Innehållsförteckning:
- Använda Internet
- Dumpster dykare
- Attackers kan få information genom att använda funktionen för att ringa in efter namn som är inbyggd i de flesta telefonsvarningssystem. För att komma åt den här funktionen trycker du vanligtvis bara på 0 efter att ha ringt företagets huvudnummer eller efter att du har skrivit in någon röstbrevlåda. Detta trick fungerar bäst efter timmar för att säkerställa att ingen svarar.
- Den senaste kriminella hackingången är
Video: Privacy, Security, Society - Computer Science for Business Leaders 2016 2024
När sociala ingenjörer har ett mål i åtanke, börjar de vanligtvis attacken genom att samla in offentlig information om sina offer. Många socialingenjörer förvärvar information långsamt över tiden så att de inte väcker misstankar. Tydlig informationsinsamling är en tip-off när man försvarar mot socialteknik.
Oavsett den ursprungliga forskningsmetoden kan alla hackare behöva tränga in i en organisation, en anställdslista, några viktiga interna telefonnummer, de senaste nyheterna från en social mediawebbplats eller en företags kalender.
Använda Internet
Ett par minuter att söka på Google eller andra sökmotorer, med hjälp av enkla sökord, t.ex. företagsnamn eller specifika anställdas namn, ger ofta mycket information. Du kan hitta ännu mer information i SEC-arkiv på och på sådana webbplatser som Hoover's och Yahoo Finance. Genom att använda denna sökmotorinformation och bläddra på företagets webbplats har angriparen ofta tillräckligt med information för att starta en socialteknikattack.
De dåliga killarna kan betala några dollar för en omfattande online-bakgrundskontroll på individer. Dessa sökningar kan visa upp nästan all offentlig - och ibland privat - information om en person på några minuter.
Dumpster dykare
Dumpster dykning är lite mer riskabelt - och det är verkligen rörigt. Men det är en mycket effektiv metod att få information. Denna metod innebär att bokstavligen rota genom papperskorgar för information om ett företag.
Dumpster dykning kan visa den mest konfidentiella informationen, eftersom många anställda antar att deras information är säker när den går in i papperskorgen. De flesta människor tänker inte på det potentiella värdet av det papper de kastar bort. Dessa dokument innehåller ofta en mängd information som kan avleda den sociala ingenjören med information som behövs för att komma in i organisationen. Den snabba sociala ingenjören letar efter följande tryckta dokument:
-
Interna telefonlistor
-
Organisationsscheman
-
Medarbetarhandböcker, som ofta innehåller säkerhetspolicyer
-
Nätdiagram
-
Lösenordslistor
-
Mötesnoteringar > Kalkylblad och rapporter
-
Utskrifter av e-postmeddelanden som innehåller konfidentiell information
-
Klippningsdokument är endast effektiv om papperet är
krossat i små bitar konfetti. Billiga shredders som strimlar dokument endast i långa remsor är i grunden värdelösa mot en bestämd socialingenjör. Med en liten tid och ett tejp kan en socialingenjör dela ett dokument tillsammans om det är vad han är fast besluten att göra. De dåliga killarna ser också i papperskorgen för CD-ROM-skivor och DVD-skivor, gamla datorväskor (speciellt de med hårddiskar som fortfarande är intakta) och backup-band.
Telefonsystem
Attackers kan få information genom att använda funktionen för att ringa in efter namn som är inbyggd i de flesta telefonsvarningssystem. För att komma åt den här funktionen trycker du vanligtvis bara på 0 efter att ha ringt företagets huvudnummer eller efter att du har skrivit in någon röstbrevlåda. Detta trick fungerar bäst efter timmar för att säkerställa att ingen svarar.
Attackers kan skydda sina identiteter om de kan dölja var de ringer från. Här är några sätt att de kan dölja sina platser:
Bostadstelefoner
-
kan ibland dölja sina nummer från uppringnings-ID genom att slå * 67 före telefonnumret. Den här funktionen är inte effektiv när du ringer gratisnummer (800, 888, 877, 866) eller 911.
Business phones
-
på ett kontor med en telefonomkopplare är svårare att spoofa. Men alla attacker som vanligtvis behövs är användarhandboken och administratörslösenordet för telefonväxlingsprogrammet. I många omkopplare kan angriparen ange källnumret - inklusive ett förfalskat nummer, såsom offrets hemtelefonnummer. Telefonsystem för Voice over Internet Protocol (VoIP) telefonsamtal gör det emellertid ett icke-problem. VoIP-servrar
-
som öppen källkod Asterisk kan användas och konfigureras för att skicka alla de nummer de vill ha. Phish-e-postmeddelanden
Den senaste kriminella hackingången är
phishing - brottslingar skickar falska e-postmeddelanden till potentiella offer för att få dem att avslöja känslig information eller klicka på skadliga länkar. Phishing har faktiskt funnits i åratal, men det har nyligen fått större synlighet med tanke på vissa högprofilerade utnyttjanden mot till synes ogenomträngliga organisationer. Phishing effektivitet är fantastiskt, och konsekvenserna är ofta fula. Några välplacerade e-postmeddelanden är det enda som krävs för att brottslingar ska ta upp lösenord, stjäla känslig information eller injicera skadlig kod i riktade datorer.
Du kan utföra din egen phishing-övning. En rudimentär metod är att skapa ett falskt e-postkonto som begär information eller länka till en skadlig webbplats, skicka e-post till anställda eller andra användare du vill testa och se vad som händer. Det är verkligen så enkelt som det.
Du skulle bli förvånad över hur mottagliga dina användare verkligen är för det här tricket. De flesta phishing-tester har en framgångsgrad på 10-15 procent. Det kan vara så högt som 80 procent. Dessa priser är inte bra för säkerhet eller för företag!
Ett mer formellt sätt att utföra dina phishing-tester är att använda ett verktyg som är skapat specifikt för jobbet. Även om du har en bra erfarenhet av kommersiella leverantörer, måste du tänka länge och svårt att ge upp potentiellt känslig information som direkt eller oavsiktligt skickas offsite, aldrig att bli kontrollerad igen.
Om du går ner i den här sökvägen, se till att du helt förstår vad som kommer att avslöjas för dessa tredjeparts phishing-leverantörer precis som du skulle med någon molnleverantör. Lita på men verifiera.
Ett open source-alternativ till kommersiella phishing-verktyg är Simple Phishing Toolkit, även känt som spt.Det är inte nödvändigtvis enkelt att ställa in en spt-projektmiljö, men när du har den på plats kan den göra fantastiska saker för dina phishing-initiativ.
Du har förinstallerade e-postmallar, möjlighet att
skrapa (kopiera sida från) levande webbplatser så att du kan anpassa din egen kampanj och olika rapporteringsfunktioner så att du kan spåra vilken e -mail-användare tar betet och misslyckas med dina test. Sociala ingenjörer kan ibland hitta intressanta bitar av information, till exempel när deras offer är ute av stan, bara genom att lyssna på röstmeddelanden. De kan till och med studera offerens röster genom att lyssna på sina röstmeddelanden, podsändningar eller webbsändningar så att de kan lära sig att omätta dem.
![Förgiftning av Google Spider-dummies <[SET:descriptionsv]Förgiftar Google Spider](https://i.howtospotfake.org/img/big/sv-web-design-development-2018/poisoning-google-spider.jpg "Förgiftning av Google Spider-dummies <[SET:descriptionsv]Förgiftar Google Spider")
