Tento blog vám prozradí, jak hackeři nabourávají bankovní účty,účty a systémy sociálních médií. Tento návod slouží pouze k výukovým účelům.
Hackeři používají techniku, které se říká sociální inženýrství, takže bychom nejprve měli vědět, čemu se říká sociální inženýrství?
Sociální inženýrství je psychologická manipulace s lidmi, aby prováděli akce nebo prozradili důvěrné informace.Zjednodušeně řečeno to znamená oklamání lidí, aby útočník mohl získat důvěrné informace o dané osobě. Tato sociální manipulace neslouží pouze k získání finančních výhod. Sociální inženýrství lze provádět i pro jiné účely, například pro získávání informací od lidí. Zahrnuje hraní si s jejich myslí za účelem získání věcí. útok sociálního inženýrství se neděje pouze na jednu osobu, ale může být proveden i na organizaci. na tuto věc neexistuje žádná certifikace. sociální inženýry můžete najít všude. Dokonce i vaši přátelé, kteří sedí vedle vás a soustředí se na klávesnici, zatímco vy zadáváte hesla, jsou sociální inženýři.
Typy útoků sociálního inženýra:
Existuje mnoho taktik sociálního inženýrství v závislosti na médiu použitém k jeho realizaci. Prostředkem může být e-mail, web, telefon, USB disk nebo jiná věc. Pojďme si tedy povědět o různých typech útoků sociálního inženýrství:
Phishing je nejběžnějším typem útoku sociálního inženýrství. Útočník ztvární webové stránky nebo portál podpory renomované společnosti a pošle odkaz cílům prostřednictvím e-mailů nebo platforem sociálních médií. Druhá osoba, která o skutečném útočníkovi vůbec neví, nakonec kompromituje osobní údaje a dokonce i údaje o kreditní kartě.
Phishingovým e-mailům můžete zabránit použitím filtrů spamu ve svých e-mailových účtech. Většina poskytovatelů e-mailových služeb to dnes dělá ve výchozím nastavení. Také neotvírejte žádné e-maily, které přicházejí z nedůvěryhodného zdroje nebo vám připadají podezřelé.
Spear Phishing
Jako podmnožinu phishingu lze předpokládat techniku sociálního inženýrství známou jako Spear Phishing. Ačkoli se jedná o podobný útok, vyžaduje ze strany útočníků zvýšené úsilí. Ti musí věnovat pozornost míře jedinečnosti pro omezený počet uživatelů, na které se zaměřují. A tvrdá práce se vyplatí, pravděpodobnost, že uživatelé naletí falešným e-mailům, je v případě spear phishingu podstatně vyšší.
Vishing
Podvodníci nebo sociální inženýři mohou být kdekoli na internetu. Mnozí však dávají přednost staromódnímu způsobu; používají telefon. Tento typ útoku sociálního inženýrství se nazývá Vishing. Ztvárňují systém IVR (Interactive Voice Response) společnosti. Připojí jej k bezplatnému telefonnímu číslu a oklamou lidi, aby na toto číslo zavolali a zadali své údaje. Souhlasili byste s tím? Většina lidí si dvakrát nerozmyslí, než zadá důvěrné informace do údajně důvěryhodného systému IVR, nebo ano?“
Pretexting
Pretexting je dalším příkladem sociálního inženýrství, se kterým jste se mohli setkat. Je založeno na skriptovaném scénáři prezentovaném před cílovými osobami, který slouží k získání osobních údajů nebo jiných informací. Útočník se může vydávat za jinou osobu nebo známou postavu.
Možná jste viděli různé televizní pořady a filmy, kde detektivové používají tuto techniku, aby se dostali na místa, kam osobně nejsou oprávněni, nebo aby získali informace oklamáním lidí. Dalším příkladem pretextingu mohou být falešné e-maily, které dostáváte od svých vzdálených přátel, kteří potřebují peníze. Pravděpodobně se někdo naboural do jejich účtu nebo vytvořil falešný účet.
Podvod
Pokud jste viděli film Trója, možná si vybavíte scénu s trojským koněm. Digitální varianta této techniky se nazývá Baiting a je to jedna z technik sociálního inženýrství, kterou lidé používají. Útočníci infikovali usb disky nebo optické disky na veřejných místech s nadějí, že si je někdo ze zvědavosti vezme a použije je ve svém zařízení. Modernější příklad návnady lze najít na webu. Různé odkazy ke stažení, většinou obsahující škodlivý software, jsou předhazovány náhodným lidem v naději, že na ně někdo klikne.
Tailgating
Náš poslední dnešní typ útoku sociálního inženýrství je známý jako tailgating nebo „piggybacking“. Při těchto typech útoků někdo bez řádného ověření následuje ověřeného zaměstnance do vyhrazené oblasti. Útočník se může vydávat za řidiče dodávky a čekat před budovou, aby mohl zahájit činnost. Když zaměstnanec získá souhlas ochranky a otevře dveře, útočník požádá zaměstnance, aby dveře podržel, a tím získá přístup do budovy.
Tailgating nefunguje ve všech firemních prostředích, například ve velkých společnostech, jejichž vstupy vyžadují použití přístupové karty. Ve středně velkých podnicích však mohou útočníci navázat rozhovor se zaměstnanci a využít tohoto projevu známosti k tomu, aby se dostali přes recepci.
Ve skutečnosti Colin Greenless, bezpečnostní konzultant společnosti Siemens Enterprise Communications, použil tuto taktiku k získání přístupu do několika pater a datové místnosti ve finanční společnosti kotované na burze FTSE. Dokázal se dokonce usadit v zasedací místnosti ve třetím patře a pracovat tam několik dní.
Jak se bránit sociálním inženýrům?
Níže uvádíme několik tipů, které mohou organizace začlenit do svých programů školení o bezpečnosti a které pomohou uživatelům vyhnout se schématům sociálního inženýrství:
- Neotvírejte žádné e-maily z nedůvěryhodných zdrojů. Pokud od nich obdržíte podezřelou e-mailovou zprávu, kontaktujte přítele nebo člena rodiny osobně nebo telefonicky.
- Nevěřte nabídkám od neznámých lidí. Pokud se zdají příliš dobré na to, aby byly pravdivé, pravděpodobně pravdivé jsou.
- Uzamkněte svůj notebook, kdykoli jste mimo svou pracovní stanici.
- Zakupte si antivirový software. Žádné AV řešení nedokáže ochránit před všemi hrozbami, které se snaží ohrozit informace uživatelů, ale před některými může pomoci.
- Přečtěte si firemní zásady ochrany osobních údajů, abyste věděli, za jakých okolností můžete nebo byste měli pustit cizí osobu do budovy.
Přemýšlejte, než začnete jednat
Většinou takové otázky zahrnují méně důležité věci, jako jsou jména domácích mazlíčků, jména škol, místo narození atd. Věnujte také pozornost tomu, jaké webové stránky navštěvujete nebo jaké soubory stahujete. Mohou obsahovat škodlivé nástroje pro sběr vašich informací.
Zlepšete svou emoční inteligenci
Sociální inženýři se také mohou snažit zasáhnout emoční část lidského mozku. Mohou se na vás pokusit přenést pocit viny, vyvolat ve vás nostalgii nebo se dokonce pokusit negativně ovlivnit. Situace se stává alarmující; lidé mají tendenci otevírat se před těmi, kteří se jim snaží poskytnout emocionální útěchu.
2faktorové ověřování
Lidé by měli používat 2FA, aby se ochránili před těmito typy útoků, protože se jedná o typ bezpečnostního prvku poskytovaného společnostmi.Lidé mají mýtus, že 2FA nelze obejít, ale lze ho obejít, řeknu vám, jak to udělat v mém nadcházejícím tutoriálu.
Příklady útoků sociálního inženýrství
Představte si, že byste mohli jednoduše převést 10 dolarů investorovi a viděli byste, jak se tyto peníze rozrostou na 10 000 dolarů bez jakéhokoli úsilí z vaší strany? Kyberzločinci využívají základní lidské emoce, jako je důvěra a chamtivost, aby přesvědčili oběti, že opravdu mohou získat něco zadarmo. V pečlivě formulovaném vábivém e-mailu oběti sdělí, aby poskytly údaje o svém bankovním účtu a finanční prostředky budou převedeny ještě týž den.
Příklad 2 -URGENCIE
Přijde vám e-mail od zákaznické podpory internetové nákupní stránky, na které často nakupujete, že potřebují potvrdit údaje o vaší kreditní kartě, aby ochránili váš účet. Jazyk e-mailu vás vyzývá k rychlé reakci, abyste zajistili, že údaje o vaší kreditní kartě nebudou odcizeny zločinci. Bez rozmýšlení a protože internetovému obchodu důvěřujete, odešlete nejen údaje o své kreditní kartě, ale také poštovní adresu a telefonní číslo. O několik dní později vám zavolá společnost vydávající kreditní karty a oznámí vám, že vaše kreditní karta byla odcizena a použita k podvodným nákupům za tisíce dolarů.
Příklad 3- FALEŠNÉ OZNÁMENÍ
Mnoho lidí používá SIM karty operátorů jako Airtel,Jio,Vodafone,AT&T,Industry body atd.Na náš telefon přijde zpráva, když využijeme 50%nebo 100% internetu od operátora a níže je odkaz na aplikaci operátora a zpráva a můžeme sledovat využití dat a nabídku doplňků k dobití.Takže si budete myslet, k čemu bude tento hacker?
Hacker použije tuto zprávu k hacknutí vašeho mobilního telefonu. hacker podvrhne zprávu a vloží do ní payload s aplikací a když si stáhnete aplikaci Boom, váš systém bude hacknut.
Toto jsou některé příklady útoků sociálního inženýrství.
Doufám, že se vám tento návod bude líbit. zůstaňte v bezpečí před těmito typy útoků.
.