Social engineering of het hacken van mensen is een term die wordt gebruikt om de handeling van het bedriegen van een persoon te beschrijven door een daad van misleiding. Iemand zou bijvoorbeeld een bedrijf kunnen bellen en een werknemer laten misleiden door te denken dat ze van IT komen. Vervolgens kunnen ze de persoon vragen zijn wachtwoord te bevestigen zodat ze toegang kunnen krijgen tot het netwerk of een webpagina kunnen bezoeken, zodat ze informatie kunnen stelen.

In zijn boek, 'Ghost in the Wires: My Adventures as the World's Most Wanted Hacker', beschrijft Kevin Mitnick, een van de bekendste hackers, hoe hij sociale winst gebruikte voor ongeautoriseerde toegang tot netwerken en telefoonsystemen.

Voorbeelden van sociale netwerken

Hieronder vindt u voorbeelden van hoe iemand social engineering kan gebruiken om toegang te krijgen tot uw netwerk, om vertrouwelijke informatie te stelen of om iets gratis te krijgen.

• Medewerker - Zich voordoen als een collega die problemen heeft om toegang te krijgen tot zijn of haar account en die beveiliging, login of andere accountgegevens nodig heeft.
• Fake IT - Valse IT-ondersteuning die externe toegang tot een computer vraagt ​​vanwege een nep-probleem of beveiligingsrisico.
• Pretend Spouse - pretendeer een echtgenote te zijn die een bedrijf oproept over problemen om toegang te krijgen tot het account van zijn of haar partner en accountgegevens nodig heeft.
• Bogus student - Bogus student belt ondersteunend personeel dat aangeeft dat een website niet werkt. Wanneer een medewerker de vermeende probleempagina bezoekt, verzamelt het computer- en netwerkinformatie of probeert het die computer te infecteren met een trojan of andere malware.
• Valse klant - Nep-ontevreden klant die klagen over producten die ze niet hebben gekocht en die een terugbetaling of compensatie eisen zonder aankoopbewijs.
• Doe alsof u onderhoudsman bent - iemand drukt een beweerde badge af die het uiterlijk geeft dat hij een reparateur is die op bezoek is om een ​​computer, printer, telefoon of een ander systeem te repareren. Nadat ze toegang hebben gekregen tot het gebouw, krijgen ze toegang tot vertrouwelijke documenten of computers waarmee ze toegang tot het netwerk kunnen krijgen.
• Fake client - Een e-mail van een nepcliënt met een bedrijfsvoorstel met een bijlage die trojan of andere malware is om een ​​netwerk te infecteren en externe toegang te verlenen.

Voorkomen van aanvallen op sociale netwerken

Opleiding

Alle medewerkers, medewerkers, studenten of familieleden in hetzelfde netwerk moeten alle mogelijke bedreigingen kennen die ze kunnen tegenkomen. Het is ook belangrijk dat iemand anders die externe toegang heeft, zoals een IT-bedrijf van derden of aannemers, ook wordt opgeleid.

Veiligheids maatregelen

De meeste bedrijven hebben (of zouden moeten) een beveiligingsmaatregel hebben, zoals een code die vereist is om toegang te krijgen tot accountgegevens. Als een klant of iemand die belt en zegt dat de klant die informatie niet kan verstrekken, de accountgegevens niet telefonisch aan hem of haar mogen worden verstrekt. Het moet ook duidelijk worden gemaakt dat het verstrekken van de informatie om conflicten met de klant te voorkomen ertoe zou leiden dat de werknemer onmiddellijk zijn of haar baan verliest.

Wees altijd op uw hoede voor wat u niet kunt zien

De meeste social engineering-aanvallen zijn via de telefoon, e-mail of andere vormen van communicatie waarvoor geen communicatie van aangezicht tot aangezicht vereist is. Als je niet kunt zien met wie je praat, moet je altijd aannemen dat het mogelijk is dat de persoon met wie je praat niet is wie ze zeggen dat ze zijn.

Beveiliging of receptie

Niet alle social engineering-aanvallen gebeuren via de telefoon of internet. Een aanvaller kan het bedrijf ook bezoeken met een beweerde badge of een vorm van identificatie. Elk bedrijf moet een receptie of beveiligingsmedewerker hebben die ook op de hoogte is van alle beveiligingsrisico's en weet dat niemand kan passeren zonder de juiste autorisatie. Ze moeten zich ook realiseren dat als deze voorzorgsmaatregelen worden genegeerd (bijvoorbeeld iemand zegt dat ze hun badge zijn vergeten) dat dit ertoe zou leiden dat ze hun baan verliezen.

Het is ook een goed idee om meer gevoelige gebieden zoals een serverruimte extra beveiliging nodig te hebben, zoals een badgelezer die alleen geautoriseerde werknemers toegang tot de ruimte biedt. Medewerkers die toegang hebben tot een gebouw of een kamer met een badge, moeten zich ook realiseren dat deze personen niet tegelijkertijd met hen door de deur mogen komen.

stukje

Sommige mensen zijn niet bang om te dumpen om vertrouwelijke bedrijfsinformatie of andere informatie te vinden die hen toegang tot een netwerk zou geven. Alle papieren die uw werknemers weggooien, moeten worden vernietigd.

Bedrijfsapparatuur op de juiste manier verwijderen

Zorg ervoor dat alle apparatuur op de juiste manier wordt vernietigd of weggegooid. De meeste mensen beseffen mogelijk dat de harde schijf van een computer (zelfs wanneer gewist) gevoelige gegevens bevat die kunnen worden hersteld. Niet veel mensen weten echter dat apparaten zoals kopieerapparaten, printers en faxapparaten ook opslag bevatten en dat gevoelige gegevens ook van deze apparaten kunnen worden hersteld. Tenzij u denkt dat het veilig is dat iemand alles leest dat u ooit hebt afgedrukt, gescand of gefaxt (waarschijnlijk niet), moet u het apparaat verwijderen.

Beveiligingstermijn, schouder surfen