En nyhet fick mig att inse hur mänskliga känslor och tankar kan användas (eller används) till andras fördel. Nästan alla av er känner till Edward Snowden , NSA :s whistleblower som snokar världen över. Reuters rapporterade att han fick omkring 20-25 NSA- personer att lämna över sina lösenord till honom för att återställa vissa data som han läckte senare [1]. Föreställ dig^(Imagine) hur ömtåligt ditt företagsnätverk kan vara, även med den starkaste och bästa säkerhetsmjukvaran!

Vad är social ingenjörskonst

Mänsklig^(Human) svaghet, nyfikenhet, känslor och andra egenskaper har ofta använts för att extrahera data illegalt – oavsett om det är någon bransch. IT -branschen^{(IT Industry)} har dock gett den namnet social ingenjörskonst. Jag definierar social ingenjörskonst som:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Här är en annan rad från samma nyhet [1] som jag vill citera - " Säkerhetsbyråer har svårt med tanken att killen i nästa bås kanske inte är pålitlig^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} ". Jag modifierade uttalandet lite för att passa in i sammanhanget här. Du kan läsa hela nyheten via länken i avsnittet Referenser .^(References)

Med andra ord, du har inte fullständig kontroll över säkerheten i dina organisationer med social ingenjörskonst som utvecklas mycket snabbare än tekniker för att hantera det. Social ingenjörskonst kan vara något som att ringa upp någon som säger att du är teknisk support och be dem om deras inloggningsuppgifter. Du måste ha fått nätfiskemail om lotterier, rika människor i Mellanöstern^{(Mid East)} och Afrika^(Africa) som vill ha affärspartners och jobberbjudanden för att fråga dig om dina uppgifter.

Till skillnad från nätfiskeattacker är social ingenjörskonst mycket av direkt interaktion från person till person. Den förstnämnda (nätfiske) använder ett bete – det vill säga de som "fiskar" erbjuder dig något i hopp om att du kommer att falla för det. Social ingenjörskonst handlar mer om att vinna de interna anställdas förtroende så att de avslöjar de företagsuppgifter du behöver.

Läs: ^(Read:) Populära metoder för social ingenjörskonst .

Kända sociala ingenjörstekniker

Det finns många, och alla använder grundläggande mänskliga tendenser för att komma in i databasen för vilken organisation som helst. Den mest använda (förmodligen föråldrade) sociala ingenjörstekniken är att ringa och träffa människor och få dem att tro att de kommer från teknisk support som behöver kontrollera din dator. De kan också skapa falska ID-kort för att skapa förtroende. I vissa fall utger sig de skyldiga som statliga tjänstemän.

En annan känd teknik är att anställa din person som anställd i målorganisationen. Nu, eftersom det här är din kollega, kan du lita på honom med företagsinformation. Den externa medarbetaren kanske hjälper dig med något, så att du känner dig skyldig, och det är då de kan göra det maximala.

Jag läste också några rapporter om människor som använder elektroniska presenter. Ett snyggt USB- minne som levereras till dig på din företagsadress eller en penna som ligger i din bil kan bevisa katastrofer. I ett fall lämnade någon några USB- enheter medvetet på parkeringen som beten [2].

Om ditt företagsnätverk har bra säkerhetsåtgärder vid varje nod är du välsignad. Annars ger dessa noder en enkel passage för skadlig programvara – i den gåvan eller ”glömda” pennenheter – till de centrala systemen.

Som sådan kan vi inte tillhandahålla en heltäckande lista över sociala ingenjörsmetoder. Det är en vetenskap i grunden, kombinerat med konst på toppen. Och du vet att ingen av dem har några gränser. Socialingenjörkillar^(Social) fortsätter att bli kreativa samtidigt som de utvecklar mjukvara som också kan missbruka trådlösa enheter för att få tillgång till företagets Wi-Fi .

Läs: ^(Read:) Vad är Socially Engineered Malware .

Förhindra social ingenjörskonst

Personligen tror jag inte att det finns något teorem som administratörer kan använda för att förhindra social ingenjörshack. Den sociala ingenjörstekniken håller på att förändras, och därför blir det svårt för IT-administratörer att hålla reda på vad som händer.

Naturligtvis finns det ett behov av att hålla koll på nyheter om social ingenjörskonst så att man är tillräckligt informerad för att vidta lämpliga säkerhetsåtgärder. Till exempel, i fallet med USB- enheter, kan administratörer blockera USB- enheter på enskilda noder och tillåter dem endast på servern som har ett bättre säkerhetssystem. På samma sätt^(Likewise) skulle Wi-Fi behöva bättre kryptering än vad de flesta lokala internetleverantörer^(ISPs) tillhandahåller.

Att utbilda anställda och genomföra stickprov på olika medarbetargrupper kan hjälpa till att identifiera svaga punkter i organisationen. Det skulle vara lätt att träna och varna de svagare individerna. Vakenhet^(Alertness) är det bästa försvaret. Stressen bör vara att inloggningsinformation inte ska delas ens med teamledarna – oavsett trycket. Om en gruppledare behöver komma åt en medlems inloggning kan han/hon använda ett huvudlösenord. Det är bara ett förslag för att förbli säker och undvika hacking av social ingenjörskonst.

Summan av kardemumman är, förutom skadlig programvara och onlinehacker, måste IT-folket också ta hand om social ingenjörskonst. Samtidigt som administratörerna identifierar metoder för dataintrång (som att skriva ner lösenord etc.), bör administratörerna också se till att deras personal är smart nog att identifiera en social ingenjörsteknik för att undvika det helt och hållet. Vilka tycker du är de bästa metoderna för att förebygga social ingenjörskonst? Om du har stött på något intressant fall, dela gärna med dig.

Ladda ner den här e-boken om Social Engineering Attacks släppt av Microsoft och lär dig hur du kan upptäcka och förhindra sådana attacker i din organisation.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Referenser^(References)

[1] Reuters , Snowden övertalade NSA-anställda att få ^{(NSA Employees Into)}deras^(Info) inloggningsinformation

[2] Boing Net , Pen Drives som används för att sprida skadlig programvara^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent news made me realize how human emоtions and thoughts can be (оr, are) used for others’ benefit. Αlmost evеry one of you knows Edward Snowden, the whistleblower of NSA snooping the world over. Reuters reported that he got around 20-25 NSA people to hand over their рasswords to hіm for recovering some data he leaked later [1]. Imagine how fragile your corporate network can be, even with the strоngest and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Beroende på Internet och sociala nätverkssajter

• Fake News-webbplatser: Ett växande problem och vad det betyder i dagens värld

• Hur man ställer in, spelar in, redigerar, publicerar Instagram-rullar

• Hur man aktiverar tvåfaktorsautentisering för Reddit-konto

• Anslut till Windows Club

• Hur man blir en influencer på Instagram

• Återkalla tredjepartsåtkomst från Facebook, Google, Microsoft, Twitter

• Hur man stänger av, slår på ljudet och begränsar Instagram-användare på Windows PC

• Hur man lägger till musik, effekter, förbättringar till Instagram-rullar

• Hur man ansluter Instagram och WhatsApp till Facebook-sidan

• Hur man använder Instagram-rullar för att skapa eller visa videor

• Bästa gratis Canva-mallar för Instagram

• Hur söker du efter meddelanden på Instagram?

• Hur man gör Instagram-karusell i Photoshop: Nybörjarvänlig handledning

• Hur man laddar ner Instagram-data med hjälp av Instagram Data Export Tool

• 5 bästa Facebook-alternativ du vill kolla in

• UniShare låter dig dela på Facebook, Twitter och LinkedIn samtidigt

• 10 Instagram tips och tricks du behöver veta

• Blockera Instagram-annonser och sponsrat innehåll med Filtergram

• Hur man får Instagram eller Snapchat på en Windows-dator