מדוע הנדסה חברתית צריכה להיות הדאגה הביטחונית הגדולה ביותר שלך

כולנו יודעים את היסודות-סיסמאות חזקות,אימות דו-גורמי, וכן הלאה. עם זאת, הפרות האבטחה והפרטיות האחרונות היו קשורות פחות לסיסמאות רעות ויותר להנדסה חברתית. בואו נסתכל מה זה, למה זה יכול לקרות בלי שתדעו, ואיך אתם יכולים להגן על עצמכם.

איך עובדת הנדסה חברתית (ומדוע ייתכן שלעולם לא תדע שאתה יעד)

למהדרין,הנדסה חברתיתהיא טכניקה לעקוף מערכות אבטחה - או כל סוג של מערכת - לא על ידי פריצתה או ניצול נקודות תורפה במערכת עצמה, אלא ניצול נקודות תורפה של בני האדם סביב המערכת. במקום לפרוץ או לפצח סיסמה, אתה משכנע סוכן תמיכה טכנית לאפס את הסיסמה ולתת לך אותה, למשל, או שאתה מרמה מערכת לחשוב שאתה משתמש מורשה באמצעים הגיוניים תוך שימוש במידע שברשותך. .

למעשה הראינו לך כמה דוגמאות לכך בעבר. כשדיברנו עלאיך לשכנע מישהו שאתה עובד בבניין שלו, מבחינה טכנית זו הנדסה חברתית (למרות שזה היה בעיקר למטרה טובה.)להיכנס למסיבות ולמועדונים ללא הזמנה? אותה עסקה.

בליבה, הנדסה חברתית היא צורה חיונית של פריצה - היא פועלת סביב או מחוץ למערכות קיימות כדי להשיג תוצאה רצויה. ובדיוק כפי שניתן להשתמש בו לכיף תמים, הוא יכול לשמש גם לגניבת זהויות, פגיעה בפרטיות של אנשים וגרימת נזק חמור. פשוט תשאלמת חונן, שזהותו נגנבה לפני כמה שניםהודות להנדסה חברתית חכמה קטנה של נציגי תמיכה באפל ובאמזון. עכשיו, אנחנו רואים את זה שוב, לא הודות לתמונות המפורסמות שדלפו ואורבות ברחבי האינטרנט, שהושגו על ידי הנדסה חברתית, לא פיצוח כוח גס או אבטחה מרושלת. במקרה זה, ככל הנראה, הפולשים השתמשו במידע ידוע כדי להביס הנחיות אבטחה, לאפס סיסמאות ולהשיג גישה למידע מאובטח אחרת. והחלק הכי מעניין (והמפחיד) הוא שהסוג הזה של הנדסה חברתית קל יחסית בהתחשב במעט מחקר על היעד שלך.

רוב האנשים חושבים שהנדסה חברתית כרוכה בהנדסתיַעַד, ולשכנע אותם לוותר על מידע שימושי. זו דרך אחת לעשות את זה, אבל זו לא הדרך היחידה. למעשה, השיטות המוצלחות ביותר כוללות לעולם לא להודיע ​​למטרה שלך עד שיהיה מאוחר מדי. אל תבינו אותנו לא נכון, האקרים וגנבי נתונים עדיין מתעניינים בסיסמאות שלכם, רק שכדי להגיע לנתונים שלכם, יש דרכים הרבה יותר יעילות לעשות זאת מאשר לנסות לאלץ את חשבון הגוגל שלכם בכוח.

מדוע כדאי לשים לב להתקפות הנדסה חברתית

כמו שהזכרנו לעיל, סיסמאות הן פס. בטח כבר קראתאינספור שלנו מדריכים ל אבטחת סיסמאות. אתה יודעאפשר אימות דו-גורמי בכל מקום אפשרי(לְרַבּוֹתלינקדאין). אתה מכיר אותךצריך להשתמש במנהל סיסמאות,לדעת לבדוק את הסיסמאות שלך, ודע שמנהלי סיסמאות הם עדיין האפשרות הטובה ביותר שלךגם אם נראה שהם נקודת כישלון אחת. אם אתה מהסוג שיוצר סיסמה "סיסמה" או "123456", אז אתה יודע מי אתה, ואתה יודע שאתה צריך לעשות יותר טוב, אבל מסיבה זו או אחרת, לא עשית זאת.

אבטחת סיסמאות ואימות דו-גורמי הוכנסו כמעט לכולנו. יש עוד הרבה אנשים שצריכים לעלות על הסיפון, מה שבטוח, אבל זה שטח מכוסה. בנוסף, למרות שקל יותר להשיג ולפצוח סיסמאות מאי פעם, רוב ההאקרים כבר לא מעוניינים רק בסיסמאות. לִזכּוֹריותר ממיליארד הסיסמאות שחבורה רוסית אספה בחודש שעבר? רוב הזהויות האלה משמשות לספאם, אם בכלל נעשה בהן שימוש. הסיבה לכך היא שזהויות - שמות משתמש וסיסמאות של חשבונות - טובים רק כמו המידע שהם מאחסנים או שיש להם גישה אליו, ורוב ההאקרים הזדוניים מחפשים מטרות עם מידע בעל ערך שהם יכולים להשתמש, לנצל או למכור.

בחירת יעד בעל ערך גבוה ושימוש בשיטות מתקדמות יותר כדי לקבל את הנתונים שלהם הם ניצול טוב יותר של זמנו של פולש. בהתחשב בכמה זה עובד וכמה זה קל, זה הופך את כולנו למטרות. האשליה שלג'ו הממוצע "אין שום דבר בעל ערך" פוחתת במהירות ככל שנעשה קל יותר ויותר להשתמש בכלים אוטומטיים ובהנדסה חברתית כדי לקבל גישה לנתונים שלך.

כיצד להגן על עצמך מפני התקפות הנדסה חברתית

אם עדיין לא קבענו כמה קל להשתמש בהנדסה חברתית כדי להשיג מידע,הקטע הזה ב"וושינגטון פוסט" מסבירכמה קל לפרוץ לשאלות האבטחה של iCloud של מישהו - וסביר להניח שכמה (אך לא כולן) מהתמונות של הסלבריטאים הנ"ל הושגו. באופן דומה,דיוויד פוג פרסם את הביקורת שלו ב-Yahoo, שם הוא גם הכחיש כמה תגובות נפוצות לכל הפרשה. אז, מלבד ללמד אנשים לא להיות טמבלים איומים שמפרים אחד את הפרטיות של זה וחושפים מידע אישי ופרטי לעולם, מה אנחנו יכולים לעשות כדי להגן על עצמנו מפני התקפות הנדסה חברתית?

• ברור, לעולם אל תמסור מידע סודי. נכנסנו לזהבפירוט במדריך הישן שלנו להתקפות הנדסה חברתית. בעוד שהפוסט התמקד בהגנה על עצמך מפניבהנדסה, זה תקף גם כאן. האקר זדוני נוטה פחות בימינו להתחזות לחבר שלך בפייסבוק (אם כי בכנות,אתה באמת לא צריך לחבר מישהו ששולח לך בקשה) או להתקשר אליך מעמיד פנים שאתה מהבנק שלך, אבל זה לא אומר שאתה יכול לזרוק מידע שהם יכולים ליירט ולהשתמש בהם כדי להתקשר לבנק שלך מעמיד פנים שאתה אתה.

• הגן אפילו על מידע חסר משמעות על עצמך. שאלות אבטחה במיוחד הן בדרך כלל קלות להביס כי הן פגומות מבחינה מערכתית. משתמשים ירצו לבחור שאלות שקל לזכור עליהן תשובות, אבל זה אומר בדרך כלל שהם בוחרים את השאלות שהפולש הכי קל לפענח, כמו "איפה נולדת?" או "באיזו עיר למדת בתיכון?" אם אתה צריך להשתמש בשאלות אבטחה, היזהר מאוד עם המידע שהם מבקשים, והשתמש בשאלות המעורפלות והניואנסיות ביותר שיש. אתה תמיד יכול לרשום הערה מאובטחת במנהל הסיסמאות שלך או קובץ טקסט מוצפן עם התשובות אם אתה חושש שתשכח אותן.

• שקר לשאלות אבטחה וזכור את השקרים שלך. אתה יכול פשוט לשקר על הסף ולומר שנולדת בסינסינטי כשנולדת בעצם בליטל רוק, אבל תצטרך לזכור את השקר הזה. לחילופין, אתה יכולתמציא את השאלות שלך והשתמש בתשובות האלה במקום, אז כששואלים אותך "מה השם הפרטי של החבר הכי טוב שלך", רשום את שם חיית המחמד שלך במקום זאת. שוב, זה קשה יותר על הזיכרון שלך, אבל זה הרבה יותר בטוח, וסביר להניח שלא יובס על ידי פולש שמבוסס על היושר שלך.

• הצג כל אימייל לאיפוס סיסמה בספקנות. אפילו אלה שאומרים דברים כמו "אם לא ביקשת את זה, אתה לא צריך לעשות כלום". מצאתי אנשים שפוגעים בחשבונות ישנים שהיו לי בעבר עם בקשות לאיפוס סיסמה לא בגלל שהם חושבים שהחשבון שלי הוא שלהם, אלא בתקווה שהם יקבלו סוג אחר של הנחיה בסופו של דבר כדי שיוכלו לחטוף את החשבון. הם יודעים שאני מקבל הודעה בכל פעם שהם מנסים לאפס את הסיסמה, אבל הם מהמרים שאני לא אעשה כלום. צור קשר עם התמיכה עבור השירות המדובר והודיע ​​להם. השירותים הטובים ביותר יכולים להקפיא בקשות איפוס עבור החשבון שלך, או ישלחו אותך לצוות ההתעללות או האבטחה שלהם שיוכל לחקור את מקור המתקפה.

• צפה בחשבונות ובפעילות החשבון שלך. זה באותו אופן כמו מעקב אחר בקשות סיסמה, אבל אין שום דבר רע בבדיקהמרכז השליטה של ​​Google שלךכדי לראות מה מחובר לחשבון שלך והיכן אתה מחובר (אתה יכול אפילו לקבל תזכורות חודשיות כדי לבדוק את הפעילות שלך.) עשה את אותו הדבר עם כל החשבונות הרגישים שלך - לכל שירות אחסון בענן, רשת חברתית וספק דוא"ל יש כמה לוח מחוונים שבו אתה יכול לראות היכן אתה מחובר ואילו אפליקציות או כלים מחוברים. צפה גם בחשבונות הפיננסיים שלך - אתה יכול להיכנס אליהם בנפרד או להשתמש בשירות כמומנטה אוהון אישיכדי לקבל מבט ממעוף הציפור על הכל. לגבי האשראי שלך,הראינו לך איך לנטר את זה בחינם בעצמךגַם כֵּן.

• גיוון סיסמאות, שירותים קריטיים ושאלות אבטחה. זה צריך להיות ידוע, אבל ברור שזה לא: אל תשתמש באותה סיסמה בכל מקום, ואל תשתמש באותן שאלות אבטחה בכל מקום שהן מוצעות. למרבה הצער, רוב הבנקים וחשבונות שירותי הענן ממחזרים שוב ושוב את אותו בנק של שאלות אבטחה נפוצות, וזה יכול להיות מפתה לקבל חמישה שירותים עם "מה שם הנעורים של אמא שלך" בתור שאלת האבטחה. אל תעשה את זה - מעבר לעובדה שקל להפליא לגלות את שם הנעורים של אמך באמצעות מידע ציבורי, זה גרוע בדיוק כמו להשתמש באותה סיסמה בכל מקום. באופן דומה, גיוון את שירותי האחסון בענן, שירותי הדואר האלקטרוני ואפליקציות ושירותי אינטרנט קריטיים אחרים. אל תיתן לפרוץ אחד, אם זה יקרה לך אי פעם, לסגור את כל חייך המקוונים. אתה רוצה להיות מסוגל לבודד פריצה במהירות ולקבל כלים להגיב אליה אם כן.

לטיפים נוספים, כיסינו רבות מההצעות הללו (ועוד כמה) בהמדריכים הקודמים שלנו להגנה על עצמך מפני הנדסה חברתית, כמו גם איךהגן על עצמך מפני הונאה וגניבת זהות באינטרנטובמצב לא מקוון.

שימו עין. הנדסה חברתית וסוג זה של פריצה "רכה" אינה חדשה במיוחד, אבל היא גוברת בפופולריות גם בקרב האקרים לא מאומנים ולא מתוחכמים, בעיקר בגלל שזה קל לביצוע, יכול לצבור המון מידע, וכמובן, המערכות האנושיות הטכנולוגיה שלנו היא כמעט תמיד החוליה החלשה ביותר בשרשרת האבטחה. קצת תשומת לב לפרטים וערנות עושים דרך ארוכה.

תמונת כותרת נוצרה באמצעותvs148(Shutterstock) וסטודיו B(שטרסטוק). סרטון מהאקרים. תמונות נוספות מאתפרספקסיס תמונותוקורי דוקטורו.