Como a segurança da Web evoluiu, ficou mais fácil de bloquear seus sistemas. Muitos produtos saem da caixa pré-configurados para incluir práticas de segurança decentes, bem como a maioria dos proeminentes nos serviços da Internet, com criptografia, bem como armazenamento de senha. Isso não é para afirmar que as coisas são perfeitas, no entanto, à medida que os sistemas de computador ficam mais difíceis de rachaduar, os pobres se concentrarão mais no sistema não-pilotável na mistura – o elemento humano.
A história se repete
Desde os dias dos gregos antigos, bem como provavelmente antes disso, a engenharia social tem sido uma escolha para contornar as defesas do inimigo. Todos nós entendemos o antigo conto de Ulisses utilizando um gigante de madeira equino para técnica os trojans a permitir um pequeno exército na cidade de Tróia. Eles deixaram o equino do lado de fora das muralhas da cidade depois de um cerco com cinco anos fracassados, assim como os Trojans trouxeram dentro. Quando dentro das muralhas da cidade, um pequeno exército saiu no morto da noite, bem como pegou a cidade.
Quão diferente é deixar uma unidade flash USB embalada com malware em torno de um parque de veículos da empresa grande, esperando por curiosidade humana para assumir o controle, bem como um trabalhador para conectar o gadget em um computador conectado tanto quanto a rede de negócios? Tanto o equino de madeira quanto a técnica de unidade USB têm uma coisa em comum, os humanos não são perfeitos, bem como tomar decisões que podem ser irracionais.
Engenheiros sociais famosos
[Victor Lustig] foi um dos famosos engenheiros sociais da história especializados em fraudes, bem como era um homem confesso. Ele é mais famoso por ter oferecido a Torre Eiffel. Após a primeira guerra mundial, o dinheiro era apertado, assim como a França estava tendo dificuldade em pagar pela manutenção da Torre Eiffel, bem como estava caindo no desejo. Depois de ler sobre os problemas da Torre, [Lustig] surgiu com o esquema: ele técnica técnica a acreditar que a torre deveria ser oferecida como sucata, bem como que ele era o facilitador para qualquer tipo de negócio. Utilizando o governo forjado estacionário, ele manipulou para extrair essa técnica: duas vezes!
Mais tarde, ele passou a Scam [Al Capone] de US $ 5.000, convencendo-o a investir US $ 50.000 em um acordo de mercado de ações. Ele declarou que a oferta caiu, embora na verdade não houvesse acordo. Depois de alguns meses, ele forneceu capone seu dinheiro de volta, assim como foi recompensado com US $ 5.000 por sua “integridade”.
[Charles Ponzi] era tão notório que ele utilizou, que é para a vida, bem como hoje, foi nomeado atrás dele. Um plano Ponzi é uma fraude de investimento em pirâmide, utilizando novos membros para pagar investidores mais antigos. Contanto que novos recrutas continuem chegando, as pessoas no topo da pirâmide são pagas. Quando a piscina de novos otários seca, acabou.
O maior plano Ponzi já foi encontrado por então respeitado o alto panfleto, bem como o especulador do mercado de ações [Bernard Madoff]. O esquema, avaliado em cerca de US $ 65 bilhões, foi tão bem quanto ainda é o maior da história. Madoff era tão prolífico que ele tinha bancos, governos, bem como fundos de pensão investidos em seu esquema.
[Kevin Mitnick] é mais provável que o hacker de computador mais famoso ainda seja a vida hoje, no entanto, ele era mais engenheiro social do que você pensaria. Kevin começou jovem; Aos treze anos, ele persuadiu um motorista de ônibus a contar a ele onde comprar um perfurador de ingressos para um projeto de instituição, quando na verdade seria utilizado com bilhetes mergulhados com dumpster descobertos nas caixas do depósito da empresa de ônibus.
Aos dezesseis anos, ele invadiu os sistemas de computadores da Corporação Digital Digital, copiando o aplicativo de software proprietário, bem como, em seguida, acontecendo para hackear os computadores de correio de voz do Pacific Bell, juntamente com muitos outros sistemas. Ele estava correndo por alguns anos, bem como foi finalmente aprisionado por seus crimes. Fora da prisão, ele se transformou em um consultor de segurança, bem como faz bem para si mesmo ficando no lado correto da lei.
[John Draper], AKA Capitão Crunch, era pioneiro no telefone phreaking. He gained his moniker since of free whistles provided away in bundles of Cap’n crunch cereal. He realized that these whistles played 2,600 Hz which just occurred to be the precise tone that AT&T long distance lines utilized to suggest that a trunk line was prepared as well as offered to path a new call. This influenced [John Draper] to experiment with as well as effectively develop blue boxes. Those days are gone now, as the phone system changed from analog to digital.
Types Of Social engineering Scams as well as exactly how To prevent Them
There are many different type of social engineering attacks — picture counting up the number of methods that exist to technique people. Still, it’s worth comprehending the most prominent scams, since you do requirement to protect yourself.
Pretexting
This type of scam includes telling somebody a lie in order to gain gain access to to privileged areas or information. Pretexting is frequently performed in the type ofScams de telefone onde um chamador reivindicará para trabalhar por algum negócio enorme, bem como precisa verificar sua identidade de alvos. Eles então vão para reunir informações como números de segurança social, nome de solteira da mãe, detalhes da conta, bem como datas de nascimento. Como o telefonema ou a circunstância é normalmente iniciado pelo engenheiro social, um ótimo método para proteger-se a partir dessa fraude é para telefonar para trás ou verificar quem eles afirmam que eles estão – utilizando informações que você reuniu sobre a empresa, bem como não fornecido por eles.
Isca
Cair drives USB cheios de malware em torno de estacionamentos, ou cavalos de madeira gigantes perto das paredes do inimigo, é tradicional isca. Este é um simples ataque com uma simples mitigação: Tenha em mente que, se algo livre, assim como fascinante apenas deitado por aí parece bem grande para ser verdade, então é mais provável.
Phishing.
O phishing é o método de envio de e-mails, posando como um serviço da web amplamente conhecido ou empresa, bem como com o objetivo de obter o destinatário abrir um documento comprometido, vá para um site envenenado ou quebrar sua própria segurança. Há algumas semanas, o próprio HackAsay [Pedro Umbelino] compôs exatamente o quão simples é explorar até mesmo a maior segurança em torno de nós (me fez) com um ataque de homografia IDN.
A maioria dos phishing é feita a nível menos avançado – normalmente um clone do site é feito, bem como e-mails são enviados dizendo vítimas para modificar sua senha. Alvos de alto valor podem ter uma experiência de phishing completamente personalizada, entendida como “phishing”, onde o scammer colocará mais esforço em um clone ou texto de e-mail, incluindo informações pessoais para que pareça mais autêntica. O phishing é normalmente simples de área – inspecione o endereço de qualquer tipo de link antes de clicar nele. Além disso, como se você for solicitado a modificar uma senha com um e-mail, feche o e-mail, bem como entrar no site com meios típicos, ignorando os links fracos inteiramente.
Ransomware.
Uma grande quantidade de ransomware é fornecida por phishing, no entanto, uma vez que houve um número crescente de casos extensivos, recebe o seu próprio tópico. No entanto, o indivíduo é enganado em executar o malware em seu computador, criptografa dados valiosos ou bloqueia o indivíduo fora do sistema, bem como exige o reembolso de voltar ao normal. Se isso ocorre ou não, após o pagamento, é o palpite de alguém.
Houve uma série de ataques de ransomware de perfil extremamente alto ultimamente, incluindo Ransomware, aleijando o NHS do Reino Unido, bem como se espalhando globalmente. Isso nunca terminará? A estratégia de mitigação mais simples contra o Ransomware, além de não clicar em links suspeitos, aplicativos ou manter seu sistema, tanto quanto a data, no primeiro lugar, é manter os backups regulares do seu sistema para garantir que, se você ficar resgatado, você ganhou Tenho que pagar. Manter backups tem outros benefícios também, é claro.
Quid pro quo.
O Scam Quid Pro Quo é verdadeiramente todos “quid”, bem como nenhum “quo”. Um fornecedor de serviços de serviço chamadas telefônicas oferecendo para reparar um bug ou eliminar malware (que não existe) por uma taxa. Um rápido navegador no YouTube aparecerá inúmeros vídeos de golpistas tentando sua sorte com adolescentes sábios. Assim como muitos contras, esta fraude pode ser evitada apenas não respondendo a ofertas fora do azul. Por outro lado, esta fraude parece bem sucedida que ainda está sendo executada. Entender sobre isso é a melhor defesa.
Tailgating.
Um método para entrar em uma área restrita que é garantida por uma porta fechada é esperar em um trabalhador ou alguém com acesso ao acesso, bem como cumpri-los. Esses ataques são normalmente destinados a empresas ou prédios de apartamentos, bem como a solução é apenas não deixar ninguém entrar com você.
Mergulhar na lixeira
Para representar um contratante legítimo, auxilia a entender os nomes das empresas incluídas, bem como até mesmo pontos de contato com dentro da empresa. Todos esses dados, bem como mais podem ser descobertos em recibos no dumpster por trás da empresa. Invista em um triturador, bem como não deixe nada a chance.
Mídia social
As pessoas compartilham uma quantidade fantástica de informações pessoais sobre mídias sociais, por isso não é surpresa que seja uma nova ferramenta para engenheiros sociais. Olhando com a conta de alguém é como olhar para um instantâneo da vida de alguém. Por que você revelaria sua casa vai estar vazia para as próximas duas semanas para realmente o mundo inteiro? Sua casa está apenas pedindo para ser bordado. Ou acredite na munição que você está fornecendo a um Phisher Spear. Acredite nos trade-offs de compartilhar informações pessoais sobre si mesmo publicamente.
Estudos de situação de engenharia social notável
Agora, vamos ver alguns exemplos dessas técnicas de engenharia social em estado selvagem.
Notícias Worldwide Telefone Hacking Scandal
Aqui no Reino Unido, houve uma grande tempestade pública quando a notícia internacional, tinha pela mídia Mogul [Rupert Murdoch], foi descoberto para utilizar a engenharia social a “hack” para os serviços de correio de correio de correio de correio de correio de correio de vozCelebridades Ominentes, políticos, Royals, bem como jornalistas. A listagem de hacking do telefone é extremamente longa. Eles freqüentemente invadiram o correio de voz por falsificando o identificador de chamadas que concedeu acesso a acesso à caixa de entrada de voz do telefone. Alguns correios de voz foram protegidos por senha com códigos de quatro dígitos que foram rapidamente adivinhados. Em outras ocasiões, eles apenas ligaram para a linha de serviço do Provedor de Telefone, bem como afirmaram que não conseguiram lembrar seu código de passagem – pretextação de baunilha simples.
Celebgate iCloud Nude fotos “hack”
[Ryan Collins] Utilizou métodos de phishing para ganhar acesso aos relatos do iCloud de Jennifer Lawrence, Kate Upton, bem como Kim Kardashian. Ele produziu notificações falsas do Google, bem como da Apple, bem como enviá-las aos endereços de e-mail de seus alvos. Na época, havia conjectura que o iCloud da Apple havia invadido uma escala enorme. Em vez disso, Collins admitiu em uma entrevista que ele utilizou métodos de phishing para ganhar acesso a seus dados pessoais de vítimas.
Para onde vamos daqui
Se quebrar o sistema de computador é tão difícil, você pode ter certeza de que os criminosos tentarão quebrar o sistema humano. Se seu telefone ligue para esta “Engenharia Social”, “Contras”, ou “Scams”, provavelmente estarão em ascensão. O melhor método para se proteger é ensinar qualquer pessoa com acesso a seus dados ou detalhes sobre exatamente como os ataques funcionam, bem como exatamente como impedi-los.
Há muitos recursos na internet que você seria útil para ajudar a proteger-se desses vetores de assalto. Proteja-se de oito ataques de engenharia social é um ótimo ponto de partida, assim como o Departamento de Segurança Interna dos EUA, também fornece informações fantásticas sobre a prevenção de hacks de engenharia social que você pode apontar as pessoas.
No final, a maioria se resume a reconhecer os padrões, além de ser cético quando você os vê. Confirme informações com outros canais, não clique cegamente links, além de ser cauteloso com quais detalhes pessoais você fornece aos solicitadores.