Vorige week hebben we enkele van de belangrijkste bedreigingen voor social engineering bekeken Wat is sociale technologie? [MakeUseOf Explains] Wat is social engineering? [MakeUseOf Explains] U kunt de sterkste en duurste firewall van de industrie installeren. U kunt werknemers informeren over basisbeveiligingsprocedures en het belang van het kiezen van sterke wachtwoorden. U kunt de serverruimte zelfs vergrendelen - maar hoe ... Lees Meer waar u, uw bedrijf of uw werknemers op moeten letten. In een notendop is social engineering vergelijkbaar met een zelfverzekerde truc waarbij een aanvaller toegang verkrijgt, informatie of geld verkrijgt door het vertrouwen van het slachtoffer te winnen.
Deze technieken kunnen variëren van phishing-scams via e-mail tot uitgebreide telefoontrucs en invasieve pretexting-aanvallen. Hoewel er geen definitieve manier is om sociale technici te stoppen, zijn er een paar dingen om te onthouden om te voorkomen dat dit soort aanvallen te serieus worden. Zoals altijd is je beste verdediging kennis en constante waakzaamheid.
Bescherming tegen fysieke aanvallen
Veel bedrijven onderwijzen hun netwerkbeveiligingsteam over de gevaren van fysieke aanvallen. Een methode die bekend staat als "tailgating" wordt bij veel fysieke aanvallen gebruikt om toegang te krijgen tot gebieden die zonder toestemming zijn beperkt. Deze aanval gaat uit van elementaire menselijke hoffelijkheid - een deur openhouden voor iemand - maar zodra de aanvaller fysiek toegang krijgt, wordt de inbreuk op de beveiliging zeer ernstig.
Hoewel dit niet echt van toepassing is in een thuisscenario (u kunt uw voordeur waarschijnlijk niet openhouden voor een vreemde, hé?), Zijn er een paar dingen die u kunt doen om de kans te verkleinen dat u het slachtoffer wordt van een social engineering. aanval die afhankelijk is van fysiek materiaal of een locatie.
Pretexting is een techniek die wordt gebruikt door aanvallers die voor het eerst informatie over hun slachtoffer vinden (bijvoorbeeld van een rekening of creditcardafschrift) die ze vervolgens tegen hun slachtoffer kunnen gebruiken door hen ervan te overtuigen dat ze een gevoel van autoriteit hebben. De meest elementaire bescherming tegen dit soort aanvallen (soms ook "dumpster-duiken" genoemd) is het vernietigen van alle materialen die belangrijke, persoonlijke informatie bevatten.
Dit geldt ook voor digitale gegevens, dus oude harde schijven moeten voldoende worden vernietigd (fysiek) en optische media kunnen ook worden versnipperd. Sommige bedrijven nemen dit zelfs in zo'n mate dat ze hun afval op slot doen en de beveiliging controleren. Overweeg het ongedraaide papierwerk dat u weggooit - kalenders, bonnen, facturen en zelfs persoonlijke memo's - en overweeg dan of deze informatie tegen u gebruikt kan worden.
De gedachte aan een inbraak is niet bijzonder leuk, maar als je laptop is gestolen Volg je spullen en krijg je je gestolen laptop terug met Prey Track Down en krijg je je gestolen laptop met prooi terug Lees meer morgen zou het voldoende worden afgesloten? Laptops, smartphones en andere apparaten die toegang hebben tot uw persoonlijke gegevens, e-mail en sociale netwerkaccounts, moeten altijd worden beschermd met beveiligde wachtwoorden. Een sterk wachtwoord maken dat u niet vergeet Een sterk wachtwoord maken dat u niet vergeet Weet u hoe een goed wachtwoord maken en onthouden? Hier zijn enkele tips en trucs om sterke, afzonderlijke wachtwoorden voor al uw online accounts te behouden. Meer lezen en codes. Als je echt paranoïde bent over diefstal, kun je zelfs de gegevens op je harde schijf versleutelen met behulp van TrueCrypt. Hoe maak je versleutelde mappen Anderen kunnen niet bekijken met Truecrypt 7 Hoe maak je versleutelde mappen Anderen kunnen niet bekijken met Truecrypt 7 Meer lezen of BitLocker.
Onthoud - alle informatie die een dief kan extraheren, kan tegen je worden gebruikt bij toekomstige aanvallen, maanden of jaren na het incident.
Uitrusten - een kwaadaardig apparaat achterlaten, zoals een aangetaste USB-stick, waar het gemakkelijk te vinden is - wordt eenvoudig vermeden door je nieuwsgierigheid niet de overhand te laten krijgen. Als je een USB-stick op je veranda vindt, behandel deze dan met het grootste wantrouwen. USB-sticks kunnen worden gebruikt om keyloggers, Trojaanse paarden en andere ongewenste software te installeren om informatie te extraheren en een zeer reële bedreiging te bieden.
Psychische aanvallen voorkomen
Bijna alle social engineering-aanvallen zijn volgens hun definitie psychologisch, maar in tegenstelling tot pretexting waarvoor voorafgaande kennis vereist is, zijn sommige aanvallen puur psychologisch. Bescherming tegen dit soort aanvallen is momenteel een grote prioriteit voor veel bedrijven, en dit houdt in onderwijs, waakzaamheid en vaak denken als een aanvaller.
Bedrijven beginnen nu personeel op te leiden op elk niveau, aangezien de meeste aanvallen beginnen met de beveiligingsmedewerker bij de gate of de receptioniste bij de receptie. Dit houdt in het algemeen in dat werknemers moeten worden opgezocht voor verdachte verzoeken, opdringerige personen of iets dat gewoon niet klopt. Deze waakzaamheid is gemakkelijk overdraagbaar in uw dagelijks leven, maar hangt af van uw vermogen om verzoeken om vertrouwelijke informatie te identificeren.
Terwijl online aanvallen via e-mail en instant messaging steeds frequenter zijn, vormen social engineering-aanvallen via de telefoon (en VoIP, waardoor het moeilijker wordt om de bron te achterhalen) nog steeds een reële bedreiging. De eenvoudigste manier om een aanval te vermijden, is om de oproep te beëindigen op het moment dat u iets vermoedt.
Het is mogelijk dat uw bank u belt, maar zelden dat zij u om uw wachtwoord of andere informatie zouden vragen. Als een dergelijke oproep plaatsvindt, vraagt u het telefoonnummer van de bank aan, controleert u het en belt u ze terug. Het kan een extra vijf minuten duren, maar uw geld en persoonlijke gegevens zijn veilig en de bank zal het begrijpen. Evenzo is het zeer onwaarschijnlijk dat een beveiligingsbedrijf belt om u te waarschuwen voor problemen met uw computer. Behandel alle oproepen als oplichterij, wees verdacht en maak geen inbreuk op je pc Koud bellen Computertechnici: val niet voor een oplichterij als deze [Zwendelalarm!] Koud bellen Computertechnici: val niet voor een oplichting zoals deze [ Scam Alert!] Je hebt vast wel eens gehoord van de term 'niet oplichter maken' maar ik ben altijd al dol geweest op 'doe geen scammer op met een tech-schrijver'. Ik zeg niet dat we onfeilbaar zijn, maar als je zwendel gepaard gaat met internet, een Windows ... Lees meer of koop wat ze verkopen!
Onderwijs is de beste verdediging, dus als u op de hoogte blijft van beveiligingstechnieken en nieuws, ziet u een potentiële aanval. Hulpbronnen zoals Social-Engineer.org proberen mensen kennis te laten maken met de technieken die door sociale ingenieurs worden gebruikt en er is veel informatie beschikbaar.
Een paar dingen om te onthouden
Vertrouwen is de belangrijkste tactiek van een sociaal ingenieur en zal worden gebruikt om toegang te krijgen tot fysieke locaties, vertrouwelijke informatie en, op een grotere schaal, gevoelige bedrijfsgegevens. Een systeem is slechts zo sterk als zijn zwakste verdediging, en in het geval van social engineering betekent dit individuen die zich niet bewust zijn van de bedreigingen en gebruikte technieken.
Conclusie
Om Kevin Mitnick te citeren die erin slaagde om rond te lopen op de grootste veiligheidsconferentie ter wereld, unbadged en unchecked (RSA 2001): "Je zou een fortuin kunnen uitgeven aan de aankoop van technologie en diensten van elke exposant, spreker en sponsor op de RSA-conferentie, en je netwerk infrastructuur kan nog steeds kwetsbaar blijven voor ouderwetse manipulatie ". Dit geldt voor de sloten op uw deuren en het alarm in uw huis, dus let op social engineering-tactieken op het werk en thuis.
Heb je dergelijke aanvallen meegemaakt? Werkt u voor een bedrijf dat onlangs is begonnen met het opleiden van werknemers over de gevaren? Laat ons weten wat je denkt, in de reacties hieronder.
Afbeeldingscredits: Wolf in Sheep's Clothing (Shutterstock) Papiervernietiger (Chris Scheufele), Harde schijf (jon_a_ross), Telefoon op bureau (Radio.Guy), Mozilla-ontvangst (Niall Kennedy),