Video: This is how hackers hack you using simple social engineering 2024
Social engineering profiteert van de zwakste schakel in de informatiebeveiliging van een organisatie: mensen. Social engineering is 'mensenhacken' en houdt in dat we de vertrouwende aard van mensen kwaadwillig misbruiken om informatie te verkrijgen die kan worden gebruikt voor persoonlijk gewin.
Social engineering is een van de moeilijkste hacks om te plegen, omdat het bravoure en de vaardigheid vereist om een vreemdeling als betrouwbaar te passeren. Het is ook verreweg het moeilijkste om tegen te beschermen, omdat mensen die hun eigen beveiligingsbeslissingen nemen betrokken zijn.
In een social engineering-scenario poseren mensen met slechte bedoelingen als iemand anders om informatie te verkrijgen die anders waarschijnlijk niet toegankelijk was. Ze nemen vervolgens de informatie die ze krijgen van hun slachtoffers en verwoesten de netwerkbronnen, stelen of verwijderen bestanden en plegen zelfs bedrijfsspionage of een andere vorm van fraude tegen de organisatie die ze aanvallen. Social engineering verschilt van fysieke beveiligings exploits, zoals schouder surfen en dumpster duiken, maar de twee soorten hacking zijn gerelateerd en worden vaak samen gebruikt.
Hier zijn enkele voorbeelden van social engineering:
-
" ondersteunend personeel " beweren dat ze een patch of een nieuwe softwareversie op de computer van een gebruiker moeten installeren, praat met de gebruiker om de software te downloaden en op afstand controle over het systeem te krijgen.
-
" Leveranciers " die beweren dat ze het boekhoudpakket of telefoonsysteem van de organisatie moeten bijwerken, het beheerderswachtwoord moeten opvragen en volledige toegang moeten verkrijgen.
-
" Medewerkers " melden bij de beveiligingsdesktop dat zij hun toegangsbadge hebben verloren aan het datacenter, ontvangen een beveiligingssleutel en verkrijgen ongeautoriseerde toegang tot fysieke en elektronische toegang informatie.
-
Phishing-e-mails verzonden door iedereen om gebruikers-ID's en wachtwoorden van nietsvermoedende ontvangers te verzamelen. Deze aanvallen kunnen generiek van aard zijn of gerichter zijn - iets dat speer-phishing -aanvallen worden genoemd. De criminelen gebruiken vervolgens die wachtwoorden om malware te installeren, toegang te krijgen tot het netwerk, intellectuele eigendom vast te leggen en meer.
Soms fungeren sociale ingenieurs als zelfverzekerde en goed geïnformeerde managers of leidinggevenden. Op andere momenten kunnen ze de rol spelen van extreem ongeïnformeerde of naïeve werknemers. Ze kunnen zich ook voordoen als buitenstaanders, zoals IT-consultants of onderhoudsmedewerkers. Sociale ingenieurs zijn goed in het aanpassen aan hun publiek. Er is een speciaal soort persoonlijkheid voor nodig om dit uit te trekken, vaak lijkend op dat van een sociopaat.
Effectieve informatiebeveiliging - met name de beveiliging die nodig is voor het bestrijden van social engineering - begint en eindigt vaak met uw gebruikers. Vergeet nooit dat basale menselijke communicatie en interactie op elk moment een diepgaand effect hebben op het beveiligingsniveau in uw organisatie.
Het snoepbeveiligings -belang is "Harde, knapperige buitenkant; zacht, taai van binnen. "De harde, knapperige buitenkant is de laag van mechanismen - zoals firewalls, inbraakpreventiesystemen en contentfiltering - waarop organisaties gewoonlijk vertrouwen om hun informatie te beveiligen. De zachte, taaie binnenkant zijn de mensen en de processen binnen de organisatie. Als de slechteriken voorbij de dikke buitenlaag kunnen komen, kunnen ze de (meestal) weerloze binnenlaag aantasten.