keresés

2017. november 24., péntek

Mi is az a social engineering?

A social engineering azt jelenti, hogy az emberi psziché sajátosságait kihasználva rávesznek valakit olyan információ kiadására vagy cselekedet végrehajtására, amit különben nem tenne. A legfontosabb tényezője a emberi befolyásolhatóság.

 

Legfontosabb jellemzői 

A social engineering (pszichológiai befolyásolás) az a fajta támadás mikor a támadó nem a technológiai sebezhetőséget használja ki egy-egy támadás során, hanem az emberi befolyásolhatóság a fő fegyvere. Tehát nem kifejezetten hackerkedésről van szó (persze kellhet hozzá egy bizonyos szintű informatikai tudás is). A social engineering az emberi tényező kihasználható tulajdonságaira, az emberi hiszékenységre építő támadási forma, olyan technikák és módszerek összessége, amely az emberek befolyásolására, manipulálására alapozva teszi lehetővé bizalmas információk megszerzését, vagy éppen egy kártékony program terjedését és működését. Két fő fajtája van:

Humán alapú: 
Az áldozat megtévesztéséhez, a ráhatáshoz nincsen szükség számítógép használatára. Az ilyen jellegű trükkökkel szemben különösen nehéz védekezni, hiszen míg a számítógép alapú támadások esetén vannak olyan biztonsági megoldások (vírusirtó, spamszűrő, stb.), addig ebben az esetben csak az áldozaton múlik, hogy bedől-e az átverésnek, vagy felismeri-e a social engineer által alkalmazott trükköt. (humán alapúról bővebben) 

IT alapú/informatikai eszközzel segített: 
Mindig valamilyen informatikai eszközön keresztül történik. Lehet: céges címről érkező és céges logoval ellátott e-mailben, csevegésben, —automatikusan kártevőt telepítő pendriveon, hamisított weboldallal, vagy közösségi oldalakon (itt az egyik legelterjedtebb). Általában valami személyes adatot akarnak kicsalni belőlünk pl.:jelszó, telefonszám, bankszámlaszám.


a social engineering folyamata






Hogyan ismerhetjük fel és védhetjük ki a támadásokat? 

ilyen típusú támadásnak van néhány közös jellemzője: 
  • Ha valaki sürgetni akar, és emiatt nyomást gyakorol ránk, hogy gyorsan hozzunk meg egy döntést, akkor legyünk óvatosak! 
  • Ha valaki olyan információt kér tőlünk, amelyhez semmi köze, vagy amit már eleve tudnia kellene. 
  • Ha valami túl szép ahhoz, hogy igaz legyen (például ingyen repülőjegy)
Amikor olyan érzésünk támad, hogy valaki éppen ilyen pszichológiai manipulációs támadást követ el ellenünk, akkor ne kommunikáljunk vele többet! Tegyük le, ha telefonon hívott, lépjünk ki a társalgásból, ha online chat-en talált meg, ha email-t küldött, akkor töröljük a számítógépünkről a levelet, ha a munkahelyünkön keresett minket, akkor feltétlenül értesítsük az ügyfélszolgálatot vagy a biztonsági csoportot.
  
Jövőbeni támadások megelőzése: 
  • Soha senkinek ne adjuk meg a jelszavunkat! Nincs olyan szervezet, amely elkérné a jelszavunkat. Ha mégis ilyen történik, akkor az egyértelműen támadás.
  • Ne osszuk meg túl sokat magunkról! Minél többet tud rólunk a támadó, annál könnyebben tud megtéveszteni, és rávenni arra, hogy azt tegyük, amit akar. Minél kevesebbet osztunk meg magunkról a közösségi oldalakon, termékértékelő weboldalakon, nyilvános fórumokon és levelezőlistákon, annál nagyobb biztonságban vagyunk.
  • Ellenőrizzük a kapcsolatot! Bármikor felhívhatnak a bankunktól, az internet- vagy mobilszolgáltatónktól vagy más szervezettől teljesen törvényes és valódi okkal. Ha kétségeink támadnak arról, hogy a hívó fél jogosult-e az adott információt megismerni, akkor kérjük el a nevét és valamilyen azonosítóját, ezután pedig biztos forrásból keressük ki az adott szervezet elérhetőségét .  



Források:
  •  biztonsagpolitika.hu
  •  securinfo.hu
  •  index.hu

Nincsenek megjegyzések:

Megjegyzés küldése