This Blog Will Tell You How Hackers Hack Bank Accounts,Social Media Accounts And Systems. This Tutorial Is For Educational Purposes Only.
Hackers Use Technique Which Is Called Social Engineering So First Of All We Should Know What Is Called Social Engineering?
Social Engineering is the psychological manipulation of people into performing actions or divulging confidential information.In Simple words it means tricking people so that attacker can gain confidential information of the person. Ta manipulacja społeczna nie jest tylko dla korzyści finansowych. Inżynieria społeczna może być stosowana również w innych celach, na przykład do pozyskiwania informacji od ludzi. Atak socjotechniczny nie zdarza się tylko na pojedynczą osobę, może być również przeprowadzony na organizację. Nie ma na to certyfikatu. Nawet twoi przyjaciele siedzący obok ciebie, koncentrujący się na klawiaturze podczas wpisywania haseł są inżynierami społecznymi.
Typy ataków inżynierii społecznej:
Istnieje wiele taktyk inżynierii społecznej w zależności od medium użytego do jej wdrożenia. Medium może być e-mail, sieć, telefon, dyski USB, lub inne rzeczy. Opowiedzmy więc o różnych typach ataków socjotechnicznych:
Phishing jest najczęstszym typem ataku socjotechnicznego. Atakujący odtwarza stronę internetową lub portal pomocy technicznej znanej firmy i wysyła link do celów za pośrednictwem poczty elektronicznej lub platform mediów społecznościowych. Druga osoba, zupełnie nieznana prawdziwemu atakującemu, w końcu naraża na szwank informacje osobiste, a nawet dane karty kredytowej.
Możesz zapobiec wiadomościom phishingowym, używając filtrów antyspamowych na swoich kontach e-mail. Większość dostawców poczty elektronicznej robi to obecnie domyślnie. Ponadto, nie otwieraj żadnych wiadomości e-mail pochodzących z niezaufanego źródła lub uznanych za podejrzane.
Spear Phishing
Technika inżynierii społecznej znana jako Spear Phishing może być uważana za podzbiór Phishingu. Mimo, że jest to podobny atak, wymaga on od atakujących dodatkowego wysiłku. Muszą oni zwrócić uwagę na stopień unikalności dla ograniczonej liczby użytkowników, do których kierują swoje działania. A ciężka praca się opłaca, szanse na to, że użytkownicy dadzą się nabrać na fałszywe e-maile są znacznie wyższe w przypadku spear phishingu.
Vishing
Płatnicy lub inżynierowie społeczni mogą być wszędzie w Internecie. Ale wielu z nich woli staromodny sposób; używają telefonu. Ten rodzaj ataku socjotechnicznego znany jest jako Vishing. Odtwarzają oni system IVR (Interactive Voice Response) danej firmy. Podłączają go do bezpłatnego numeru i podstępem nakłaniają ludzi, aby zadzwonili pod ten numer i podali swoje dane. Czy zgodzisz się z tym? Większość ludzi nie zastanawia się dwa razy przed wprowadzeniem poufnych informacji do rzekomo zaufanego systemu IVR, prawda?
Preteksting
Preteksting jest kolejnym przykładem inżynierii społecznej, z którym mogłeś się zetknąć. Opiera się on na oskryptowanym scenariuszu przedstawionym przed celem, wykorzystywanym do wydobycia informacji PII lub innych informacji. Atakujący może podszywać się pod inną osobę lub znaną postać.
Widziałeś może różne programy telewizyjne i filmy, w których detektywi używają tej techniki, aby dostać się do miejsc, do których nie są upoważnieni, lub wydobyć informacje poprzez oszukiwanie ludzi. Innym przykładem pretextingu mogą być fałszywe e-maile, które otrzymujesz od swoich dalekich przyjaciół potrzebujących pieniędzy. Prawdopodobnie ktoś włamał się na ich konto lub stworzył fałszywe.
Podżeganie
Jeśli widziałeś film Troja, możesz być w stanie przypomnieć sobie scenę z koniem trojańskim. Cyfrowa odmiana tej techniki znana jest jako Baiting i jest to jedna z technik inżynierii społecznej wykorzystywanych przez ludzi. Atakujący infekowali napędy usb lub dyski optyczne w miejscach publicznych z nadzieją, że ktoś z ciekawości weźmie je do ręki i użyje na swoim urządzeniu. Bardziej współczesny przykład przynęty można znaleźć w sieci. Różne linki do pobrania, najczęściej zawierające złośliwe oprogramowanie, są podrzucane przypadkowym osobom w nadziei, że ktoś na nie kliknie.
Podkradanie
Nasz ostatni typ ataku socjotechnicznego tego dnia jest znany jako podkradanie lub „podrzucanie”. W tego typu atakach ktoś bez odpowiedniego uwierzytelnienia podąża za uwierzytelnionym pracownikiem do obszaru o ograniczonym dostępie. Atakujący może podszyć się pod kierowcę dostawy i czekać na zewnątrz budynku, aby rozpocząć pracę. Kiedy pracownik uzyska zgodę ochrony i otworzy drzwi, napastnik poprosi pracownika o przytrzymanie drzwi, uzyskując w ten sposób dostęp do budynku.
Tailgating nie działa we wszystkich środowiskach korporacyjnych, takich jak duże firmy, których wejścia wymagają użycia karty-klucza. Jednak w średniej wielkości przedsiębiorstwach napastnicy mogą nawiązać rozmowę z pracownikami i wykorzystać ten dowód znajomości, aby ominąć recepcję.
W rzeczywistości Colin Greenless, konsultant ds. bezpieczeństwa w Siemens Enterprise Communications, wykorzystał tę taktykę, aby uzyskać dostęp do wielu pięter i pomieszczenia z danymi w firmie finansowej notowanej na liście FTSE. Udało mu się nawet założyć sklep w sali konferencyjnej na trzecim piętrze i pracować tam przez kilka dni.
Jak bronić się przed inżynierami społecznymi?
Oto kilka wskazówek, które organizacje mogą włączyć do swoich programów szkoleniowych w zakresie świadomości bezpieczeństwa, które pomogą użytkownikom uniknąć schematów inżynierii społecznej:
- Nie otwieraj żadnych wiadomości e-mail z niezaufanych źródeł. Skontaktuj się z przyjacielem lub członkiem rodziny osobiście lub telefonicznie, jeśli otrzymasz od nich podejrzaną wiadomość e-mail.
- Nie podawaj ofert od nieznajomych w wątpliwość. Jeśli wydają się zbyt piękne, aby mogły być prawdziwe, prawdopodobnie takie są.
- Blokuj swój laptop, gdy jesteś z dala od swojej stacji roboczej.
- Kup oprogramowanie antywirusowe. Żadne rozwiązanie AV nie jest w stanie obronić się przed każdym zagrożeniem, które ma na celu narażenie informacji użytkowników, ale może pomóc chronić przed niektórymi z nich.
- Przeczytaj politykę prywatności swojej firmy, aby zrozumieć, w jakich okolicznościach możesz lub powinieneś wpuścić nieznajomego do budynku.
Zastanów się, zanim zaczniesz działać
W większości przypadków takie pytania obejmują mniej ważne rzeczy, takie jak imiona zwierząt domowych, imiona szkolne, miejsce urodzenia itp. Zwracaj również uwagę na to, jakie strony internetowe odwiedzasz lub jakie pliki pobierasz. Mogą one zawierać złośliwe narzędzia do zbierania twoich informacji.
Ulepsz swoją inteligencję emocjonalną
Inżynierowie społeczni mogą również próbować uderzyć w emocjonalną część mózgu ludzi. Mogą próbować zabrać Cię na wycieczkę w poczuciu winy, sprawić, że będziesz nostalgiczny, lub nawet spróbować wpłynąć negatywnie. Sytuacja staje się alarmująca; ludzie mają tendencję do otwierania się przed tymi, którzy próbują dać im emocjonalny komfort.
2 Factor Authentication
Ludzie powinni używać 2FA, aby chronić się przed tego typu atakami, ponieważ jest to rodzaj zabezpieczenia dostarczanego przez firmy.Ludzie mają mit, że 2FA nie może być ominięte, ale może być ominięte i powiem ci jak to zrobić w moim nadchodzącym tutorialu.
Przykłady Ataków Inżynierii Społecznej
Wyobraź sobie, że mógłbyś po prostu przenieść $10 do inwestora i zobaczyć jak to rośnie do $10,000 bez żadnego wysiłku z twojej strony? Cyberprzestępcy wykorzystują podstawowe ludzkie emocje, takie jak zaufanie i chciwość, aby przekonać ofiary, że naprawdę mogą dostać coś za darmo. Starannie sformułowana wiadomość e-mail z przynętą mówi ofiarom, aby podały informacje o swoim koncie bankowym, a środki zostaną przelane tego samego dnia.
Przykład 2 – PRZESTĘPSTWO
Otrzymujesz wiadomość e-mail od działu obsługi klienta w witrynie zakupów online, w której często robisz zakupy, z informacją, że muszą potwierdzić informacje o twojej karcie kredytowej, aby chronić twoje konto. W treści maila nakłaniają Cię do szybkiej odpowiedzi, aby upewnić się, że informacje o Twojej karcie kredytowej nie zostaną skradzione przez przestępców. Nie zastanawiając się dwa razy i ponieważ ufasz sklepowi internetowemu, wysyłasz nie tylko dane karty kredytowej, ale także swój adres pocztowy i numer telefonu. Kilka dni później otrzymujesz telefon od firmy obsługującej Twoją kartę kredytową z informacją, że Twoja karta kredytowa została skradziona i użyta na tysiące dolarów oszukańczych zakupów.
Przykład 3- FAKE NOTIFICATION
Many people Use Sim of Operators like Airtel,Jio,Vodafone,AT&T,Industry body etc.Wiadomość przychodzi do naszego telefonu, gdy używamy 50% lub 100% Internetu od operatora, a poniżej znajduje się link do aplikacji operatora i wiadomość i możemy śledzić wykorzystanie danych i addons oferują zrobić doładowanie.Haker użyje tej wiadomości, aby włamać się do twojego telefonu komórkowego. Haker sfałszuje wiadomość i wstrzyknie ładunek z aplikacją, a kiedy pobierzesz aplikację Boom, twój system zostanie zhakowany.
To są niektóre przykłady ataków socjotechnicznych.
Mam nadzieję, że spodoba ci się ten poradnik.