Förra veckan tog vi en titt på några av de viktigaste sociala ingenjörskonflikterna Vad är socialteknik? [MakeUseOf Förklarar] Vad är socialteknik? [MakeUseOf Explains] Du kan installera branschens starkaste och dyraste brandvägg. Du kan utbilda anställda om grundläggande säkerhetsprocedurer och vikten av att välja starka lösenord. Du kan till och med låsa ner serverns rum - men hur ... Läs mer att du, ditt företag eller dina anställda ska leta efter. I ett nötskal ligner socialteknik ett tillitsspel där en angripare får tillgång, information eller pengar genom att få offrets förtroende.
Dessa tekniker kan sträcka sig från phishing-bedrägerier via e-post för att utarbeta telefonstick och invasiva förevändningar. Medan det inte finns något definitivt sätt att stoppa sociala ingenjörer finns det några saker att komma ihåg för att förhindra att sådana attacker blir för allvarliga. Som alltid är ditt bästa försvar kunskap och ständig vaksamhet.
Skydda mot fysiska attacker
Många företag utbildar sina nätverkssäkerhetsgrupper om farorna med fysisk attack. En metod som kallas "tailgating" används i många fysiska attacker för att få tillgång till områden som är begränsade utan tillstånd. Denna attack förfäder på grundläggande mänsklig artighet - håller en dörr för någon - men när angriparen får fysisk åtkomst blir säkerhetsbrottet mycket allvarligt.
Även om detta inte verkligen gäller i hemmet scenario (du är osannolikt att hålla din ytterdörr öppen för en främling nu, är du?) Det finns några saker du kan göra för att minska risken att bli offer för socialteknik attack som beror på fysiska material eller en plats.
Pretexting är en teknik som används av angripare som först hittar information om sitt offer (t.ex. från en faktura eller kreditkort) som de då kan använda mot sitt offer genom att övertyga dem om att de har en känsla av auktoritet. Det mest grundläggande skyddet mot denna typ av attack (ibland kallad "dumpster diving") är att förstöra material som innehåller viktig personlig information.
Detta gäller även digitala data, så gamla hårddiskar ska förstöras (fysiskt) och det optiska mediet kan också strimlas. Vissa företag tar även detta så mycket att de låser sina vägrar och har säkerhetsövervakning. Tänk på det oskrämda pappersarbetet du kasta bort - kalendrar, kvitton, fakturor och till och med personliga noteringar - och överväg då om denna information skulle kunna användas mot dig.
Tanken om ett inbrott är inte särskilt trevligt, men om din bärbara dator stulits spåra ner och återställ din stulna bärbar dator med spåra spår ner och återfå din stulna bärbar dator med sprit Läs mer imorgon skulle den vara tillräckligt låst? Bärbara datorer, smartphones och andra enheter som har tillgång till dina personuppgifter, e-postkonton och sociala nätverkskonton bör alltid skyddas med säkra lösenord. Skapa ett starkt lösenord som du inte kommer att glömma. Skapa ett starkt lösenord som du inte kommer att glömma. att skapa och komma ihåg ett bra lösenord? Här är några tips och tricks för att behålla starka, separata lösenord för alla dina online-konton. Läs mer och koder. Om du verkligen är paranoid om stöld kan du till och med vilja kryptera data på hårddisken med något som TrueCrypt Hur man gör krypterade mappar Andra kan inte visa med Truecrypt 7 Hur man gör krypterade mappar Andra kan inte visa med Truecrypt 7 Läs mer eller BitLocker.
Kom ihåg - All information som en tjuv kan extrahera kan användas mot dig i framtida attacker, månader eller år efter händelsen.
Baiting - lämnar en skadlig enhet som en kompromitterad USB-pinne där den lätt kan hittas - kan lätt undvikas genom att inte låta dina nyfikenheter bli bättre av dig. Om du hittar en USB-stick på verandan, behandla den med största misstanke. USB-pinnar kan användas för att installera keyloggers, trojaner och annan oönskad programvara för att extrahera information och presentera ett mycket verkligt hot.
Förebyggande av psykiska attacker
Nästan alla socialtekniska attacker är psykologiska enligt deras definition, men i motsats till förevändning, som kräver förkunskaper, är vissa attacker rent psykologiska. Att skydda mot dessa typer av attacker är för närvarande en stor prioritet för många företag, och det handlar om utbildning, vaksamhet och ofta tänkande som en angripare.
Företag börjar nu utbilda personal på alla nivåer, eftersom de flesta attacker börjar med säkerhetsvakt på porten eller receptionisten vid receptionen. Det innebär i allmänhet att de anställda ska vara försiktiga med misstänkta förfrågningar, påträngande personer eller något som bara inte lägger till. Denna vaksamhet kan enkelt överföras till ditt dagliga liv men beror på din förmåga att identifiera förfrågningar om konfidentiell information.
Även om attacker på internet via e-post och snabbmeddelanden allt oftare är vanliga, är det fortfarande ett verkligt hot som socialtekniska attacker via telefon (och VoIP, vilket gör det svårare att spåra källan). Det enklaste sättet att undvika en attack är att avsluta samtalet den andra du misstänker något.
Det är möjligt att din bank ringer dig, men sällan att de skulle fråga om ditt lösenord eller annan information direkt. Om ett sådant samtal äger rum, begär bankens telefonnummer, dubbelkontrollera det och ringa tillbaka dem. Det kan ta ytterligare fem minuter, men dina medel och personuppgifter är säkra och banken förstår. På samma sätt är ett säkerhetsföretag mycket osannolikt att ringa för att varna dig för problem med din dator. Behandla alla samtal som ett bedrägeri, var misstänksam och kompromissa inte din dator. Kallsamtal Datortekniker: Falla inte för en bluff som det här [Scam Alert!] Kalla samtalstekniktekniker: Falla inte för en bluff som det här [ Scam Alert!] Du har förmodligen hört termen "do not scam a scammer" men jag har alltid varit förtjust i "do not scam a tech writer" mig själv. Jag säger inte att vi är ofätliga, men om din bluff involverar Internet, en Windows ... Läs mer eller köp vad de säljer!
Utbildning är det bästa försvaret, så att du håller dig uppdaterad med säkerhetstekniker och nyheter hjälper dig att upptäcka en potentiell attack. Resurser som Social-Engineer.org försöker utbilda människor i teknikerna som används av socialingenjörer, och det finns mycket information tillgänglig.
Några saker att komma ihåg
Förtroende är en social ingenjörs huvudtaktik och kommer att användas för att få tillgång till fysiska platser, konfidentiell information och i större skala känsliga företagsuppgifter. Ett system är bara lika starkt som det svagaste försvaret, och i fråga om socialteknik innebär det individer som inte känner till de hot och tekniker som används.
Slutsats
Att citera Kevin Mitnick som lyckades vandra runt den största säkerhetskonferensen i världen, unbadged and unchecked (RSA 2001): "Du kan tillbringa en förmögenhet att köpa teknik och tjänster från alla utställare, talare och sponsor på RSA-konferensen och ditt nätverk infrastruktur kan fortfarande förbli utsatt för gammaldags manipulation ". Detta gäller för lås på dina dörrar och larmet i ditt hus, så håll koll på socialteknik taktik på jobbet och hemma.
Har du upplevt sådana angrepp? Arbetar du för ett företag som nyligen har börjat utbilda anställda om farorna? Låt oss veta vad du tycker, i kommentarerna nedan.
Bildkrediter: Wolf in Sheep's Clothing (Shutterstock) Pappersförstörare (Chris Scheufele), Hårddisk (jon_a_ross), Telefon på skrivbordet (Radio.Guy), Mozilla Reception (Niall Kennedy),