Acest blog vă va spune cum hackerii sparg conturile bancare, conturile de social media și sistemele. Acest tutorial este doar în scopuri educaționale.
Hackerii folosesc o tehnică care se numește inginerie socială, așa că mai întâi de toate ar trebui să știm ce se numește inginerie socială?
Inginerie socială este manipularea psihologică a oamenilor pentru ca aceștia să efectueze acțiuni sau să divulge informații confidențiale.
În cuvinte simple, înseamnă să păcălești oamenii astfel încât atacatorul să poată obține informații confidențiale ale persoanei. Această manipulare socială nu este doar pentru beneficii financiare. Ingineria socială poate fi făcută și în alte scopuri, de exemplu, pentru a culege informații de la oameni. Aceasta presupune să te joci cu mintea lor pentru a obține anumite lucruri.Atacul de inginerie socială nu se întâmplă doar asupra unei singure persoane, ci poate fi făcut și asupra unei organizații.Nu există nicio certificare pentru acest lucru.Poți găsi ingineri sociali peste tot. Chiar și prietenii tăi care stau lângă tine și se concentrează pe tastatură în timp ce tu îți tastezi parolele este un inginer social.
Tipuri de atacuri ale inginerului social:
Există multe tactici de inginerie socială în funcție de mediul folosit pentru a le implementa. Mediul poate fi e-mail, web, telefon, unități USB sau alte lucruri. Așadar, haideți să vă spunem despre diferitele tipuri de atacuri de inginerie socială:
Phishing-ul este cel mai comun tip de atac de inginerie socială. Atacatorul recreează site-ul web sau portalul de asistență al unei companii de renume și trimite linkul către ținte prin e-mailuri sau platforme de socializare. Cealaltă persoană, complet necunoscută de adevăratul atacator, sfârșește prin a compromite informații personale și chiar detalii ale cardului de credit.
Puteți preveni e-mailurile de phishing prin utilizarea filtrelor de spam în conturile dumneavoastră de e-mail. Majoritatea furnizorilor de e-mail fac acest lucru în mod implicit în zilele noastre. De asemenea, nu deschideți niciun e-mail care vine dintr-o sursă care nu este de încredere sau vi se pare suspectă.
Spear Phishing
O tehnică de inginerie socială cunoscută sub numele de Spear Phishing poate fi considerată un subset al Phishing-ului. Deși este un atac similar, necesită un efort suplimentar din partea atacatorilor. Aceștia trebuie să fie atenți la gradul de unicitate pentru numărul limitat de utilizatori pe care îl vizează. Iar munca grea este răsplătită, șansele ca utilizatorii să cadă în plasa e-mailurilor false sunt considerabil mai mari în cazul spear phishing-ului.
Vishing
Imposterii sau inginerii sociale se pot afla oriunde pe internet. Dar mulți preferă metoda de modă veche; ei folosesc telefonul. Acest tip de atac de inginerie socială este cunoscut sub numele de Vishing. Ei recreează sistemul IVR (Interactive Voice Response) al unei companii. Îl atașează la un număr gratuit și păcălesc oamenii să sune la numărul de telefon și să introducă datele lor. Sunteți de acord cu acest lucru? Majoritatea oamenilor nu se gândesc de două ori înainte de a introduce informații confidențiale într-un sistem IVR presupus a fi de încredere, nu-i așa?
Pretexting
Pretexting este un alt exemplu de inginerie socială pe care s-ar putea să-l fi întâlnit. Se bazează pe un scenariu scriptat prezentat în fața țintelor, folosit pentru a extrage PII sau alte informații. Un atacator ar putea să se dea drept o altă persoană sau o figură cunoscută.
S-ar putea să fi văzut diverse emisiuni TV și filme în care detectivii folosesc această tehnică pentru a intra în locuri în care nu sunt autorizați personal sau pentru a extrage informații prin înșelarea oamenilor. Un alt exemplu de pretexting pot fi e-mailurile false pe care le primiți de la prietenii dvs. îndepărtați care au nevoie de bani. Probabil, cineva le-a spart contul sau a creat unul fals.
Baiting
Dacă ați văzut filmul Troy, probabil că vă puteți aminti scena cu calul troian. O variantă digitală a acestei tehnici este cunoscută sub numele de Baiting și este una dintre tehnicile de inginerie socială folosite de oameni. Atacatorii infectează unități USB sau discuri optice în locuri publice cu speranța că cineva le va lua din curiozitate și le va folosi pe dispozitivele lor. Un exemplu mai modern de baiting poate fi găsit pe web. Diferite linkuri de descărcare, majoritatea conținând software malițios, sunt aruncate în fața unor oameni la întâmplare în speranța că cineva va da clic pe ele.
Tailgating
Ultimul nostru tip de atac de inginerie socială al zilei este cunoscut sub numele de tailgating sau „piggybacking”. În aceste tipuri de atacuri, cineva fără autentificarea corespunzătoare urmează un angajat autentificat într-o zonă restricționată. Atacatorul ar putea să se dea drept un șofer de livrări și să aștepte în afara unei clădiri pentru a începe lucrurile. Când un angajat obține aprobarea securității și deschide ușa, atacatorul îi cere angajatului să țină ușa, obținând astfel accesul în clădire.
Tailgating nu funcționează în toate mediile corporative, cum ar fi companiile mari ale căror intrări necesită utilizarea unei cartele de acces. Cu toate acestea, în întreprinderile de dimensiuni medii, atacatorii pot iniția conversații cu angajații și se pot folosi de această demonstrație de familiaritate pentru a trece de recepție.
De fapt, Colin Greenless, consultant de securitate la Siemens Enterprise Communications, a folosit aceste tactici pentru a obține acces la mai multe etaje și la camera de date la o firmă financiară listată la FTSE. El a reușit chiar să se instaleze într-o sală de ședințe de la etajul al treilea și să lucreze acolo timp de mai multe zile.
Cum să vă apărați de inginerii sociale?
Iată câteva sfaturi pe care organizațiile le pot încorpora în programele lor de formare pentru conștientizarea securității, care îi vor ajuta pe utilizatori să evite schemele de inginerie socială:
- Nu deschideți niciun e-mail din surse nesigure. Contactați un prieten sau un membru al familiei în persoană sau prin telefon dacă primiți un e-mail suspect de la aceștia.
- Nu acordați ofertelor venite de la necunoscuți beneficiul îndoielii. Dacă par prea bune pentru a fi adevărate, probabil că sunt.
- Blocați-vă laptopul ori de câte ori sunteți departe de postul de lucru.
- Achiziționați un software anti-virus. Nicio soluție AV nu se poate apăra împotriva tuturor amenințărilor care încearcă să pună în pericol informațiile utilizatorilor, dar pot ajuta la protejarea împotriva unora.
- Citiți politica de confidențialitate a companiei dumneavoastră pentru a înțelege în ce circumstanțe puteți sau ar trebui să lăsați un străin să intre în clădire.
Gândiți-vă înainte de a acționa
De cele mai multe ori, astfel de întrebări includ lucruri mai puțin importante, cum ar fi numele animalelor de companie, numele de la școală, locul de naștere etc. De asemenea, fiți atenți la paginile web pe care le vizitați sau la fișierele pe care le descărcați. Acestea pot conține instrumente malițioase pentru a vă culege informațiile.
Îmbunătățiți-vă inteligența emoțională
Inginerii sociali pot încerca, de asemenea, să lovească în partea emoțională a creierului oamenilor. Ei ar putea încerca să vă facă să vă simțiți vinovat, să vă facă nostalgic sau chiar să încerce să aibă un impact negativ. Situația devine alarmantă; oamenii au tendința de a se deschide în fața celor care încearcă să le ofere confort emoțional.
Autentificare cu 2 factori
Persoanele ar trebui să folosească 2FA pentru a se proteja de aceste tipuri de atacuri, deoarece este un tip de caracteristică de securitate oferită de companii.Oamenii au mitul că 2FA nu poate fi ocolit, dar poate fi ocolit vă voi spune cum să faceți acest lucru în următorul meu tutorial.
Exemple de atacuri de inginerie socială
Imaginați-vă dacă ați putea transfera pur și simplu 10 dolari către un investitor și să vedeți cum aceștia se transformă în 10.000 de dolari fără niciun efort din partea dumneavoastră? Infractorii cibernetici se folosesc de emoțiile umane de bază, cum ar fi încrederea și lăcomia, pentru a convinge victimele că într-adevăr pot obține ceva pentru nimic. Un e-mail de momeală, redactat cu atenție, le spune victimelor să furnizeze informațiile privind contul bancar și fondurile vor fi transferate în aceeași zi.
Exemplul 2 -URGENȚĂ
Recepeți un e-mail de la serviciul de asistență pentru clienți de pe un site de cumpărături online de pe care cumpărați frecvent, în care vi se spune că trebuie să vă confirme informațiile privind cardul de credit pentru a vă proteja contul. Limbajul e-mailului vă îndeamnă să răspundeți rapid pentru a vă asigura că informațiile cardului dvs. de credit nu sunt furate de infractori. Fără să vă gândiți de două ori și pentru că aveți încredere în magazinul online, trimiteți nu numai informațiile cardului de credit, ci și adresa poștală și numărul de telefon. Câteva zile mai târziu, primiți un telefon de la compania de carduri de credit care vă anunță că cardul dvs. de credit a fost furat și folosit pentru cumpărături frauduloase în valoare de mii de dolari.
Exemplu 3- NOTIFICARE FALSĂ
Mulți oameni folosesc Sim-uri ale unor operatori precum Airtel,Jio,Vodafone,AT&T,Industry body etc.Un Mesaj vine pe Telefonul nostru atunci când folosim 50%sau 100% din Internet de la operator și mai jos există un link al aplicației operatorului și un mesaj și putem urmări utilizarea datelor și oferta de addons pentru a face reîncărcare.Deci, vă veți gândi la ce va folosi acest hacker?
Un hacker va folosi acest mesaj pentru a vă sparge telefonul mobil.Hackerul va falsifica mesajul și va injecta sarcina utilă cu aplicația și când veți descărca aplicația Boom sistemul dvs. va fi piratat.
Acestea sunt câteva exemple de atacuri de inginerie socială.
Sper că vă va plăcea acest tutorial.Rămâneți în siguranță în fața acestor tipuri de atacuri.