Inhoudsopgave:
- Gebruik het internet
- Dumpster-duikers
- Aanvallers kunnen informatie verkrijgen via de functie voor nummerherhaling die is ingebouwd in de meeste voicemailsystemen. Om toegang tot deze functie te krijgen, drukt u meestal gewoon op 0 nadat u het hoofdnummer van het bedrijf hebt gebeld of nadat u iemands voicemailbox hebt ingevoerd. Deze truc werkt het beste na de volgende uren om te zorgen dat niemand antwoordt.
- De nieuwste criminele hacking-rage is
Video: TIM VAN ORSOUW - ZO LOS JE CHRONISCHE PIJN OP : DE TRIGGEPOINT RESET METHODE | INJURED DUMBASS 2024
Zodra sociale ingenieurs een doel voor ogen hebben, beginnen ze de aanval meestal door openbare informatie over hun slachtoffer (s) te verzamelen. Veel sociale technici verwerven informatie langzaam in de tijd, zodat ze geen argwaan wekken. Duidelijke informatieverzameling is een tip bij het verdedigen tegen social engineering.
Ongeacht de oorspronkelijke onderzoeksmethode, moet een hacker mogelijk een organisatie binnendringen, een werknemerslijst, een paar belangrijke interne telefoonnummers, het laatste nieuws van een sociale-mediasite of een bedrijfskalender.
Gebruik het internet
Een paar minuten zoeken op Google of andere zoekmachines, met behulp van eenvoudige trefwoorden, zoals de bedrijfsnaam of specifieke werknemersnamen, levert vaak veel informatie op. U kunt nog meer informatie vinden in SEC-documenten op en op sites als Hoover's en Yahoo Finance. Door deze zoekmachine-informatie te gebruiken en de website van het bedrijf te doorzoeken, beschikt de aanvaller vaak over voldoende informatie om een social engineering-aanval te starten.
De slechteriken kunnen slechts een paar dollar betalen voor een uitgebreide online achtergrondcontrole van individuen. Deze zoekopdrachten kunnen praktisch elke openbare - en soms privé - informatie over een persoon binnen enkele minuten weergeven.
Dumpster-duikers
Dumpster-duiken is iets riskanter - en het is zeker rommelig. Maar het is een zeer effectieve methode om informatie te verkrijgen. Deze methode omvat letterlijk rommelen door vuilnisbakken voor informatie over een bedrijf.
Dumpster-duiken kan de meest vertrouwelijke informatie opleveren, omdat veel werknemers aannemen dat hun informatie veilig is nadat deze in de prullenbak terecht is gekomen. De meeste mensen denken niet na over de potentiële waarde van het papier dat ze weggooien. Deze documenten bevatten vaak een schat aan informatie die de social engineer kan voorzien van informatie die nodig is om de organisatie binnen te dringen. De slimme sociale technicus zoekt naar de volgende gedrukte documenten:
-
Interne telefoonlijsten
-
Organigrams
-
Werknemershandboeken, die vaak beveiligingsbeleid bevatten
-
Netwerkdiagrammen
-
Wachtwoordlijsten
-
Bijeenkomende opmerkingen > Spreadsheets en rapporten
-
Afdrukken van e-mails die vertrouwelijke informatie bevatten
-
Verscheuringsdocumenten zijn alleen effectief als het papier
is gescheurd in kleine stukjes confetti. Goedkope shredders die documenten alleen in lange stroken vernietigen, zijn in principe waardeloos tegenover een vastberaden sociaal ingenieur. Met een beetje tijd en tape kan een sociaal ingenieur een document weer samenvoegen als dat is wat hij vastbesloten is te doen. De slechteriken kijken ook in de vuilnisbak naar cd-roms en dvd's, oude computerbehuizingen (vooral die met harde schijven die nog intact zijn) en back-uptapes.
Telefoonsystemen
Aanvallers kunnen informatie verkrijgen via de functie voor nummerherhaling die is ingebouwd in de meeste voicemailsystemen. Om toegang tot deze functie te krijgen, drukt u meestal gewoon op 0 nadat u het hoofdnummer van het bedrijf hebt gebeld of nadat u iemands voicemailbox hebt ingevoerd. Deze truc werkt het beste na de volgende uren om te zorgen dat niemand antwoordt.
Aanvallers kunnen hun identiteit beschermen als ze zich kunnen verbergen waar ze vandaan komen. Hier zijn enkele manieren waarop ze hun locaties kunnen verbergen:
Mobiele telefoons
-
kunnen soms hun nummers verbergen voor nummerherkenning door * 67 vóór het telefoonnummer te kiezen. Deze functie is niet effectief bij het bellen van gratis nummers (800, 888, 877, 866) of 911.
Zakelijke telefoons
-
in een kantoor met een telefoonswitch zijn moeilijker te vervalsen. De aanvaller heeft echter gewoonlijk de gebruikershandleiding en het beheerderswachtwoord nodig voor de software voor het overschakelen van de telefoon. In veel switches kan de aanvaller het bronnummer invoeren, inclusief een vervalst nummer, zoals het telefoonnummer van het slachtoffer thuis. Voice over Internet Protocol (VoIP) -telefoonsystemen maken dit echter een non-issue. VoIP-servers
-
, zoals de open-source Asterisk, kunnen worden gebruikt en geconfigureerd om elk gewenst nummer te verzenden. Phish-e-mails
De nieuwste criminele hacking-rage is
phishing - criminelen die valse e-mails sturen naar potentiële slachtoffers in een poging om hen ertoe te brengen gevoelige informatie te onthullen of op schadelijke links te klikken. Phishing bestaat al jaren, maar het heeft recent een grotere zichtbaarheid gekregen, gezien een aantal spraakmakende exploits tegen ogenschijnlijk ondoordringbare organisaties. De effectiviteit van phishing is verbazingwekkend en de gevolgen zijn vaak lelijk. Een paar goed geplaatste e-mails zijn voldoende voor criminelen om wachtwoorden te verzamelen, gevoelige informatie te stelen of malware in gerichte computers te injecteren.
U kunt uw eigen phishing-oefening uitvoeren. Een rudimentaire methode is om een nep-e-mailaccount in te stellen waarin om informatie wordt gevraagd of die linken naar een kwaadwillende site, e-mails naar werknemers of andere gebruikers die u wilt testen, verzenden en zien wat er gebeurt. Het is echt zo simpel als dat.
Je zou er versteld van staan hoe kwetsbaar je gebruikers echt zijn voor deze truc. De meeste phishing-tests hebben een slagingspercentage van 10-15 procent. Het kan oplopen tot 80 procent. Die tarieven zijn niet goed voor beveiliging of voor zaken!
Een meer formeel middel om uw phishingtests uit te voeren, is om een hulpmiddel te gebruiken dat specifiek voor de taak is gemaakt. Zelfs als u een goede ervaring hebt met commerciële verkopers, moet u lang en hard nadenken over het opgeven van potentieel gevoelige informatie die direct of per ongeluk extern kan worden verzonden, en nooit meer opnieuw gecontroleerd kan worden.
Als u dit pad volgt, zorgt u ervoor dat u volledig begrijpt wat er wordt bekendgemaakt aan deze externe phishing-leveranciers, net zoals u zou doen met een andere cloudserviceprovider. Vertrouw maar verifieer.
Een open source alternatief voor commerciële phishingtools is de Simple Phishing Toolkit, ook bekend als spt.Het opzetten van een spt-projectomgeving is niet noodzakelijk eenvoudig, maar nadat je het hebt geïnstalleerd, kan het geweldige dingen doen voor je phishing-initiatieven.
U hebt vooraf geïnstalleerde e-mailsjablonen, de mogelijkheid om
scorpaal (kopiepagina van) live websites zodat u uw eigen campagne en verschillende rapportagemogelijkheden kunt aanpassen, zodat u kunt volgen welke e -mail gebruikers nemen het aas en slagen er niet in je testen. Sociale technici kunnen soms interessante informatie vinden, bijvoorbeeld wanneer hun slachtoffers de stad uit zijn, gewoon door naar voicemailberichten te luisteren. Ze kunnen de stemmen van slachtoffers zelfs bestuderen door naar hun voicemailberichten, podcasts of webcasts te luisteren, zodat ze kunnen leren zich voor die mensen te laten nabootsen.