Nedávna správa ma prinútila uvedomiť si, ako môžu byť (alebo sú) ľudské emócie a myšlienky použité v prospech iných. Takmer každý z vás pozná Edwarda Snowdena^{(Edward Snowden)} , informátora NSA , ktorý sliedi po celom svete. Agentúra Reuters uviedla, že prinútil 20 až 25 ľudí z NSA , aby mu odovzdali svoje heslá na obnovenie niektorých údajov, ktoré neskôr unikli [1]. Predstavte si^(Imagine) , aká môže byť vaša firemná sieť krehká, dokonca aj s tým najsilnejším a najlepším bezpečnostným softvérom!

Čo je sociálne inžinierstvo

Ľudská^(Human) slabosť, zvedavosť, emócie a ďalšie vlastnosti sa často používajú pri nezákonnom získavaní údajov – či už ide o akékoľvek odvetvie. IT priemysel^{(IT Industry)} mu však dal názov sociálne inžinierstvo . Sociálne inžinierstvo definujem ako:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Tu je ďalší riadok z rovnakého spravodajského príbehu [1], ktorý chcem citovať – „ Bezpečnostné agentúry majú problém s myšlienkou, že ten chlap vo vedľajšej kabínke nemusí byť spoľahlivý^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} “. Výrok som trochu upravil, aby zapadol do kontextu tu. Celú novinku si môžete prečítať pomocou odkazu v sekcii Referencie^(References) .

Inými slovami, nemáte úplnú kontrolu nad bezpečnosťou svojich organizácií, keďže sociálne inžinierstvo sa vyvíja oveľa rýchlejšie ako techniky na jeho zvládnutie. Sociálne^(Social) inžinierstvo môže byť niečo ako zavolať niekomu, že ste technická podpora, a požiadať ho o prihlasovacie údaje. Museli ste dostávať phishingové e-maily o lotériách, bohatých ľuďoch na Strednom východe^{(Mid East)} av Afrike^(Africa) , ktorí chcú obchodných partnerov, a pracovných ponukách, v ktorých sa vás pýtajú na podrobnosti.

Na rozdiel od phishingových útokov je sociálne inžinierstvo z veľkej časti priamou interakciou medzi ľuďmi. Prvý z nich (phishing) používa návnadu – to znamená, že ľudia, ktorí „lovia“ ryby, vám ponúkajú niečo v nádeji, že tomu prepadnete. Sociálne^(Social) inžinierstvo je skôr o získaní dôvery interných zamestnancov, aby prezradili podrobnosti o spoločnosti, ktoré potrebujete.

Prečítajte si: ^(Read:) Populárne metódy sociálneho inžinierstva .

Známe techniky sociálneho inžinierstva

Je ich veľa a všetky využívajú základné ľudské tendencie na to, aby sa dostali do databázy akejkoľvek organizácie. Najpoužívanejšou (pravdepodobne zastaranou) technikou sociálneho inžinierstva je zavolať a stretnúť sa s ľuďmi a presvedčiť ich, že sú z technickej podpory, ktorí potrebujú skontrolovať váš počítač. Môžu tiež vytvoriť falošné identifikačné karty, aby získali dôveru. V niektorých prípadoch sa vinníci vydávajú za štátnych úradníkov.

Ďalšou slávnou technikou je zamestnať svoju osobu ako zamestnanca v cieľovej organizácii. Keďže tento podvodník je váš kolega, môžete mu dôverovať podrobnosti o spoločnosti. Externý zamestnanec vám môže s niečím pomôcť, takže sa cítite zaviazaný, a vtedy dokáže vyťažiť maximum.

Čítal som aj niekoľko správ o ľuďoch, ktorí používajú elektronické darčeky. Elegantný USB kľúč, ktorý vám doručíme na adresu vašej spoločnosti, alebo pero, ktoré leží vo vašom aute, môže spôsobiť katastrofu. V prípade niekto nechal niektoré USB disky zámerne na parkovisku ako návnadu [2].

Ak má vaša firemná sieť dobré bezpečnostné opatrenia na každom uzle, budete požehnaní. V opačnom prípade tieto uzly poskytujú ľahký prechod pre malvér – v darčekových alebo „zabudnutých“ perových jednotkách – do centrálnych systémov.

Preto nemôžeme poskytnúť úplný zoznam metód sociálneho inžinierstva. Je to veda v jadre, kombinovaná s umením na vrchole. A viete, že ani jeden z nich nemá žiadne hranice. Chlapci zo sociálneho^(Social) inžinierstva pokračujú v tvorivosti pri vývoji softvéru, ktorý dokáže zneužiť aj bezdrôtové zariadenia na získanie prístupu k firemnej Wi-Fi .

Prečítajte si: ^(Read:) Čo je to sociálne vytvorený malvér .

Zabrániť sociálnemu inžinierstvu

Osobne si nemyslím, že existuje žiadna veta, ktorú by správcovia mohli použiť na zabránenie hackovaniu sociálneho inžinierstva. Techniky sociálneho inžinierstva sa neustále menia, a preto je pre správcov IT ťažké sledovať, čo sa deje.

Samozrejme, je potrebné mať prehľad o novinkách v oblasti sociálneho inžinierstva, aby bol človek dostatočne informovaný na prijatie vhodných bezpečnostných opatrení. Napríklad v prípade zariadení USB môžu správcovia zablokovať jednotky USB na jednotlivých uzloch a povoliť ich iba na serveri, ktorý má lepší bezpečnostný systém. Podobne^(Likewise) by Wi-Fi potrebovalo lepšie šifrovanie, ako poskytuje väčšina miestnych poskytovateľov internetových služieb^(ISPs) .

Školenie zamestnancov a vykonávanie náhodných testov na rôznych skupinách zamestnancov môže pomôcť identifikovať slabé miesta v organizácii. Bolo by ľahké trénovať a varovať slabších jedincov. Ostražitosť^(Alertness) je najlepšou obranou. Dôraz by sa mal klásť na to, že prihlasovacie údaje by sa nemali zdieľať ani s vedúcimi tímu – bez ohľadu na tlak. Ak vedúci tímu potrebuje získať prístup k prihláseniu člena, môže použiť hlavné heslo. To je len jeden návrh, ako zostať v bezpečí a vyhnúť sa hackom sociálneho inžinierstva.

Pointa je, že okrem malvéru a online hackerov sa IT ľudia musia postarať aj o sociálne inžinierstvo. Pri identifikácii metód porušenia ochrany údajov (ako je zapisovanie hesiel atď.) by správcovia mali tiež zabezpečiť, aby ich zamestnanci boli dostatočne inteligentní na to, aby identifikovali techniku ​​sociálneho inžinierstva, aby sa tomu úplne vyhli. Aké sú podľa vás najlepšie metódy prevencie sociálneho inžinierstva? Ak ste sa stretli s nejakým zaujímavým prípadom, podeľte sa s nami.

Stiahnite si túto elektronickú knihu o útokoch sociálneho inžinierstva vydanú spoločnosťou Microsoft a zistite, ako môžete takéto útoky vo svojej organizácii odhaliť a predchádzať im.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Referencie^(References)

[1] Reuters , Snowden presvedčil zamestnancov NSA^{(NSA Employees Into)} , aby získali svoje prihlasovacie údaje^(Info)

[2] Boing Net , perové^(Pen) jednotky používané na šírenie škodlivého softvéru^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent news madе me realize how human emotions аnd thoughts can be (or, are) used for others’ benefit. Almost every one of you knows Edward Snowden, the whіstleblower of NSA snooping the world over. Reuters reported that he got around 20-25 NSΑ peоple to hand оver their passwords to him for recovering some data he leaked lаter [1]. Imaginе how fragile your corpоrate network can be, eνen with the strongest and bеst of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Závislosť na internete a sociálnych sieťach

• Webové stránky s falošnými správami: Rastúci problém a čo to znamená v dnešnom svete

• Ako nastaviť, nahrávať, upravovať a publikovať kotúče Instagramu

• Ako povoliť dvojfaktorové overenie pre účet Reddit

• Spojte sa s The Windows Club

• Ako sa stať influencerom na Twitteri

• Čo sa stane s vašimi online účtami, keď zomriete: Správa digitálnych aktív

• Blokujte reklamy na Instagrame a sponzorovaný obsah pomocou Filtergramu

• Ako vytvoriť kolotoč na Instagrame vo Photoshope: Návod pre začiatočníkov

• Ako vytvoriť skupinu v telegrame a používať funkciu hlasového rozhovoru

• Najlepšie bezplatné šablóny Canva pre Instagram

• Ako pridať hudbu, efekty a vylepšenia na kotúče Instagramu

• Ako čo najefektívnejšie hľadať na Reddite

• Ako sťahovať skladby zo SoundCloud

• Ako natrvalo deaktivovať účet Reddit na počítači

• Ako sa stať influencerom na LinkedIn

• Cold Turkey Distraction Blocker blokuje online rozptýlenie

• Odstráňte prístup tretích strán z Instagram, LinkedIn, Dropbox

• Čo je to Phubbing a čo znamená pre osobné vzťahy

• Nebezpečenstvo a dôsledky nadmerného zdieľania na sociálnych médiách