Lifehacker יקר,
הסיסמאות שלי חזקות, אבל אם האקרים יכולים לשכנע את התמיכה הטכנית לחשוב שהם אני עם כמה פרטים שקל לגוגל, מה אני באמת יכול לעשות כדי להגן על עצמי? כמו כן, כיצד אוכל להימנע ממניפולציות שלא מדעת על ידי התקפות מסוג זה?
חָתוּם,
מודאג לגבי חסרונות
מודאגים יקרים,
אתה צודק להרגיש אי נוחות לגבי פריצות שתלויות רק בפגיעויות אנושיות - מה שנקרא פריצות להנדסה חברתית. כפי שראינו לאחרונה ממעללי אפל ואמזון שנחשפו בפריצה של Mat Honan, האקרים מיומנים יכולים לעקוף בקלות הגנות טכניות (כמו סיסמאות חזקות) ולקבל את המידע שהם רוציםרק על ידי דיבור עם אדם. אנשים הם, ללא ספק, החוליה החלשה ביותר בשרשרת של כל מערכת אבטחה.
עם זאת, כולנו יכולים לחזק את הביטחון שלנו באמצעות חינוך - הכרת סוגים נפוצים של התקפות הנדסה חברתית וביצוע אמצעי זהירות אבטחה חיוניים. בואו נסקור.
ראשית, מהי הנדסה חברתית?
הנדסה חברתית היא האמנות לתמרן אנשים לעשות דברים, במיוחד הקשורים לאבטחה - כמו מתן גישה למחשב או חשיפת מידע סודי. במקום לפרוץ לרשתות מחשבים או למערכות, מהנדסים חברתיים משתמשים בטריקים פסיכולוגיים על בני אדם.
במקרים רבים, האקרים אלה משתמשים בפיסות מידע קטנות כדי להשיג אמון או גישה כדי שיוכלו לבצע את החסרונות שלהם במלואם. הנה כמה דוגמאות:
האקר עשוי להתקשר ולומר שכרטיס האשראי שלך סומן על פעילות חריגה והבנק צריך לאמת את המידע שלך (מספר כרטיס אשראי, שם נעוריה של האם וכו') לפני הנפקת תחליף. הוא או היא יציעו את ארבע הספרות האחרונות של הכרטיס שלך ואולי את התאריך והסכום של העסקה האחרונה (דברים שניתן למצוא בקלות באשפה שלך) כדי להשיג את הביטחון שלך ולהפוך את זה לגיטימי.
חיסרון קלאסי נוסף הוא כאשר תוקף מתחזה למישהו בחברה שלך או כיועץ (למשל, תמיכה טכנית - עם תעודת זהות מפוברקת ולוח) או רשות חיצונית מהימנה אחרת כמו מבקר. עם קצת ביטחון, כל אחד יכול פשוטמאחור את דרכם לכל בניין.
האקרים אולי אפילולהתחזות לחברים שלך בפייסבוקאו קשרי מדיה חברתית אחרים ולאחר מכן לאסוף מידע מהפרופיל שלך או מהפוסטים שלך.
התקפות דיוג ואתרים סורריםשמתיימרים להיות חברות מהימנות, כולן גם נכללות בקטגוריה זו של חסרונות.
וכפי שראינו לאחרונה, האקרים יכולים להיכנס לחשבונות באמצעות נהלים רופפים של החברה הדורשים רק פיסות מידע מינימליות (למשל, כתובת חיוב ואימייל) כדי לזהות משתמשים.
הנדסה חברתית, כפי שאתה יכול לראות, מסתמכת על הפתיונות שלנו ועל כמות המידע המוגבלת שבה אנו משתמשים כדי לאמת את זהותם של אנשים.תמונה מאתג'ארד וקורין
לפני שאתה אומר שזה הגיון בריא ושלעולם לא תיפול על טריק כזה, דע את זהאפילו אנשים בעלי ידע טכנולוגי חשופים לשיתוף מידע אישי. כאשר נראה שההאקר נמצא בעמדת סמכות או פועל עבור הבוס, קשה עוד יותר לומר לא, שכןהפריצה הזו של וול-מארט מראה.
כיצד להימנע מלהיות קורבן של פריצה להנדסה חברתית
הדבר החשוב ביותר שאתה יכול לעשות כדי למנוע הנדסה חברתית בעצמך הוא לאמץ ספקנות בריאה ותמיד להיות ערני ככל האפשר. עצם היותם מודעים לטריקים נפוצים מציבה אתכם צעד אחד לפני המשחק (אבל אל תתחצקו מדי - זכרו, פקפקו בכל דבר).
לעולם אל תמסור מידע סודי כלשהו - או אפילו מידע שאינו סודי לכאורה עליך או על החברה שלך - בין אם זה בטלפון, באינטרנט או באופן אישי, אלא אם כן תוכל לאמת תחילה את זהות האדם המבקש ואת הצורך באדם זה. לקבל את המידע הזה. אתה מקבל טלפון מחברת האשראי שלך שאומר שהכרטיס שלך נפרץ? תגיד בסדר, אתה תתקשר אליהם בחזרה ותתקשר למספר בכרטיס האשראי שלך במקום לדבר עם מי שהתקשר אליך.
זכור תמיד שמחלקות IT אמיתיות והשירותים הפיננסיים שלך לעולם לא יבקשו את הסיסמה שלך או מידע סודי אחר בטלפון.
גַם,לנצל היטב את המגרסה שלךולהשליך את הנתונים הדיגיטליים שלך כראוי. כפי שראינו לאחרונה, ניתן לעקוף כמה מערכות אבטחה (גרועות) רק בעזרת המידע שנמצא על קבלה על משלוח פיצה.תמונה מאתבן בראון
תאגידים באמת צריכים להכשיר את העובדים שלהם לזהות פריצות להנדסה חברתית ולתקן את המערכות שלהם כדי למנוע פריצה קלה. להגנה משלך, זה עוזר לדעת אתיסודות של התקפות דיוג וכיצד להתגונן מפניהן.Social-Engineer.orgהוא משאב מצוין ללמוד כיצד "אומנות הפריצה האנושית" מושגת, ולפורומים AntiOnline של EnterpriseITPlanet יש הרבה יותרדוגמאות להתקפות הנדסה חברתית, כמו שעושהCSO.
צמצם למינימום את הנזק שנגרם מהתקפות מהונדסים חברתית
אתה יכול להגן על עצמך מפני פישרים, רמאים וגנבי זהות, אבל יש רק כל כך הרבה שאתה יכול לעשות אם שירות שאתה משתמש בו נפגע או שמישהו מצליח לשכנע חברה שהוא אתה. עם זאת, אתה יכול לנקוט בעצמך כמה אמצעי מניעה (חלקםהזכרנו קודםלאחר מעשי אפל ואמזון האחרונים).
הימנע מכל הביצים שלך בסל אחד (או מ"נקודת הכישלון היחידה" האימתנית): ככל שהחשבונות שלך שלובים ותלויים יותר, כך הנזק שעלול לגרום לך פרצת אבטחה נפוצה יותר - למשל, אם אתה משתמש בכתובת ה-Gmail שלך לשחזור סיסמאות של כל שירות.
השתמש בכניסות שונות עבור כל שירות ואבטח את הסיסמאות שלך: ברוח דומה,לעולם אל תשתמש באותה סיסמה יותר מפעם אחת. וודא שהסיסמאות שלך חזקות.
השתמש באימות דו-גורמי: זהמקשה על גנבים להיכנס לחשבון שלך, גם אם שם המשתמש והסיסמה שלך נפגעו
תהיו יצירתיים עם שאלות אבטחה: שאלות האבטחה הנוספות שאתרי אינטרנט מבקשים ממך למלא אמורות להיות קו הגנה נוסף, אך לעתים קרובות ניתן לנחש או לגלות את השאלות הללו בקלות (למשל, היכן נולדת). אתה יכולהעבר את האותיות בתשובתךאו השתמש במערכת הקידוד המיוחדת שלך כדי לוודא שרק אתה יודע את תשובות האבטחה הללו.
השתמש בחוכמה בכרטיסי אשראי: כרטיסי אשראי הםהדרך הבטוחה ביותר לשלם באינטרנט(טוב יותר מכרטיסי חיוב או מערכות תשלום מקוונות כמו PayPal), בגלל ההגנות החזקות שלהם. אם אתה משתמש בכרטיס חיוב והאקר מקבל גישה למספר, כל חשבון הבנק שלך עלול להתרוקן. אתה יכול לאבטח עוד יותר את כרטיס האשראי שלך על ידי אי אחסון מספרי כרטיסים באתרים אובאמצעות מספרי כרטיסים חד פעמיים או וירטואליים(מוצע על ידי Citibank, Bank of America ו-Discover).
תעקוב אחר החשבונות והנתונים האישיים שלך: כדי לשמור על גניבת זהות והונאת כרטיסי אשראי כאחד, בדוק את יתרות החשבון וציון האשראי שלך באופן קבוע. מציעים מספר שירותיםניטור גניבת תעודות זהות בחינם,ניטור אשראי, וחיובי אשראי מפוקפקים. אתה יכול אפילוהשתמש ב-Google Alerts ככלב שמירה על גניבת זהות.
הסר את המידע שלך ממאגרי מידע ציבוריים: אתרים כמו Zabasearch ו-PeopleFinders מפרסמים את המידע הפרטי שלנו (כמו כתובת ותאריך לידה) באינטרנט כדי שכולם יוכלו לראות. הסר את עצמך מהרשימות האלה עםהמשאב הזה.
גבה באופן קבוע!אין צורך בהסבר, נכון?
הצעדים הללו לא ימנעו את פגיעה בחשבונך אם ספק שירות ייפול לפריצה של הנדסה חברתית וימסור את חשבונך לתוקף, אך הם עשויים לפחות למזער את הנזק האפשרי וגם לתת לך יותר שקט נפשי. אתה עושה ככל שאתה יכול כדי להגן על עצמך.
אַהֲבָה,
Lifehacker
נ.ב. יש לך מה להוסיף? פרסם את זה למטה כדי שכולם יראו.
יש לך שאלה או הצעה עבור Ask Lifehacker? שלח את זה ל[מוגן באימייל].
