Една скорошна новина ме накара да осъзная как човешките емоции и мисли могат да бъдат (или са) използвани в полза на другите. Почти всеки от вас познава Едуард Сноудън^{(Edward Snowden)} , разобличителя на NSA , който шушне по света. Ройтерс съобщи, че е накарал около 20-25 души от NSA да му предадат паролите си за възстановяване на някои данни, които е изтекъл по-късно [1]. Представете си^(Imagine) колко крехка може да бъде вашата корпоративна мрежа, дори и с най-силния и най-добрия софтуер за сигурност!

Какво е социално инженерство

Човешката^(Human) слабост, любопитство, емоции и други характеристики често се използват за незаконно извличане на данни – било то всяка индустрия. IT индустрията^{(IT Industry)} обаче й е дала името на социалното инженерство . Аз определям социалното инженерство като:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Ето още един ред от същата новина [1], която искам да цитирам – „ Сигурните агенции се затрудняват с идеята, че човекът в съседната кабина може да не е надежден^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} “. Промених малко изявлението, за да го впише в контекста тук. Можете да прочетете цялата новина, като използвате връзката в секцията Референции^(References) .

С други думи, вие нямате пълен контрол върху сигурността на вашите организации, тъй като социалното инженерство се развива много по-бързо от техниките за справяне с него. Социалното^(Social) инженерство може да бъде нещо като да се обадите на някого да кажете, че сте техническа поддръжка и да го попитате за техните идентификационни данни за вход. Сигурно сте получавали фишинг имейли за лотарии, богати хора в Близкия изток^{(Mid East)} и Африка^(Africa) , които искат бизнес партньори, и предложения за работа, за да ви попитат вашите данни.

За разлика от фишинг атаките, социалното инженерство представлява много пряко взаимодействие между човек. Първият (фишинг) използва стръв – тоест хората, които „риболовят“ ви предлагат нещо с надеждата, че ще си паднете. Социалното^(Social) инженерство е по-скоро за спечелване на доверието на вътрешните служители, така че те да разкриват подробностите за компанията, от които се нуждаете.

Прочетете: ^(Read:) Популярни методи на социалното инженерство .

Известни техники за социално инженерство

Има много и всички те използват основни човешки тенденции за влизане в базата данни на всяка организация. Най-използваната (вероятно остаряла) техника на социално инженерство е да се обадите и да се срещнете с хора и да ги накарате да повярват, че са от техническа поддръжка, които трябва да проверят компютъра ви. Те могат също така да създават фалшиви лични карти, за да установят доверие. В някои случаи виновниците се представят за държавни служители.

Друга известна техника е да наемете вашия човек като служител в целевата организация. Сега, тъй като този измамник е ваш колега, може да му се доверите с подробности за компанията. Външният служител може да ви помогне с нещо, така че да се почувствате задължени и тогава той може да разбере максимално.

Прочетох и някои доклади за хора, използващи електронни подаръци. Изискан USB флаш, доставен ви на адреса на вашата фирма, или химикалка, лежаща в колата ви, може да докаже бедствия. В случай някой е оставил някои USB устройства нарочно на паркинга като примамки [2].

Ако вашата фирмена мрежа има добри мерки за сигурност на всеки възел, вие сте благословени. В противен случай тези възли осигуряват лесно преминаване на зловреден софтуер – в този подарък или „забравени“ химикалки – към централните системи.

Като такива не можем да предоставим изчерпателен списък от методи за социално инженерство. Това е наука в основата, съчетана с изкуство на върха. И знаете, че нито един от тях няма граници. Момчетата от социалното^(Social) инженерство продължават да стават креативни, докато разработват софтуер, който също може да използва неправилно безжични устройства, получавайки достъп до Wi-Fi на компанията .

Прочетете: ^(Read:) Какво е социално проектиран злонамерен софтуер .

Предотвратете социалното инженерство

Лично аз не мисля, че има някаква теорема, която администраторите могат да използват, за да предотвратят хакове на социалното инженерство. Техниките на социалното инженерство продължават да се променят и следователно става трудно за ИТ администраторите да следят какво се случва.

Разбира се, има нужда да следите новините от социалното инженерство, за да бъдете достатъчно информирани, за да вземете подходящи мерки за сигурност. Например, в случай на USB устройства, администраторите могат да блокират USB устройства на отделни възли, позволявайки им само на сървъра, който има по-добра система за сигурност. По същия начин^(Likewise) , Wi-Fi ще се нуждае от по-добро криптиране, отколкото повечето местни доставчици^(ISPs) на интернет услуги .

Обучението на служителите и провеждането на произволни тестове върху различни групи служители могат да помогнат за идентифицирането на слабите места в организацията. Би било лесно да се обучават и предупреждават по-слабите хора. Бдителността^(Alertness) е най-добрата защита. Трябва да се подчертае, че информацията за влизане не трябва да се споделя дори с ръководителите на екипи – независимо от натиска. Ако ръководителят на екип трябва да получи достъп до данните за вход на член, той/тя може да използва главна парола. Това е само едно предложение да останете в безопасност и да избягвате хакове за социално инженерство.

Изводът е, че освен злонамерения софтуер и онлайн хакерите, ИТ хората трябва да се погрижат и за социалното инженерство. Докато идентифицират методи за пробив на данни (като записване на пароли и т.н.), администраторите трябва също така да гарантират, че персоналът им е достатъчно интелигентен, за да идентифицира техника на социално инженерство, за да я избегне напълно. Кои според вас са най-добрите методи за предотвратяване на социалното инженерство? Ако сте попаднали на интересен случай, моля споделете с нас.

Изтеглете тази електронна книга за атаките на социалното инженерство , издадена от Microsoft, и научете как можете да откривате и предотвратявате подобни атаки във вашата организация.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Препратки^(References)

[1] Reuters , Сноудън^(Snowden) убедиха служителите на NSA да получат ^{(NSA Employees Into)}информацията^(Info) си за вход

[2] Boing Net , Pen Drives, използвани за разпространение на зловреден софтуер^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent news made me realize how human emotions and thoυghts сan be (or, are) usеd fоr others’ benefit. Almost every one of you knows Edward Snowden, the whistleblower of NSA snooping the world over. Reuters rеported that he got around 20-25 NSA people to hand over their passwords to him for recovering some data he leakеd later [1]. Imagіne how frаgile your corporate network can be, evеn with the strongest and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Пристрастяване към интернет и социалните мрежи

• Уебсайтове с фалшиви новини: нарастващ проблем и какво означава това в днешния свят

• Как да настроите, записвате, редактирате, публикувате Instagram Reels

• Как да активирате двуфакторна автентификация за акаунт в Reddit

• Свържете се с The Windows Club

• Как търсите съобщения в Instagram?

• 5 най-добри алтернативи на Facebook, които искате да проверите

• Как да изтеглите данни от Instagram с помощта на инструмента за експортиране на данни в Instagram

• Децентрализирани социални мрежи, базирани на блокчейн, където притежавате вашите данни

• Как да направите Instagram въртележка във Photoshop: Удобен за начинаещи урок

• Как да използвате Facebook, за да станете влиятел на социалните медии

• Как да запазите вашите Instagram барабани в чернова и редактирате по-късно

• Как да изтриете онлайн акаунти, присъствие и самоличност

• 10 съвета и трика за Reddit, които да ви помогнат да станете майстор на Reddit

• Какво да направите, когато акаунтът във Facebook е хакнат?

• Най-добрите безплатни шаблони на Canva за презентация

• 10 съвета и трика за Instagram, които трябва да знаете

• Как да създадете група в Telegram и да използвате функцията за гласов чат

• Как да изтеглите Instagram истории на компютър или мобилен телефон

• Как да изтриете за постоянно или временно да деактивирате акаунта в Instagram