As Web security has evolved it has gotten easier to lock your systems down. many products come out of the box pre-configured to include decent security practices, as well as most of the prominent on the internet services have wised up about encryption as well as password storage. That’s not to state that things are perfect, however as the computer systems get tougher to crack, the poor guys will focus more on the unpatchable system in the mix — the human element.
Historien gjentar seg
Ever since the days of the ancient Greeks, as well as most likely before that, social engineering has been one choice to get around your enemy’s defences. all of us understand the old tale of Ulysses utilizing a giant wooden equine to technique the Trojans into enabling a little army into the city of Troy. They left the equine outside the city walls after a failed five-year siege, as well as the Trojans brought it in. when inside the city walls a little army climbed out in the dead of night as well as caught the city.
How different is it to leave a USB flash drive packed with malware around a big company’s vehicle park, waiting on human curiosity to take over as well as an worker to plug the gadget into a computer hooked as much as the business network? Both the wooden equine as well as the USB drive technique have one thing in common, humans are not perfect as well as make decisions which can be irrational.
Famous Social Engineers
[Victor Lustig] was one of history’s famous social engineers specializing in scams, as well as was a self-confessed con man. He is most famous for having offered the Eiffel Tower. After the very first world War, money was tight, as well as France was having a hard time to pay for the upkeep of Eiffel Tower as well as it was falling into disrepair. After reading about the tower’s troubles, [Lustig] came up with his scheme: he would technique people into believing that the tower was to be offered off as scrap as well as that he was the facilitator for any type of deal. utilizing forged government stationary, he handled to pull this technique off: twice!
He later went on to scam [Al Capone] out of $5,000 by convincing him to invest $50,000 into a stock market deal. He declared the offer fell through, although in truth there was no deal. After a few months, he provided Capone his money back, as well as was rewarded with $5,000 for his “integrity”.
[Charles Ponzi] was so notorious the plan he utilized which is to life as well as well today was named after him. A Ponzi plan is a pyramid investment scam utilizing new members money to pay older investors. As long as new recruits keep coming in, the people at the top of the pyramid get paid. When the pool of new suckers dries up, it’s over.
The biggest Ponzi plan ever was found by then-respected high flyer as well as stock market speculator [Bernard Madoff]. The scheme, valued at around $65 billion, was as well as still is the biggest in history. Madoff was so prolific he had banks, governments as well as pension funds invested into his scheme.
[Kevin Mitnick] is most likely the most famous computer hacker still to life today, nevertheless he was more of a social engineer than you would think. Kevin started young; at thirteen, he persuaded a bus driver to tell him where to buy a ticket puncher for a institution project, when in truth it would be utilized with dumpster dived tickets discovered in the bins of the bus company’s depot.
At sixteen, he hacked digital devices Corporation’s computer systems, copying proprietary software application as well as then going on to hack Pacific Bell’s voice mail computers together with lots of other systems. He was on the run for a few years as well as was ultimately imprisoned for his crimes. Out of jail, he has turned into a security consultant as well as does well for himself by staying on the correct side of the law.
[John Draper], aka Captain Crunch, was a pioneer in the phone phreaking world. He gained his moniker since of free whistles provided away in bundles of Cap’n crunch cereal. He realized that these whistles played 2,600 Hz which just occurred to be the precise tone that AT&T long distance lines utilized to suggest that a trunk line was prepared as well as offered to path a new call. This influenced [John Draper] to experiment with as well as effectively develop blue boxes. Those days are gone now, as the phone system changed from analog to digital.
Types Of Social engineering Scams as well as exactly how To prevent Them
There are many different type of social engineering attacks — picture counting up the number of methods that exist to technique people. Still, it’s worth comprehending the most prominent scams, since you do requirement to protect yourself.
Pretexting
This type of scam includes telling somebody a lie in order to gain gain access to to privileged areas or information. Pretexting is frequently performed in the type ofTelefon svindel hvor en ringer vil forsikring hevder å jobbe for noen stor virksomhet, så vel som å verifisere deres målidentitet. De fortsetter deretter for å samle informasjon som sosiale sikkerhetsnummer, mors pikenavn, kontoinformasjon og fødselsdato. Siden telefonsamtalen eller omstendighetene normalt er initiert av den sosiale ingeniøren, er en god metode for å beskytte deg selv fra denne svindelen til å ringe tilbake eller verifisere hvem de sier de er – utnytte informasjon som du samlet om selskapet, så vel som ikke gitt av dem.
Baiting.
Droppe malwarefylte USB-stasjoner rundt parkeringsplasser, eller gigantiske trehester i nærheten av fiendens vegger, er tradisjonell baiting. Dette er et enkelt angrep med en enkel reduksjon: Husk at hvis noe gratis så vel som fascinerende bare å ligge rundt, ser det bra ut til å være sant, så er det mest sannsynlig.
Phishing.
Phishing er metoden for å sende ut e-post, posere som en allment kjent webtjeneste eller et selskap, samt å sikte på å få mottakeren til å åpne et kompromittert dokument, gå til et forgiftet nettsted, eller på annen måte bryte din egen sikkerhet. For noen uker siden, har Hackaday sin egen [Pedro Umbelino] komponert om nøyaktig hvor enkelt det er å utnytte selv den mest sikkerheten mindige rundt oss (det hadde meg) med et IDN-homografangrep.
Mest phishing er gjort på et mindre avansert nivå – normalt er en klon av nettstedet gjort, så vel som e-post sendes ut som å fortelle ofre for å modifisere passordet deres. Høyverdige mål kan ha en helt personlig phishing-opplevelse, forstått som “spyd phishing”, hvor svindleren vil sette mer innsats i en sideklon eller e-posttekst ved å inkludere personlig informasjon for å få det til å se mer autentisk. Phishing er normalt enkelt å området – inspiser adressen til en hvilken som helst type lenke før du klikker på den. I tillegg til at hvis du blir bedt om å endre et passord med en e-post, lukk e-posten, så vel som logg inn på nettstedet med typiske midler, omgå de dårlige koblingene helt.
Ransomware.
En stor del Ransomware er gitt av phishing, men siden det har vært et økende antall omfattende tilfeller, får det sitt eget emne. Likevel er individet lurt til å kjøre malware på datamaskinen, den krypterer verdifulle data eller låser individet ut av systemet, samt krever tilbakebetaling for å få tilbake ting tilbake til normal. Om dette skjer eller ikke, ved betaling, er noen gjetning.
Det har vært en rekke ekstremt høyprofilerte ransomware-angrep i det siste, inkludert Ransomware Crippling UK NHS, så vel som å spre seg globalt. Vil dette noensinne ende? Den enkleste reduksjonsstrategien mot ransomware, i tillegg til ikke å klikke på mistenkelige lenker, applikasjoner eller holde systemet så mye som dato i det aller første, er å holde vanlige sikkerhetskopier av systemet for å sikre at hvis du blir ransomed, vant du ‘t må betale. Å holde sikkerhetskopier har andre fordeler også, selvfølgelig.
Quid pro quo.
Quid Pro Quo Scam er virkelig alle “quid” så vel som ingen “quo”. En tjenesteleverandør-tjenesteleverandørtilrop som tilbyr å reparere en feil eller eliminere skadelig programvare (som ikke eksisterer) mot et gebyr. En rask bla på YouTube vil slå opp utallige videoer av svindlere som prøver lykken med klare tenåringer. Akkurat som mange ulemper, kan denne svindelen unngås ved å bare ikke svare på out-of-the-de-blå tilbud. På den annen side synes denne svindelen vellykket tilstrekkelig at den fortsatt kjøres. Forståelse om det er det aller beste forsvaret.
Tailgating.
En metode for å komme inn i et begrenset område som er sikret av en lukket dør, er å vente på en arbeidstaker eller noen med få tilgang til, så vel som å overholde dem i. Disse angrepene er normalt rettet mot bedrifter eller leiligheter, samt løsningen er å bare ikke la noen komme inn med deg.
Søppeldykking
For å etterligne en legitimt entreprenør, hjelper den med å forstå navnene på firmaene som følger med, så vel som til og med poeng for å komme i kontakt med inne i firmaet. Alle disse dataene så vel som mer kan oppdages på kvitteringer i dumpsteren bak firmaet. Invester i en shredder, så vel som ikke la noe til sjanse.
Sosiale medier
Folk deler en fantastisk mengde personlig informasjon om sosiale medier, så det er ingen overraskelse at det er et nytt verktøy for sosiale ingeniører. Ser med en persons konto er som å se på et øyeblikksbilde av noen liv. Hvorfor vil du avsløre at huset ditt kommer til å være tomt for de neste to ukene til faktisk hele verden? Huset ditt ber bare om å bli innbrudd. Eller tro på ammunisjonen som du gir til en ville spyd phisher. Tro på avvikene for å dele personlig informasjon om deg selv offentlig.
Bemerkelsesverdige sosiale tekniske situasjoner
La oss nå se et par eksempler på disse sosiale tekniske teknikkene i naturen.
Nyheter Worldwide Telefon Hacking Scandal
Her i Storbritannia var det en stor offentlig storm da News International, hadde av Media Mogul [Rupert Murdoch], ble oppdaget å utnytte sosialteknikk til “hack” i taleposttjenestene til PROmhente kjendiser, politikere, kongelige, samt journalister. Telefonen hacking notering er ekstremt lang. De har ofte hacket inn i talepostet ved å spoofing den anrops-IDen som ga få tilgang til telefonens talepostboks. Noen voicemails var passord sikret med firesifrede koder som ble raskt gjettet. Ved andre anledninger ringte de bare telefonleverandørens service hotline, så vel som uttalt at de ikke klarte å huske deres PASS-kode – Plain-Vanilla Pretexting.
Celebgate iCloud Nakenbilder “Hack”
[Ryan Collins] Utnyttede phishing-metoder for å få få tilgang til ICloud-regnskapet for Jennifer Lawrence, Kate Upton, så vel som Kim Kardashian. Han produserte falske varsler fra Google, så vel som Apple, så vel som sendte dem på hans mål ‘e-postadresser. På den tiden var det formodning som Apples iCloud hadde hacket inn i en stor skala. I stedet innrømmet Collins i et intervju at han benyttet phishing-metoder for å få få tilgang til sine ofre personlige data.
Hvor går vi herfra
Hvis du bryter datasystemet er så godt vanskelig, kan du være sikker på at kriminelle vil forsøke å bryte det menneskelige systemet. Enten du ringer til denne “sosialteknikken”, “Cons”, eller “svindel”, vil de sannsynligvis være på vei oppover. Den aller beste metoden for å beskytte deg selv er å lære noen med å få tilgang til dine data eller detaljer om nøyaktig hvordan angrepene fungerer, så vel som nøyaktig hvordan de skal hindre dem.
Det er mange ressurser på internett som du vil være nyttig for å hjelpe beskytte deg selv mot disse angrepsvektorene. Beskytt deg selv mot åtte sosiale tekniske angrep er ganske bra utgangspunkt, så vel som den amerikanske avdelingen i hjemlandssikkerhet gir også fantastisk informasjon om å hindre sosialteknikkhack som du kan peke folk til.
Til slutt koker det meste ned for å anerkjenne mønstrene, så vel som å være skeptiske når du ser dem. Bekreft info med andre kanaler, ikke blindt klikk på linker, samt vær forsiktig med hvilke personlige opplysninger du gir ut til advokater.
