Недавняя новость заставила меня осознать, как человеческие эмоции и мысли могут быть (или используются) на благо других. Почти каждый из вас знает Эдварда Сноудена^{(Edward Snowden)} , разоблачителя АНБ^(NSA) , следящего за всем миром. Агентство Reuters сообщило, что он уговорил около 20-25 человек из АНБ^(NSA) передать ему свои пароли для восстановления некоторых данных, которые он позже слил [1]. Представьте^(Imagine) , насколько хрупкой может быть ваша корпоративная сеть, даже с самым мощным и лучшим программным обеспечением безопасности!

Что такое социальная инженерия

Человеческие^(Human) слабости, любопытство, эмоции и другие качества часто использовались при незаконном извлечении данных — будь то любая отрасль. Однако ИТ-индустрия^{(IT Industry)} дала этому название социальной инженерии. Я определяю социальную инженерию как:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Вот еще одна строчка из того же новостного материала [1], которую я хочу процитировать: « Спецслужбам тяжело смириться с мыслью, что парень в соседней кабинке может быть ненадежным^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} ». Я немного изменил утверждение, чтобы оно соответствовало контексту здесь. Полностью новость можно прочитать по ссылке в разделе « Ссылки^(References) ».

Другими словами, у вас нет полного контроля над безопасностью вашей организации, поскольку социальная инженерия развивается гораздо быстрее, чем методы, позволяющие с ней справиться. Социальная^(Social) инженерия может быть чем-то вроде звонка кому-то, кто говорит, что вы техподдержка, и просите их учетные данные для входа. Вы, должно быть, получали фишинговые электронные письма о лотереях, о том, что богатые люди на Ближнем Востоке^{(Mid East)} и в Африке^(Africa) ищут деловых партнеров, и о предложениях работы, чтобы узнать ваши данные.

В отличие от фишинговых атак, социальная инженерия во многом представляет собой прямое взаимодействие между людьми. Первый (фишинг) использует приманку, то есть люди, «ловящие рыбу», предлагают вам что-то в надежде, что вы на это попадетесь. Социальная^(Social) инженерия — это больше о завоевании доверия внутренних сотрудников, чтобы они разглашали нужные вам данные о компании.

Читайте: ^(Read:) Популярные методы социальной инженерии .

Известные методы социальной инженерии

Их много, и все они используют базовые человеческие склонности для попадания в базу данных любой организации. Наиболее часто используемый (вероятно, устаревший) метод социальной инженерии — звонить и встречаться с людьми и заставлять их думать, что они из службы технической поддержки, которым нужно проверить ваш компьютер. Они также могут создавать поддельные удостоверения личности, чтобы установить доверие. В некоторых случаях виновные выдают себя за государственных чиновников.

Еще один известный метод — нанять вашего человека в качестве сотрудника целевой организации. Теперь, поскольку этот мошенник — ваш коллега, вы можете доверить ему информацию о компании. Внешний сотрудник может помочь вам чем-то, поэтому вы чувствуете себя обязанным, и тогда они могут сделать максимум.

Я также читал некоторые отчеты о людях, использующих электронные подарки. Причудливая флешка^(USB) , доставленная вам по адресу вашей компании, или флешка, лежащая в вашем автомобиле, могут обернуться катастрофой. В одном случае кто-то намеренно оставил несколько USB -накопителей на парковке в качестве приманки [2].

Если сеть вашей компании имеет хорошие меры безопасности на каждом узле, вам повезло. В противном случае эти узлы обеспечивают легкий проход вредоносному ПО — в этом подаренном или «забытом» флеш-накопителе — к центральным системам.

Таким образом, мы не можем предоставить полный список методов социальной инженерии. Это наука в основе, объединенная с искусством наверху. И вы знаете, что ни у того, ни у другого нет границ. Специалисты по социальной^(Social) инженерии продолжают проявлять творческий подход, разрабатывая программное обеспечение, которое также может злоупотреблять беспроводными устройствами, получающими доступ к корпоративному Wi-Fi .

Читайте: ^(Read:) что такое вредоносное ПО с социальной инженерией .

Предотвратить социальную инженерию

Лично я не думаю, что существует какая-либо теорема, которую администраторы могут использовать для предотвращения взломов социальной инженерии. Методы социальной инженерии продолжают меняться, и, следовательно, ИТ-администраторам становится трудно отслеживать происходящее.

Конечно, необходимо следить за новостями социальной инженерии, чтобы быть достаточно информированным, чтобы принять соответствующие меры безопасности. Например, в случае с USB - устройствами администраторы могут блокировать USB -накопители на отдельных узлах, позволяя использовать их только на сервере с лучшей системой безопасности. Точно так же^(Likewise) для Wi-Fi потребуется лучшее шифрование, чем предоставляют большинство местных интернет- провайдеров^(ISPs) .

Обучение сотрудников и проведение выборочных тестов на разных группах сотрудников могут помочь выявить слабые места в организации. Было бы легко обучать и предостерегать более слабых людей. Бдительность^(Alertness) — лучшая защита. Особое внимание следует уделить тому, что информация для входа в систему не должна передаваться даже руководителям групп — независимо от давления. Если руководителю группы необходимо получить доступ к логину участника, он может использовать мастер-пароль. Это всего лишь один совет, чтобы оставаться в безопасности и избегать взломов социальной инженерии.

Суть в том, что, помимо вредоносных программ и онлайн-хакеров, ИТ-специалисты также должны позаботиться о социальной инженерии. При определении методов утечки данных (например, записи паролей и т. д.) администраторы также должны убедиться, что их сотрудники достаточно умны, чтобы идентифицировать метод социальной инженерии, чтобы полностью избежать этого. Как вы думаете, каковы лучшие методы предотвращения социальной инженерии? Если вы столкнулись с каким-либо интересным случаем, пожалуйста, поделитесь с нами.

Загрузите эту электронную книгу об атаках с использованием социальной инженерии , выпущенную Microsoft, и узнайте, как вы можете обнаруживать и предотвращать такие атаки в своей организации.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Рекомендации^(References)

[1] Reuters , Сноуден^(Snowden) убедил сотрудников АНБ^{(NSA Employees Into)} получить их данные для входа^(Info)

[2] Boing Net , флешки^(Pen) , используемые для распространения вредоносного ПО^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent nеws made me realize how human emotions and thoυghtѕ can be (or, are) used for others’ benefit. Almоst every one of you knows Edward Snowden, the whistleblower of NSA snooping the world over. Reuters reported that he got around 20-25 NSA people to hаnd over their passwords to him fоr recovering some data he leaked later [1]. Imagine how fragile your corporate network can be, even with the strongest and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Internet and Social Networking Sites addiction

• Fake News Сайты: Растущая проблема и что это значит в современном мире

• Как настроить, запись, редактирование, опубликовать Instagram Reels

• Как включить двухфакторную аутентификацию для Reddit account

• Подключиться с Windows Club

• Опасности и последствия загадорения на Social Media

• Как сохранить ваш Instagram Reels в Draft and Edit позже

• StalkFace and StalkScan помогает вам понять друзья Facebook лучше

• Как навсегда удалить или временно отключить Instagram account

• Best Yammer Tips and Tricks для power user

• Как искать Reddit самым эффективным способом

• Как стать Influencer на Twitter

• 5 Best Social Media apps для Windows 10 Доступен в Microsoft Store

• Как отключить Reddit account постоянно на ПК

• Удалить сторонний доступ от Instagram, LinkedIn, Dropbox

• Как сделать Instagram Carousel в Photoshop: Учебное пособие для начинающих

• Как добавить Music, Effects, Enhancements до Instagram Reels

• Как стать Influencer на Instagram

• 5 лучших альтернатив Facebook, вы хотите проверить

• Block Instagram ADS и спонсируемый контент с использованием Filtergram