Deze blog zal u vertellen hoe hackers bankrekeningen, sociale media-accounts en systemen hacken. Deze handleiding is alleen voor educatieve doeleinden.
Hackers gebruiken een techniek die Social Engineering wordt genoemd, dus we moeten eerst weten wat Social Engineering is.
Social Engineering is de psychologische manipulatie van mensen om acties uit te voeren of vertrouwelijke informatie te onthullen. In eenvoudige woorden betekent het dat mensen worden misleid, zodat de aanvaller vertrouwelijke informatie van die persoon kan krijgen. Deze sociale manipulatie is niet alleen voor financiële voordelen. Social engineering kan ook voor andere doeleinden worden toegepast, bijvoorbeeld om informatie van mensen te verkrijgen. Het gaat om het spelen met hun geest om dingen gedaan te krijgen.Social engineering aanval gebeurt niet alleen op een enkele persoon het kan ook worden gedaan op een organisatie.Er is geen certificering voor deze zaak.Je kunt social engineers overal vinden. Zelfs je vrienden die naast je zitten en zich concentreren op je toetsenbord terwijl jij je wachtwoorden intypt, zijn een social engineer.
Types van social engineer aanvallen:
Er zijn veel social engineering tactieken, afhankelijk van het medium dat wordt gebruikt om het uit te voeren. Het medium kan e-mail, web, telefoon, USB-drives, of iets anders zijn. Dus, laten we u vertellen over verschillende soorten social engineering-aanvallen:
Phishing is de meest voorkomende vorm van social engineering-aanval. De aanvaller recreëert de website of het ondersteuningsportaal van een gerenommeerd bedrijf en stuurt de link naar doelwitten via e-mails of sociale mediaplatforms. De andere persoon, volledig onbekend met de echte aanvaller, eindigt met het compromitteren van persoonlijke informatie en zelfs creditcardgegevens.
Je kunt phishing-e-mails voorkomen door spamfilters in je e-mailaccounts te gebruiken. De meeste e-mailproviders doen dit tegenwoordig standaard. Open ook geen e-mails die afkomstig zijn van een niet-vertrouwde bron of die u verdacht vindt.
Spear Phishing
Een social engineering-techniek die bekend staat als Spear Phishing kan worden verondersteld als een subset van Phishing. Hoewel het een vergelijkbare aanval is, vergt het een extra inspanning van de kant van de aanvallers. Zij moeten aandacht besteden aan de mate van uniciteit voor het beperkte aantal gebruikers waarop zij zich richten. En het harde werk loont, de kans dat gebruikers voor de valse e-mails vallen is aanzienlijk groter in het geval van spear phishing.
Vishing
Imposters of social engineers kunnen zich overal op het internet bevinden. Maar velen geven de voorkeur aan de ouderwetse manier; ze gebruiken de telefoon. Deze vorm van social engineering staat bekend als Vishing. Ze bootsen het IVR (Interactive Voice Response) systeem van een bedrijf na. Ze koppelen het aan een gratis nummer en verleiden mensen het telefoonnummer te bellen en hun gegevens in te voeren. Bent u het hiermee eens? De meeste mensen denken niet twee keer na voordat ze vertrouwelijke informatie invoeren op een zogenaamd vertrouwd IVR-systeem, of wel?
Pretexting
Pretexting is een ander voorbeeld van social engineering dat u misschien bent tegengekomen. Het is gebaseerd op een scriptscenario dat wordt gebruikt om PII of andere informatie te verkrijgen. Een aanvaller kan zich voordoen als een andere persoon of als een bekende figuur.
Je hebt misschien verschillende tv-programma’s en films gezien waarin rechercheurs deze techniek gebruiken om op plaatsen te komen waar ze persoonlijk niet mogen komen, of om informatie te verkrijgen door mensen voor de gek te houden. Een ander voorbeeld van pretexting zijn de valse e-mails die je ontvangt van verre vrienden die geld nodig hebben. Waarschijnlijk heeft iemand hun account gehackt of een valse aangemaakt.
Baiting
Als u de film Troy hebt gezien, kunt u zich misschien de scène met het paard van Troje herinneren. Een digitale variant van deze techniek staat bekend als Baiting en het is een van de social engineering technieken die door mensen worden gebruikt. Aanvallers infecteerden usb-drives of optische schijven op openbare plaatsen in de hoop dat iemand ze uit nieuwsgierigheid oppikte en ze op zijn apparaten gebruikte. Een moderner voorbeeld van baiting is te vinden op het web. Verschillende downloadlinks, meestal met kwaadaardige software, worden voor willekeurige mensen gegooid in de hoop dat iemand erop klikt.
Tailgating
Onze laatste social engineering aanvalstype van de dag staat bekend als tailgating of “piggybacking”. Bij dit soort aanvallen volgt iemand zonder de juiste authenticatie een geauthenticeerde werknemer tot in een beperkt gebied. De aanvaller kan zich voordoen als een bezorger en buiten een gebouw wachten om te beginnen. Wanneer een werknemer toestemming krijgt van de beveiliging en de deur opent, vraagt de aanvaller de werknemer om de deur vast te houden en zich zo toegang tot het gebouw te verschaffen.
Tailgating werkt niet in alle bedrijfsomgevingen, zoals grote bedrijven waarvan de ingangen het gebruik van een keycard vereisen. In middelgrote bedrijven kunnen aanvallers echter een gesprek aangaan met werknemers en deze blijk van vertrouwdheid gebruiken om voorbij de receptie te komen.
In feite gebruikte Colin Greenless, een beveiligingsconsultant bij Siemens Enterprise Communications, deze tactiek om toegang te krijgen tot meerdere verdiepingen en de dataruimte van een FTSE-genoteerd financieel bedrijf. Hij was zelfs in staat om zich te vestigen in een vergaderruimte op de derde verdieping en daar meerdere dagen te werken.
Hoe jezelf te verdedigen tegen social engineers?
Hier zijn een paar tips die organisaties kunnen opnemen in hun beveiligingsbewustzijn trainingsprogramma’s die gebruikers zullen helpen om social engineering schemes te voorkomen:
- Open geen e-mails van onvertrouwde bronnen. Neem persoonlijk of telefonisch contact op met een vriend of familielid als u een verdacht e-mailbericht van hen ontvangt.
- Geef aanbiedingen van onbekenden niet het voordeel van de twijfel. Als ze te mooi lijken om waar te zijn, zijn ze dat waarschijnlijk ook.
- Vergrendel uw laptop wanneer u niet op uw werkplek bent.
- Schaf antivirussoftware aan. Geen enkele AV-oplossing kan zich verdedigen tegen elke bedreiging die de informatie van gebruikers in gevaar wil brengen, maar ze kunnen helpen bij de bescherming tegen sommige.
- Lees het privacybeleid van uw bedrijf om te begrijpen onder welke omstandigheden u een vreemde in het gebouw kunt of moet toelaten.
Denk na voordat u handelt
Meestal omvatten dergelijke vragen minder belangrijke dingen zoals huisdiernamen, schoolnamen, geboorteplaats, enzovoort. Let ook op welke webpagina’s u bezoekt of welke bestanden u downloadt. Ze kunnen kwaadaardige tools bevatten om uw informatie te oogsten.
Verbeter uw emotionele intelligentie
Sociale technici kunnen ook proberen in te spelen op het emotionele deel van de hersenen van mensen. Ze kunnen proberen je een schuldgevoel aan te praten, je nostalgisch te maken, of zelfs proberen een negatieve invloed uit te oefenen. De situatie wordt alarmerend; mensen hebben de neiging om zich open te stellen voor degenen die proberen om hen emotionele troost te geven.
2 Factor Authentication
Mensen moeten 2FA gebruiken om zich te beschermen tegen dit soort aanvallen, omdat het een soort beveiligingsfunctie is die door de bedrijven wordt aangeboden.Mensen hebben de mythe dat 2FA niet kan worden omzeild, maar het kan worden omzeild, ik zal u vertellen hoe dat te doen in mijn komende tutorial.
Voorbeelden van social engineering-aanvallen
Stelt u zich eens voor dat u eenvoudig $ 10 aan een belegger kunt overmaken en dit ziet uitgroeien tot $ 10.000 zonder enige inspanning van uw kant? Cybercriminelen maken gebruik van de menselijke basisemoties van vertrouwen en hebzucht om slachtoffers ervan te overtuigen dat ze echt iets voor niets kunnen krijgen. Een zorgvuldig geformuleerde lok-e-mail vertelt slachtoffers om hun bankrekeninggegevens te verstrekken en het geld zal dezelfde dag worden overgemaakt.
Voorbeeld 2 -URGENCY
U ontvangt een e-mail van de klantenservice van een online winkelwebsite waar u vaak koopt, waarin staat dat ze uw creditcardgegevens moeten bevestigen om uw account te beschermen. In de taal van de e-mail wordt u dringend verzocht snel te reageren om te voorkomen dat uw creditcardgegevens door criminelen worden gestolen. Zonder er twee keer over na te denken en omdat u de webwinkel vertrouwt, stuurt u niet alleen uw creditcardgegevens, maar ook uw postadres en telefoonnummer. Een paar dagen later ontvangt u een telefoontje van uw creditcardmaatschappij die u vertelt dat uw creditcard is gestolen en is gebruikt voor duizenden dollars aan frauduleuze aankopen.
Voorbeeld 3- FAKE NOTIFICATION
Veel mensen gebruiken Sim van Operators zoals Airtel, Jio, Vodafone, AT&T, Industry body enz.Een Bericht komt aan onze Telefoon wanneer wij 50%or 100% van Internet van de exploitant gebruiken en hieronder is er verbinding van de app van de exploitant en een bericht en wij kunnen gegevensgebruik en addonsaanbieding volgen om herladen te doen.Dus je zult denken wat zal het gebruik van deze hacker?
Een hacker zal dit bericht gebruiken om Hack uw mobiele telefoon.De hacker zal Spoof het bericht en Injecteer de payload met de app en wanneer u de app Boom downloadt uw systeem zal krijgen hacked.
Dit zijn de enkele voorbeelden van social engineering attacks.
Ik hoop dat je deze tutorial.Stay veilig tegen dit soort aanvallen.