Що таке соціальна інженерія і чому ви повинні хвилюватися?

| | 0 Comments| 10:38 PM
Categories:

«Ті, хто може відмовитися від основної свободи, щоб отримати трохи тимчасової безпеки, не заслуговують ні на свободу, ні на безпеку». – Бенджамін Франклін

Соціальна інженерія деякий час була на передньому плані питань безпеки. Це широко обговорювалося експертами галузі. Проте не багато хто повністю усвідомлює потенційну небезпеку, яку він становить і наскільки небезпечним він може бути.

Для хакерів соціальна інженерія є, ймовірно, найпростішим і найефективнішим способом злому протоколів безпеки. Розвиток Інтернету дав нам дуже потужні можливості завдяки з’єднанню пристроїв без бар’єру відстані. Однак це дало нам прогрес у комунікації та взаємозв’язку, але створило лазівки, що призвели до порушення особистої інформації та конфіденційності.

З найдавніших, дотехнічних часів, люди кодували та захищали інформацію. Відомим у народі з давніх часів є метод Шифр Цезера де повідомлення кодуються зміщенням місць у списку алфавітів. наприклад, «привіт, світе», якщо його зсунути на 1 знак, можна записати як «ifmmp xpsmf», декодер, який читає повідомлення «ifmmp xpsmf», повинен буде зсунути літери на одну позицію назад у списку алфавітів, щоб зрозуміти повідомлення.

Якою б простою не була ця техніка кодування, вона проіснувала майже 2000 років!

Сьогодні ми розробили більш просунуті та надійні системи безпеки, але безпека є викликом.

Важливо відзначити, що існує величезна кількість методів, які використовують хакери для отримання важливої ​​інформації. Ми коротко розглянемо деякі з цих методів, щоб зрозуміти, чому соціальна інженерія є такою важливою справою.

Атаки грубою силою та словником

Злом грубою силою включає хакера з розширеним набором інструментів, створених для проникнення в систему безпеки за допомогою розрахованого пароля, отримуючи всі можливі комбінації символів. Атака за словником полягає в тому, що зловмисник запускає список слів (зі словника), сподіваючись знайти збіг із паролем користувача.

  Chrome Продовжуйте, де ви зупинилися, функція не працює

Атака грубої сили в наш час, хоча й дуже потужна, здається менш імовірною через природу поточних алгоритмів безпеки. Щоб поглянути на речі в перспективі, якщо пароль мого облікового запису ‘[email protected]!!!’, загальна сума символів 22; отже, комп’ютеру знадобиться 22 факторіала, щоб обчислити всі можливі комбінації. Це багато.

Більше того, існують алгоритми хешування, які беруть цей пароль і перетворюють його на хеш, щоб зробити його ще важчим для системи підбору. Наприклад, раніше написаний пароль можна хешувати до d734516b1518646398c1e2eefa2dfe99. Це додає паролю ще більш серйозний рівень безпеки. Пізніше ми розглянемо техніку безпеки більш детально.

Якщо ви власник сайту WordPress і шукаєте захист від грубої сили, перегляньте цей посібник.

DDoS атаки

Джерело: comodo.com

Розподілені атаки на відмову в обслуговуванні виникають, коли користувачеві заблоковано доступ до законних ресурсів Інтернету. Це може бути на стороні користувача або на службі, до якої користувач намагається отримати доступ.

DDoS зазвичай призводить до втрати доходу або бази користувачів. Щоб така атака була можливою, хакер може взяти під контроль кілька комп’ютерів у всьому Інтернеті, які можуть бути використані як частина «BotNet» для дестабілізації мережі або, у деяких випадках, переповнюють мережевий трафік некорисними пакетами. інформації, що призводить до надмірного використання та, отже, поломки мережевих ресурсів і вузлів.

  Як ввести нуль перед числом у Google Таблицях

Фішинг

Це форма злому, коли зловмисник намагається викрасти облікові дані користувача, створюючи підроблені заміни сторінок входу. Як правило, зловмисник надсилає зловмисний електронний лист користувачеві, який діє як надійне джерело, як правило, банк або веб-сайт соціальних мереж, із посиланням, за яким користувач може ввести свої облікові дані. Посилання зазвичай виглядають як законні веб-сайти, але при ближчому розгляді виявляється, що вони неправильні.

Наприклад, фішингове посилання одного разу використовувало paypai.com, щоб змусити користувачів Paypal надати дані для входу.

Типовий формат електронної пошти для фішингу.

«Шановний користувачеві,

Ми помітили підозрілу активність у вашому обліковому записі. Натисніть тут, щоб змінити свій пароль зараз, щоб уникнути блокування вашого облікового запису».

Існує 50% ймовірності того, що вас одразу стали жертвою фішингу. Ні? Ви коли-небудь входили на веб-сайт, а потім, натиснувши «Увійти» / «Увійти», ви поверталися на сторінку входу, так? Вас успішно фішингували.

Як здійснюється соціальна інженерія?

Незважаючи на те, що алгоритми шифрування стають ще складнішими для зламу та більш безпечними, хаки соціальної інженерії залишаються такими ж потужними, як і раніше.

Соціальний інженер зазвичай збирає інформацію про вас, щоб отримати доступ до ваших онлайн-акаунтів та інших захищених ресурсів. Зазвичай зловмисник змушує жертву добровільно розкрити особисту інформацію за допомогою психологічної маніпуляції. Страшна частина цього полягає в тому, що ця інформація не обов’язково має надходити від вас, лише від когось, хто знає.

  14 Хмарне бухгалтерське рішення для малого та великого бізнесу

Як правило, мішенню є не той, хто отримує соціальну інженерію.

Наприклад, популярна телекомунікаційна компанія в Канаді потрапила в новини на початку цього року через злам соціальної інженерії свого клієнта, під час якого персонал служби підтримки клієнтів за допомогою соціальної інженерії розкривав деталі цілі під час масового злому SIM-карти, що призвело до 30 000 доларів втрати грошей.

Соціальні інженери грають на невпевненості, недбалості та невігластві людей, щоб змусити їх оприлюднити життєво важливу інформацію. У епоху, коли дистанційна підтримка широко використовується, організації потрапляють у набагато більше випадків подібних зломів через неминучість людської помилки.

Будь-хто може стати жертвою соціальної інженерії, але ще страшніше те, що вас можуть зламати, навіть не підозрюючи!

Як захиститися від соціальної інженерії?

  • Уникайте використання особистої інформації, такої як дата народження, ім’я тварини, ім’я дитини тощо, як паролі для входу
  • Не використовуйте слабкий пароль. Якщо ви не можете згадати складний, то скористайтеся менеджером паролів.
  • Шукайте очевидну брехню. Соціальний інженер насправді не знає достатньо, щоб зламати вас одразу; вони надають неправильну інформацію, сподіваючись, що ви надасте правильну, а потім просять більше. Не впадайте на це!
  • Перевірте автентичність відправника та домену, перш ніж виконувати дії з повідомленнями електронної пошти.
  • Зверніться до свого банку негайно, якщо помітили підозрілу активність на своєму рахунку.
  • Якщо ви раптово втратите сигнал на своєму мобільному телефоні, негайно зверніться до свого оператора мережі. Це може бути злом SIM-карти.
  • Увімкніть двофакторну автентифікацію (2-FA). служби, які його підтримують.

Висновок

Ці кроки не є прямим засобом захисту від хакерів соціальної інженерії, але вони допоможуть вам ускладнити хакерам доступ до вас.