Hvad er Samfundsteknologi? 11 eksempler at holde øje med
Indholdsfortegnelse
Hvad er egentlig Social Engineering?
Social engineering refererer til handlingen med at manipulere folk til at udtrække deres fortrolige oplysninger. Den slags information, som kriminelle leder efter, kan variere. Normalt er personerne målrettet for deres bankoplysninger eller deres kontoadgangskoder. Kriminelle forsøger også at få adgang til ofrets computer, så de installerer skadelig software. Denne software hjælper dem derefter med at udtrække enhver information, de måtte have brug for.
Kriminelle bruger social engineering taktik, fordi det ofte er let at udnytte en person ved at vinde deres tillid og overbevise dem om at opgive deres personlige detaljer. Det er en mere bekvem måde end at hacke direkte ind på en andens computer uden deres viden.
Social Engineering eksempler
Du vil være i stand til at beskytte dig selv bedre ved at blive informeret om de forskellige måder, social engineering udføres på.
1. Påskud
Påskud bruges, når den kriminelle ønsker at få adgang til følsomme oplysninger fra offeret for at udføre en kritisk opgave. Angriberen forsøger at skaffe oplysningerne gennem flere omhyggeligt udformede løgne.
Forbryderen begynder med at skabe tillid til offeret. Dette kan gøres ved at udgive sig for deres venner, kolleger, bankembedsmænd, politi eller andre myndigheder, som kan bede om sådanne følsomme oplysninger. Angriberen stiller dem en række spørgsmål med påskud af at bekræfte deres identitet og indsamler personlige data i denne proces.
Denne metode bruges til at udtrække alle former for personlige og officielle detaljer fra en person. Sådanne oplysninger kan omfatte personlige adresser, personnumre, telefonnumre, telefonoptegnelser, bankoplysninger, feriedatoer for personalet, sikkerhedsoplysninger relateret til virksomheder og så videre.
2. Afledningstyveri
Dette er en form for fidus, der generelt er rettet mod kurer- og transportvirksomheder. Forbryderen forsøger at narre målvirksomheden ved at få dem til at levere deres leveringspakke til et andet leveringssted end det oprindeligt tilsigtede. Denne teknik bruges til at stjæle værdifulde varer, der bliver leveret via posten.
Denne fidus kan udføres både offline og online. Personalet, der bærer pakkerne, kan kontaktes og blive overbevist om at aflevere leveringen på et andet sted. Angribere kan også få adgang til online leveringssystemet. De kan derefter opsnappe leveringsplanen og foretage ændringer i den.
3. phishing
Phishing er en af de mest populære former for social engineering. Phishing-svindel involverer e-mail og tekstbeskeder, der kan skabe en følelse af nysgerrighed, frygt eller hastende karakter hos ofrene. Teksten eller e-mailen får dem til at klikke på links, der ville føre til ondsindede websteder eller vedhæftede filer, der ville installere malware på deres enheder.
For eksempel kan brugere af en onlinetjeneste modtage en e-mail, der hævder, at der har været en politikændring, der kræver, at de ændrer deres adgangskoder med det samme. Mailen vil indeholde et link til en ulovlig hjemmeside, der er identisk med den originale hjemmeside. Brugeren vil derefter indtaste deres kontolegitimationsoplysninger på det pågældende websted og betragter det som det legitime. Når de indsender deres oplysninger, vil oplysningerne være tilgængelige for den kriminelle.
4. Spyd-phishing
Dette er en form for phishing-svindel, der er mere målrettet mod en bestemt person eller en organisation. Angriberen tilpasser deres budskaber baseret på jobstillinger, karakteristika og kontrakter relateret til offeret, så de kan virke mere ægte. Spear phishing kræver mere indsats fra den kriminelle side og kan tage meget længere tid end almindelig phishing. De er dog sværere at identificere og har en bedre succesrate.
For eksempel vil en angriber, der forsøger at phishing på en organisation, sende en e-mail til en medarbejder, der efterligner virksomhedens it-konsulent. E-mailen bliver indrammet på en måde, der svarer nøjagtigt til, hvordan konsulenten gør det. Det vil virke autentisk nok til at bedrage modtageren. E-mailen vil bede medarbejderen om at ændre deres adgangskode ved at give dem et link til en ondsindet webside, der registrerer deres oplysninger og sender dem til angriberen.
5. Vand-Holing
Den vandhullende fidus udnytter pålidelige websteder, der regelmæssigt besøges af mange mennesker. Den kriminelle vil indsamle oplysninger om en målrettet gruppe af mennesker for at afgøre, hvilke websteder de ofte besøger. Disse websteder vil derefter blive testet for sårbarheder. Med tiden vil et eller flere medlemmer af denne gruppe blive smittet. Angriberen vil derefter være i stand til at få adgang til det sikre system for disse inficerede brugere.
Navnet kommer fra analogien af, hvordan dyr drikker vand ved at samles på deres betroede steder, når de er tørstige. De tænker ikke to gange om at tage forholdsregler. Rovdyrene er klar over dette, så de venter i nærheden, klar til at angribe dem, når deres vagt er nede. Vandhuller i det digitale landskab kan bruges til at lave nogle af de mest ødelæggende angreb på en gruppe af sårbare brugere på samme tid.
6. Lokkemad
Som det fremgår af navnet, involverer lokkemad brugen af et falsk løfte for at udløse ofrets nysgerrighed eller grådighed. Offeret bliver lokket ind i en digital fælde, der vil hjælpe forbryderen med at stjæle deres personlige oplysninger eller installere malware i deres systemer.
Lokk kan finde sted gennem både online og offline medier. Som et offline eksempel kan den kriminelle efterlade lokkemad i form af et flashdrev, der er blevet inficeret med malware på iøjnefaldende steder. Dette kan være elevatoren, badeværelset, parkeringspladsen osv. for den målrettede virksomhed. Flashdrevet vil have et autentisk udseende, hvilket vil få offeret til at tage det og indsætte det i deres arbejds- eller hjemmecomputer. Flashdrevet vil derefter automatisk eksportere malware til systemet.
Online former for lokkemad kan være i form af attraktive og lokkende reklamer, der vil tilskynde ofre til at klikke på den. Linket kan downloade ondsindede programmer, som derefter vil inficere deres computer med malware.
7. Quid Pro Quo
Et quid pro quo-angreb betyder et "noget for noget"-angreb. Det er en variation af lokketeknikken. I stedet for at lokke ofrene med løftet om en fordel, lover et quid pro quo-angreb en service, hvis en specifik handling er blevet udført. Angriberen tilbyder en falsk fordel til offeret i bytte for adgang eller information.
Den mest almindelige form for dette angreb er, når en kriminel udgiver sig for at være en it-medarbejder i en virksomhed. Forbryderen kontakter derefter virksomhedens ansatte og tilbyder dem ny software eller en systemopgradering. Medarbejderen vil derefter blive bedt om at deaktivere deres antivirussoftware eller installere skadelig software, hvis de ønsker opgraderingen.
8. Bagklap
Et tailgating-angreb kaldes også piggybacking. Det involverer den kriminelle, der søger adgang til et begrænset sted, der ikke har passende autentificeringsforanstaltninger. Den kriminelle kan få adgang ved at gå ind bag en anden person, der har fået tilladelse til at komme ind på området.
Som et eksempel kan den kriminelle udgive sig for at være en budchauffør, der har hænderne fulde af pakker. Han venter på, at en autoriseret medarbejder kommer ind af døren. Svindleren beder derefter medarbejderen om at holde døren for ham og lader ham derved få adgang uden nogen autorisation.
9. Honningfælde
Dette trick involverer den kriminelle, der udgiver sig for at være en attraktiv person online. Personen bliver venner med deres mål og forfalsker et online forhold til dem. Forbryderen udnytter derefter dette forhold til at udtrække deres ofres personlige oplysninger, låne penge fra dem eller få dem til at installere malware på deres computere.
Navnet 'honningfælde' kommer fra den gamle spiontaktik, hvor kvinder blev brugt til at angribe mænd.
10. Skurk
Rogue software kan forekomme i form af rogue anti-malware, rogue scanner, rogue scareware, anti-spyware og så videre. Denne type computermalware vildleder brugere til at betale for en simuleret eller falsk software, der lovede at fjerne malware. Rogue sikkerhedssoftware er blevet en voksende bekymring i de seneste år. En intetanende bruger kan nemt blive ofre for sådan software, som er tilgængelig i masser.
11. Malware
Formålet med et malware-angreb er at få offeret til at installere malware i deres systemer. Angriberen manipulerer menneskelige følelser for at få offeret til at tillade malware ind i deres computere. Denne teknik involverer brugen af onlinemeddelelser, tekstbeskeder, sociale medier, e-mail osv. til at sende phishing-beskeder. Disse beskeder narrer offeret til at klikke på et link, der åbner et websted, der indeholder malwaren.
Skræmmetaktikker bruges ofte til beskederne. De siger måske, at der er noget galt med din konto, og at du straks skal klikke på det angivne link for at logge ind på din konto. Linket vil derefter få dig til at downloade en fil, hvorigennem malwaren vil blive installeret på din computer.
Vær opmærksom, forbliv sikker
At holde dig selv informeret er det første skridt mod at beskytte dig selv mod sociale ingeniørangreb. Et grundlæggende tip er at ignorere alle meddelelser, der beder om din adgangskode eller økonomiske oplysninger. Du kan bruge spamfiltre, der følger med dine e-mail-tjenester til at markere sådanne e-mails. At få en pålidelig antivirussoftware vil også hjælpe med at sikre dit system yderligere.
