ulkopuolella saadakseen asiat käyntiin. Kun työntekijä saa turvamiesten hyväksynnän ja avaa oven, hyökkääjä pyytää työntekijää pitämään ovea kiinni ja pääsee näin rakennukseen.

Tailgating ei toimi kaikissa yritysympäristöissä, kuten suurissa yrityksissä, joiden sisäänkäynnit edellyttävät avainkortin käyttöä. Keskisuurissa yrityksissä hyökkääjät voivat kuitenkin aloittaa keskustelun työntekijöiden kanssa ja käyttää tätä tuttuuden osoitusta päästäkseen vastaanoton ohi.

Itse asiassa Siemens Enterprise Communicationsin turvallisuuskonsultti Colin Greenless käytti näitä taktiikoita päästäkseen useisiin kerroksiin ja konesaliin eräässä FTSE-listalla noteeratussa rahoitusyhtiössä. Hän pystyi jopa asettumaan kolmannen kerroksen kokoushuoneeseen ja työskentelemään siellä useita päiviä.

Miten puolustautua sosiaalisilta insinööreiltä?

Tässä on muutama vinkki, jotka organisaatiot voivat sisällyttää tietoturvatietoisuuden koulutusohjelmiinsa ja jotka auttavat käyttäjiä välttämään sosiaalisen insinöörityön juonittelua:

  • Älä avaa sähköpostiviestejä, jotka ovat peräisin epäluotettavista lähteistä. Ota yhteyttä ystävään tai perheenjäseneen henkilökohtaisesti tai puhelimitse, jos saat heiltä epäilyttävän sähköpostiviestin.
  • Älä anna tuntemattomien tekemille tarjouksille uskoa. Jos ne vaikuttavat liian hyviltä ollakseen totta, ne todennäköisesti ovat sitä.
  • Lukitse kannettava tietokoneesi aina, kun olet poissa työasemaltasi.
  • Hanki virustorjuntaohjelmisto. Mikään AV-ratkaisu ei voi puolustautua kaikkia uhkia vastaan, jotka pyrkivät vaarantamaan käyttäjien tietoja, mutta ne voivat auttaa suojautumaan joiltakin uhkilta.
  • Lue yrityksesi tietosuojakäytäntö, jotta ymmärrät, missä olosuhteissa voit tai sinun pitäisi päästää tuntematon henkilö rakennukseen.

Ajattele, ennen kuin toimit

Useimmiten tällaiset kysymykset käsittävät vähemmän tärkeitä asioita, kuten lemmikkinimiä, koulun nimiä, kotipaikkakuntia jne. Kiinnitä huomiota myös siihen, millä nettisivuilla vierailet tai mitä tiedostoja lataat. Ne saattavat sisältää haitallisia työkaluja tietojesi keräämiseksi.

Paranna tunneälyäsi

Sosiaaliset insinöörit voivat myös yrittää iskeä ihmisten aivojen tunnepuolelle. He saattavat yrittää viedä sinut syyllisyydentunteeseen, saada sinut nostalgisoimaan tai jopa yrittää vaikuttaa negatiivisesti. Tilanteesta tulee hälyttävä; ihmisillä on taipumus avautua niiden edessä, jotka yrittävät antaa heille emotionaalista lohtua.

2 Factor Authentication

Ihmisten tulisi käyttää 2FA:ta suojautuakseen tämäntyyppisiltä hyökkäyksiltä, sillä se on eräänlainen yritysten tarjoama suojausominaisuus.Ihmisillä on myytti, että 2FA:ta ei voi ohittaa, mutta se voidaan ohittaa kerron sinulle, miten se tehdään tulevassa opetusohjelmassani.

Esimerkkejä sosiaalisen insinöörityön hyökkäyksistä

Kuvittele, jos voisit yksinkertaisesti siirtää 10 dollaria sijoittajalle ja nähdä tämän kasvavan 10 000 dollariksi ilman mitään vaivaa puolestasi? Verkkorikolliset käyttävät ihmisen perustunteita luottamusta ja ahneutta vakuuttaakseen uhrit siitä, että he todella voivat saada jotain ilmaiseksi. Huolellisesti muotoillussa houkuttelevassa sähköpostiviestissä uhreja kehotetaan antamaan pankkitilitietonsa, ja varat siirretään vielä samana päivänä.

Esimerkki 2 -KIRJOITUS

Saat sähköpostiviestin verkkokauppasivuston asiakaspalvelusta, jolta teet usein ostoksia, ja siinä kerrotaan, että heidän on vahvistettava luottokorttitietosi tilisi suojaamiseksi. Sähköpostin kieli kehottaa sinua vastaamaan nopeasti, jotta rikolliset eivät varastaisi luottokorttitietojasi. Ajattelematta kahdesti ja koska luotat verkkokauppaan, lähetät luottokorttitietojesi lisäksi myös postiosoitteesi ja puhelinnumerosi. Muutamaa päivää myöhemmin saat puhelun luottokorttiyhtiöltäsi, jossa kerrotaan, että luottokorttisi on varastettu ja sitä on käytetty tuhansien dollarien petollisiin ostoksiin.

Esimerkki 3- VÄÄRENNETTY ILMOITUS

Monet ihmiset käyttävät operaattoreiden Sim:iä, kuten Airtel,Jio,Vodafone,AT&T,Teollisuusrunko jne.Viesti tulee puhelimeemme, kun käytämme 50 % tai 100 % operaattorin Internetistä ja alla on linkki operaattorin sovellukseen ja viestiin ja voimme seurata datan käyttöä ja lisäosat tarjoavat tehdä latausta.Joten voit ajatella, mitä hyötyä tästä hakkerin?

Hakkeri käyttää tätä viestiä hakkeroida matkapuhelimesi. hakkeri väärentää viestin ja injektoida hyötykuorman sovelluksen kanssa ja kun lataat sovelluksen puomi järjestelmäsi saa hakkeroitu.

Nämä ovat joitakin esimerkkejä sosiaalisen suunnittelun hyökkäyksiä.

Toivottavasti pidät tästä opetusohjelma.Pysy turvassa tämäntyyppisiä hyökkäyksiä.

Vastaa

Sähköpostiosoitettasi ei julkaista.