Denna blogg kommer att berätta hur hackare hackar bankkonton, konton i sociala medier och system. Denna handledning är endast avsedd för utbildningsändamål.
Hackerare använder en teknik som kallas social ingenjörskonst, så först av allt bör vi veta vad som kallas social ingenjörskonst?
Social ingenjörskonst är psykologisk manipulation av människor för att få dem att utföra handlingar eller lämna ut konfidentiell information.Med enkla ord innebär det att lura människor så att angriparen kan få tillgång till konfidentiell information om personen. Denna sociala manipulation är inte bara avsedd för ekonomiska fördelar. Social ingenjörskonst kan också användas i andra syften, t.ex. för att samla in information från människor. Det handlar om att leka med deras tankar för att få saker gjorda.Social ingenjörsattacker sker inte bara på en enskild person, utan kan också göras på en organisation.Det finns ingen certifiering för detta.Social ingenjörer finns överallt. Till och med dina vänner som sitter bredvid dig och koncentrerar sig på ditt tangentbord medan du skriver dina lösenord är en social ingenjör.
Typer av social ingenjörsattacker:
Det finns många social ingenjörsmetoder beroende på vilket medium som används för att genomföra dem. Mediet kan vara e-post, webb, telefon, USB-minnen eller något annat. Låt oss berätta om olika typer av sociala ingenjörsattacker:
Phishing är den vanligaste typen av sociala ingenjörsattack. Angriparen återskapar ett känt företags webbplats eller supportportal och skickar länken till måltavlor via e-post eller sociala medieplattformar. Den andra personen, som är helt okänd för den riktiga angriparen, får till slut tillgång till personlig information och till och med kreditkortsuppgifter.
Du kan förhindra phishingmejl genom att använda skräppostfilter i dina e-postkonton. De flesta e-postleverantörer gör detta som standard numera. Öppna inte heller e-postmeddelanden som kommer från en opålitlig källa eller som du finner misstänkt.
Spear Phishing
En teknik för social ingenjörskonst som kallas Spear Phishing kan antas vara en delmängd av Phishing. Även om det är ett liknande angrepp kräver det en extra ansträngning från angriparnas sida. De måste vara uppmärksamma på graden av unikhet för det begränsade antal användare som de riktar sig till. Och det hårda arbetet lönar sig, eftersom chansen att användarna faller för de falska e-postmeddelandena är betydligt större vid spear phishing.
Vishing
Impostörer eller sociala ingenjörer kan befinna sig var som helst på internet. Men många föredrar det gammaldags sättet; de använder telefonen. Denna typ av social ingenjörsattack kallas Vishing. De återskapar ett företags IVR-system (Interactive Voice Response). De kopplar det till ett avgiftsfritt nummer och lurar folk att ringa numret och ange sina uppgifter. Håller du med om detta? De flesta människor tänker inte två gånger innan de skriver in konfidentiell information på ett påstått pålitligt IVR-system, eller hur?
Pretexting
Pretexting är ett annat exempel på social ingenjörskonst som du kanske har stött på. Det bygger på ett scenario som presenteras inför måltavlan och som används för att få ut PII eller annan information. En angripare kan utge sig för att vara en annan person eller en känd person.
Du kanske har sett olika TV-program och filmer där detektiver använder den här tekniken för att ta sig in på platser där de personligen inte har behörighet, eller för att utvinna information genom att lura människor. Ett annat exempel på pretexting kan vara falska e-postmeddelanden som du får från dina avlägsna vänner som behöver pengar. Förmodligen har någon hackat deras konto eller skapat ett falskt konto.
Baiting
Om du har sett filmen Troja kan du kanske minnas scenen med den trojanska hästen. En digital variant av den här tekniken kallas Baiting och är en av de tekniker för social ingenjörskonst som används av människor. Angriparna infekterade usb-enheter eller optiska skivor på offentliga platser i hopp om att någon skulle plocka upp den av nyfikenhet och använda den på sina enheter. Ett mer modernt exempel på baiting finns på webben. Olika nedladdningslänkar, som oftast innehåller skadlig programvara, kastas framför slumpmässiga människor i hopp om att någon ska klicka på dem.
Tailgating
Vår sista typ av social ingenjörsattack för dagen är känd som tailgating eller ”piggybacking”. Vid dessa typer av attacker följer någon utan rätt autentisering en autentiserad anställd in i ett begränsat område. Angriparen kan utge sig för att vara en budbilschaufför och vänta utanför en byggnad för att få igång saker och ting. När en anställd får säkerhetspersonalens godkännande och öppnar dörren ber angriparen den anställde att hålla dörren och får på så sätt tillträde till byggnaden.
Tailgating fungerar inte i alla företagsmiljöer, t.ex. stora företag vars entréer kräver användning av ett nyckelkort. I medelstora företag kan angriparna dock inleda samtal med de anställda och använda sig av detta för att ta sig förbi receptionen.
I själva verket använde Colin Greenless, säkerhetskonsult på Siemens Enterprise Communications, denna taktik för att få tillgång till flera våningar och datarummet på ett FTSE-noterat finansföretag. Han kunde till och med etablera sig i ett mötesrum på tredje våningen och arbeta där i flera dagar.
Hur försvarar man sig mot sociala ingenjörer?
Här är några tips som organisationer kan införliva i sina utbildningsprogram för säkerhetsmedvetenhet som hjälper användarna att undvika sociala ingenjörsmetoder:
- Öppna inte e-postmeddelanden från källor som inte är betrodda. Kontakta en vän eller familjemedlem personligen eller per telefon om du får ett misstänkt e-postmeddelande från dem.
- Ge inte erbjudanden från främlingar förmånen av tvivel. Om de verkar för bra för att vara sanna är de förmodligen det.
- Lås din bärbara dator när du är borta från din arbetsstation.
- Köp antivirusprogram. Ingen AV-lösning kan försvara sig mot alla hot som försöker äventyra användarnas information, men de kan hjälpa till att skydda mot vissa.
- Läs ditt företags integritetspolicy för att förstå under vilka omständigheter du kan eller bör släppa in en främling i byggnaden.
Tänk efter innan du agerar
Mestadels omfattar sådana frågor mindre viktiga saker som husdjursnamn, skolnamn, födelseort osv. Var också uppmärksam på vilka webbsidor du besöker eller vilka filer du laddar ner. De kan innehålla skadliga verktyg för att samla in din information.
Förbättra din känslomässiga intelligens
Sociala ingenjörer kan också försöka slå på den känslomässiga delen av människors hjärnor. De kan försöka få dig att känna dig skyldig, göra dig nostalgisk eller till och med försöka påverka dig negativt. Situationen blir alarmerande; människor tenderar att öppna sig inför dem som försöker ge dem känslomässig tröst.
2 Factor Authentication
Människor bör använda 2FA för att skydda sig mot dessa typer av attacker eftersom det är en typ av säkerhetsfunktion som tillhandahålls av företagen.Folk har myten att 2FA inte kan kringgås men det kan kringgås jag kommer att berätta hur man gör i min kommande tutorial.
Exempel på Social Engineering Attacks
Föreställ dig om du helt enkelt kunde överföra $10 till en investerare och se detta växa till $10,000 utan någon ansträngning för din räkning? Cyberbrottslingar använder de grundläggande mänskliga känslorna tillit och girighet för att övertyga offren om att de verkligen kan få något gratis. I ett noggrant formulerat lockmejl uppmanas offren att lämna sina bankkontouppgifter och pengarna kommer att överföras samma dag.
Exempel 2 -URGENCY
Du får ett mejl från kundtjänst på en webbplats där du ofta handlar på nätet och får veta att de måste bekräfta dina kreditkortsuppgifter för att skydda ditt konto. I e-postmeddelandet uppmanas du att svara snabbt för att se till att din kreditkortsinformation inte stjäls av brottslingar. Utan att tänka dig för och eftersom du litar på nätbutiken skickar du inte bara din kreditkortsinformation utan även din postadress och ditt telefonnummer. Några dagar senare får du ett samtal från ditt kreditkortsföretag som berättar att ditt kreditkort har stulits och använts för bedrägliga köp för tusentals dollar.
Exempel 3- Falska meddelanden
Många människor använder Sim från operatörer som Airtel,Jio,Vodafone,AT&T,Industry body osv.Ett meddelande kommer till vår telefon när vi använder 50 % eller 100 % av internet från operatören och nedan finns en länk till operatörens app och ett meddelande och vi kan spåra dataanvändning och tilläggserbjudanden för att göra uppladdning.Så du kommer att tänka på vad som kommer att användas av denna hackare?
En hackare kommer att använda detta meddelande för att hacka din mobiltelefon.Hackaren kommer att förvränga meddelandet och injicera nyttolasten med appen och när du laddar ner appen Boom kommer ditt system att bli hackat.
Det här är några exempel på social ingenjörskonstattacker.
Jag hoppas att du kommer att gilla den här handledningen.Håll dig säker från dessa typer av attacker.