Η κοινωνική μηχανική ή η πειρατεία των ανθρώπων είναι ένας όρος που χρησιμοποιείται για να περιγράψει την πράξη εξαπάτησης ενός ατόμου με πράξη εξαπάτησης. Για παράδειγμα, κάποιος θα μπορούσε να καλέσει μια επιχείρηση και να ξεγελάσει έναν υπάλληλο για να σκεφτεί ότι είναι από την πληροφορική. Στη συνέχεια, θα μπορούσαν να ζητήσουν από το άτομο να επιβεβαιώσει τον κωδικό πρόσβασής του ώστε να μπορέσει να αποκτήσει πρόσβαση στο δίκτυο ή να επισκεφθεί μια ιστοσελίδα για να κλέψει τις πληροφορίες.

Στο βιβλίο του, "Ghost in the Wires: My Adventures ως ο πιο επιζητούμενος χάκερ του κόσμου", ο Kevin Mitnick, ένας από τους πιο γνωστούς hackers, περιέγραψε τον τρόπο με τον οποίο χρησιμοποίησε το κοινωνικό όφελος για την μη εξουσιοδοτημένη πρόσβαση σε δίκτυα και τηλεφωνικά συστήματα.

Παραδείγματα κοινωνικής δικτύωσης

Ακολουθούν παραδείγματα για το πώς κάποιος θα μπορούσε να χρησιμοποιήσει την κοινωνική μηχανική για να αποκτήσει πρόσβαση στο δίκτυό σας, να κλέψει εμπιστευτικές πληροφορίες ή να βρει κάτι δωρεάν.

• Συνεργάτης - Προτιμώντας ότι είναι συνάδελφος εργαζόμενος που αντιμετωπίζει προβλήματα πρόσβασης στο λογαριασμό του και χρειάζεται ασφάλεια, login ή άλλα στοιχεία λογαριασμού.
• Fake IT - Fake IT υποστήριξη που απαιτεί απομακρυσμένη πρόσβαση σε υπολογιστή εξαιτίας ενός ψεύτικου προβλήματος ή απειλής ασφάλειας.
• Προκαλέστε σύζυγο - Προσποιείτε ότι είστε σύζυγος που καλεί μια εταιρεία σχετικά με προβλήματα πρόσβασης στο λογαριασμό του / της συζύγου του και χρειάζεται λεπτομέρειες λογαριασμού.
• Φοβό φοιτητής - φοβισμένος φοιτητής καλώντας το προσωπικό υποστήριξης που δείχνει μια ιστοσελίδα δεν λειτουργεί. Όταν ένα μέλος του προσωπικού επισκέπτεται την υποτιθέμενη σελίδα προβλήματος, συγκεντρώνει πληροφορίες υπολογιστή και δικτύου ή προσπαθεί να μολύνει τον υπολογιστή με ένα trojan ή άλλο malware.
• Fake client - Fake δυσαρεστημένος πελάτης που παραπονέθηκε για προϊόντα που δεν αγόραζαν που ζητούσαν επιστροφή χρημάτων ή αποζημίωση χωρίς απόδειξη αγοράς.
• Πρόβλεψη του συνεργάτη συντήρησης - Κάποιος εκτυπώνει ένα προσποιημένο σήμα που δίνει την εμφάνιση ότι είναι επισκευαστής που επισκέπτεται για να διορθώσει έναν υπολογιστή, εκτυπωτή, τηλέφωνο ή άλλο σύστημα. Αφού αποκτήσουν πρόσβαση στο κτίριο, αποκτούν πρόσβαση σε εμπιστευτικά έγγραφα ή υπολογιστές που θα τους επέτρεπαν να έχουν πρόσβαση στο δίκτυο.
• Ψεύτικο πελάτη - Ένα μήνυμα ηλεκτρονικού ταχυδρομείου από ψεύτικο πελάτη με επιχειρηματική πρόταση με συνημμένο που είναι ένα trojan ή άλλο malware για να μολύνει ένα δίκτυο και να δώσει απομακρυσμένη πρόσβαση.

Αποτροπή επιθέσεων κοινωνικής δικτύωσης

Εκπαίδευση

Όλοι οι εργαζόμενοι, το προσωπικό, οι σπουδαστές ή τα μέλη της οικογένειας στο ίδιο δίκτυο πρέπει να γνωρίζουν όλες τις πιθανές απειλές που μπορεί να αντιμετωπίσουν. Είναι επίσης σημαντικό να εκπαιδευτεί και οποιοσδήποτε άλλος που μπορεί να έχει απομακρυσμένη πρόσβαση, όπως μια εταιρεία πληροφορικής τρίτου μέρους ή εργολάβοι.

Μέτρα ασφαλείας

Οι περισσότερες εταιρείες έχουν (ή πρέπει να έχουν) μέτρο ασφάλειας, όπως έναν κωδικό που απαιτείται για την πρόσβαση σε λεπτομέρειες λογαριασμού. Εάν ένας πελάτης ή κάποιος που καλεί λέγοντας ότι είναι ο πελάτης δεν μπορεί να παράσχει αυτές τις πληροφορίες, οι λεπτομέρειες του λογαριασμού δεν πρέπει να τους δίνονται μέσω τηλεφώνου. Θα πρέπει επίσης να καταστεί σαφές ότι η παροχή πληροφοριών για την αποφυγή συγκρούσεων με τον πελάτη θα είχε ως αποτέλεσμα να χάσει αμέσως ο υπάλληλος την εργασία του.

Να είστε πάντα προσεκτικοί σε αυτό που δεν μπορείτε να δείτε

Οι περισσότερες από τις επιθέσεις κοινωνικής μηχανικής είναι μέσω τηλεφώνου, ηλεκτρονικού ταχυδρομείου ή άλλων μορφών επικοινωνίας που δεν απαιτούν επικοινωνία πρόσωπο με πρόσωπο. Αν δεν μπορείτε να δείτε ποιον μιλάτε, θα πρέπει πάντα να υποθέσετε ότι είναι πιθανό ότι ο άνθρωπος με τον οποίο μιλάτε δεν είναι ο οποίος λέει ότι είναι.

Ασφάλεια ή ρεσεψιόν

Δεν συμβαίνουν όλες οι επιθέσεις κοινωνικής μηχανικής μέσω τηλεφώνου ή Διαδικτύου. Ένας επιτιθέμενος θα μπορούσε επίσης να επισκεφθεί την εταιρεία με ένα προσποιημένο σήμα ή μορφή αναγνώρισης. Κάθε επιχείρηση πρέπει να έχει μια ρεσεψιόν ή ένα φύλακας ασφαλείας, ο οποίος γνωρίζει επίσης όλες τις απειλές για την ασφάλεια και γνωρίζει ότι κανείς δεν μπορεί να περάσει χωρίς τη δέουσα εξουσιοδότηση. Πρέπει επίσης να συνειδητοποιήσουν ότι εάν αγνοηθούν αυτές οι προφυλάξεις (π.χ. κάποιος λέει ότι ξέχασαν το σήμα τους), θα είχε ως αποτέλεσμα να χάσουν τη δουλειά τους.

Είναι επίσης μια καλή ιδέα να έχετε πιο ευαίσθητες περιοχές, όπως αίθουσα εξυπηρετητών, να χρειάζεστε πρόσθετη ασφάλεια, όπως αναγνώστη αναγνώρισης, που επιτρέπει μόνο στους εξουσιοδοτημένους υπαλλήλους να έχουν πρόσβαση στο δωμάτιο. Επίσης, οι εργαζόμενοι που έχουν πρόσβαση σε ένα κτίριο ή ένα δωμάτιο χρησιμοποιώντας ένα σήμα πρέπει να συνειδητοποιήσουν ότι και αυτοί δεν πρέπει να επιτρέπουν σε κανέναν να έρθει από την πόρτα ταυτόχρονα με αυτούς.

Κομματάκι

Μερικοί άνθρωποι δεν φοβούνται να βουτήξουν κατάδυση για να βρουν εμπιστευτικές πληροφορίες για την εταιρεία ή άλλες πληροφορίες που θα τους επιτρέψουν την πρόσβαση σε ένα δίκτυο. Οποιεσδήποτε εργασίες που πετάνε οι υπάλληλοί σας θα πρέπει να τεμαχιστούν.

Απορρίψτε σωστά τον εξοπλισμό της εταιρείας

Βεβαιωθείτε ότι ο εξοπλισμός καταστρέφεται σωστά ή απορρίπτεται. Οι περισσότεροι άνθρωποι μπορούν να συνειδητοποιήσουν ότι ένας σκληρός δίσκος του υπολογιστή (ακόμη και όταν διαγράφεται) μπορεί να έχει ευαίσθητα δεδομένα που μπορούν να ανακτηθούν. Ωστόσο, πολλοί άνθρωποι δεν γνωρίζουν ότι συσκευές όπως οι φωτοαντιγραφικές συσκευές, οι εκτυπωτές και οι τηλεομοιοτυπικές συσκευές περιέχουν επίσης αποθηκευτικό χώρο και ότι ευαίσθητα δεδομένα μπορούν επίσης να ανακτηθούν από αυτές τις συσκευές. Εκτός αν αισθάνεστε ότι είναι ασφαλές ότι κάποιος διαβάζει ό, τι έχετε εκτυπωθεί, σαρωθεί ή αποστείλετε με φαξ (δεν είναι πιθανό) φροντίστε να απορρίψετε τη συσκευή.

Όροι ασφάλειας, surfing για ώμους