ทำความเข้าใจวิศวกรรมสังคม - การป้องกันการแฮ็กของมนุษย์

ข่าวล่าสุดชิ้นหนึ่งทำให้ฉันรู้ว่าอารมณ์และความคิดของมนุษย์สามารถ (หรือ) นำไปใช้เพื่อประโยชน์ของผู้อื่นได้อย่างไร พวกคุณเกือบทุกคนรู้จักเอ็ดเวิร์ด สโนว์เดน(Edward Snowden)ผู้แจ้งเบาะแสของNSAที่สอดแนมไปทั่วโลก สำนักข่าวรอยเตอร์รายงานว่าเขามีเจ้าหน้าที่NSA ประมาณ 20-25 รายเพื่อมอบรหัสผ่านให้กับเขาเพื่อกู้คืนข้อมูลบางส่วนที่เขารั่วไหลออกมาในภายหลัง [1] ลองนึกภาพ(Imagine)ว่าเครือข่ายองค์กรของคุณเปราะบางแค่ไหน แม้แต่ซอฟต์แวร์รักษาความปลอดภัยที่แข็งแกร่งที่สุดและดีที่สุด!

social_engineering

วิศวกรรมสังคมคืออะไร

(Human)ความอ่อนแอ ความอยากรู้อยากเห็น อารมณ์ และลักษณะอื่นๆของมนุษย์ มักถูกนำมาใช้ในการดึงข้อมูลอย่างผิดกฎหมาย ไม่ว่าจะเป็นอุตสาหกรรมใดก็ตาม อย่างไรก็ตามอุตสาหกรรมไอที(IT Industry)ได้ตั้งชื่อว่าวิศวกรรมสังคม ฉันกำหนดวิศวกรรมสังคมเป็น:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

นี่เป็นอีกบรรทัดหนึ่งจากข่าวเดียวกัน [1] ที่ฉันต้องการจะอ้างอิง – “ หน่วยงานรักษาความปลอดภัยกำลังมีช่วงเวลาที่ยากลำบากกับความคิดที่ว่าผู้ชายในห้องเล็กถัดไปอาจไม่น่าเชื่อถือ(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ” ฉันแก้ไขคำสั่งเล็กน้อยเพื่อให้เข้ากับบริบทที่นี่ คุณสามารถอ่านข่าวเต็มได้โดยใช้ลิงก์ในส่วนข้อมูลอ้างอิง(References)

กล่าวอีกนัยหนึ่ง คุณไม่สามารถควบคุมความปลอดภัยขององค์กรของคุณได้อย่างสมบูรณ์ด้วยวิศวกรรมสังคมที่พัฒนาเร็วกว่าเทคนิคในการจัดการ วิศวกรรม สังคม(Social)สามารถเป็นอะไรก็ได้ เช่น การโทรหาใครบางคนโดยบอกว่าคุณเป็นฝ่ายสนับสนุนด้านเทคนิค และขอข้อมูลรับรองการเข้าสู่ระบบจากพวกเขา คุณต้องได้รับอีเมลฟิชชิ่งเกี่ยวกับลอตเตอรี คนร่ำรวยในตะวันออกกลาง(Mid East)และแอฟริกา(Africa)ที่ต้องการพันธมิตรทางธุรกิจ และข้อเสนองานเพื่อขอรายละเอียดของคุณ

วิศวกรรมสังคมแตกต่างจากการโจมตีแบบฟิชชิงตรงที่เป็นการปฏิสัมพันธ์ระหว่างบุคคลโดยตรง อดีต (ฟิชชิ่ง) ใช้เหยื่อล่อ - นั่นคือคนที่ "ตกปลา" กำลังเสนอบางสิ่งให้คุณโดยหวังว่าคุณจะตกหลุมรัก วิศวกรรม สังคม(Social)เป็นเรื่องเกี่ยวกับการสร้างความมั่นใจให้กับพนักงานภายในมากกว่า เพื่อที่พวกเขาจะได้เปิดเผยรายละเอียดของบริษัทที่คุณต้องการ

อ่าน:(Read:) วิธีการยอดนิยม ของSocial Engineering

รู้จักเทคนิควิศวกรรมสังคม

มีจำนวนมากและทั้งหมดใช้แนวโน้มพื้นฐานของมนุษย์ในการเข้าสู่ฐานข้อมูลขององค์กรใด ๆ เทคนิควิศวกรรมโซเชียลที่ใช้บ่อยที่สุด (อาจล้าสมัย) คือการโทรและพบปะผู้คน และทำให้พวกเขาเชื่อว่าพวกเขามาจากฝ่ายสนับสนุนด้านเทคนิคที่ต้องการตรวจสอบคอมพิวเตอร์ของคุณ พวกเขายังสามารถสร้างบัตรประจำตัวปลอมเพื่อสร้างความมั่นใจ ในบางกรณี ผู้กระทำผิดเป็นเจ้าหน้าที่ของรัฐ

เทคนิคที่มีชื่อเสียงอีกอย่างหนึ่งคือการจ้างบุคคลของคุณเป็นพนักงานในองค์กรเป้าหมาย ตอนนี้ เนื่องจากคนขี้โกงคนนี้คือเพื่อนร่วมงานของคุณ คุณจึงอาจไว้วางใจเขาในเรื่องรายละเอียดบริษัท พนักงานภายนอกอาจช่วยเหลือคุณในบางสิ่ง ดังนั้นคุณจึงรู้สึกว่าถูกบังคับ และนั่นคือเวลาที่พวกเขาสามารถหาประโยชน์สูงสุดได้

ฉันยังอ่านรายงานเกี่ยวกับผู้คนที่ใช้ของขวัญอิเล็กทรอนิกส์ด้วย แท่ง USB(USB)แฟนซีที่จัดส่งถึงคุณตามที่อยู่บริษัทของคุณหรือไดรฟ์ปากกาที่วางอยู่ในรถของคุณสามารถพิสูจน์ภัยพิบัติได้ ในบางกรณี มีคนจงใจทิ้ง ไดรฟ์ USB บางตัว ไว้ในที่จอดรถเพื่อเป็นเหยื่อล่อ [2]

หากเครือข่ายบริษัทของคุณมีมาตรการรักษาความปลอดภัยที่ดีในแต่ละโหนด แสดงว่าคุณได้รับพร มิฉะนั้น โหนดเหล่านี้จะให้ช่องทางที่ง่ายสำหรับมัลแวร์ – ในของกำนัลหรือไดรฟ์ปากกาที่ "ถูกลืม" – ไปยังระบบกลาง

ด้วยเหตุนี้ เราจึงไม่สามารถจัดทำรายการวิธีวิศวกรรมทางสังคมที่ครอบคลุมได้ เป็นศาสตร์ที่เป็นแกนหลัก ประกอบกับศิลปะอยู่ด้านบน และคุณรู้ว่าทั้งสองไม่มีขอบเขต นักวิศวกรรม สังคม(Social)ยังคงสร้างสรรค์อย่างต่อเนื่องในขณะที่พัฒนาซอฟต์แวร์ที่สามารถใช้อุปกรณ์ไร้สายในทางที่ผิดเพื่อเข้าถึงWi-Fiของบริษัท

อ่าน:(Read:) มัลแว ร์ที่ออกแบบมาเพื่อสังคมคืออะไร

ป้องกันวิศวกรรมสังคม

โดยส่วนตัวแล้ว ฉันไม่คิดว่าจะมีทฤษฎีบทใดที่ผู้ดูแลระบบสามารถใช้เพื่อป้องกันการแฮ็กทางวิศวกรรมสังคม เทคนิควิศวกรรมทางสังคมยังคงเปลี่ยนแปลงอยู่เสมอ ดังนั้นจึงเป็นเรื่องยากสำหรับผู้ดูแลระบบไอทีที่จะติดตามสิ่งที่เกิดขึ้น

แน่นอนว่าจำเป็นต้องติดตามข่าวสารด้านวิศวกรรมสังคมเพื่อให้ได้รับแจ้งเพียงพอที่จะใช้มาตรการรักษาความปลอดภัยที่เหมาะสม ตัวอย่างเช่น ในกรณีของ อุปกรณ์ USBผู้ดูแลระบบสามารถบล็อก ไดรฟ์ USBในแต่ละโหนด อนุญาตเฉพาะบนเซิร์ฟเวอร์ที่มีระบบความปลอดภัยที่ดีกว่าเท่านั้น ใน ทำนองเดียวกัน(Likewise) Wi -Fi(Wi-Fi)จะต้องมีการเข้ารหัสที่ดีกว่าISP(ISPs) ในพื้นที่ส่วนใหญ่ มีให้

การฝึกอบรมพนักงานและการทดสอบแบบสุ่มในกลุ่มพนักงานต่างๆ สามารถช่วยระบุจุดอ่อนในองค์กรได้ จะเป็นการง่ายที่จะฝึกฝนและเตือนผู้ที่อ่อนแอกว่า ความตื่นตัว(Alertness)คือการป้องกันที่ดีที่สุด ความเครียดควรเป็นว่าไม่ควรแชร์ข้อมูลการเข้าสู่ระบบแม้กระทั่งกับหัวหน้าทีมโดยไม่คำนึงถึงแรงกดดัน หากหัวหน้าทีมต้องการเข้าถึงข้อมูลเข้าสู่ระบบของสมาชิก เขา/เธอสามารถใช้รหัสผ่านหลักได้ นั่นเป็นเพียงคำแนะนำเดียวในการอยู่อย่างปลอดภัยและหลีกเลี่ยงการแฮ็กด้านวิศวกรรมสังคม

สิ่งที่สำคัญที่สุดคือ นอกเหนือจากมัลแวร์และแฮกเกอร์ออนไลน์แล้ว คนไอทียังต้องดูแลวิศวกรรมสังคมด้วย ในขณะที่ระบุวิธีการของการละเมิดข้อมูล (เช่น การเขียนรหัสผ่าน ฯลฯ) ผู้ดูแลระบบควรตรวจสอบให้แน่ใจว่าพนักงานของตนฉลาดพอที่จะระบุเทคนิควิศวกรรมสังคมเพื่อหลีกเลี่ยงทั้งหมด คุณคิดว่าวิธีใดดีที่สุดในการป้องกันวิศวกรรมสังคม หากคุณพบกรณีที่น่าสนใจใด ๆ โปรดแบ่งปันกับเรา

ดาวน์โหลด ebook เกี่ยวกับSocial Engineering Attacks ที่ เผยแพร่โดย Microsoft และเรียนรู้วิธีตรวจจับและป้องกันการโจมตีดังกล่าวในองค์กรของคุณ(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

อ้างอิง(References)

[1] Reuters , Snowdenเกลี้ยกล่อมพนักงาน NSA(NSA Employees Into) ให้ ได้รับข้อมูล การเข้าสู่ระบบ(Info)

[2] Boing Net , ไดรฟ์ปากกา ที่ใช้ในการ (Pen)แพร่กระจายมัลแว(Spread Malware)ร์



About the author

ฉันเป็น windows, ios, pdf, ข้อผิดพลาด, วิศวกรแกดเจ็ตที่มีประสบการณ์มากกว่า 10 ปี ฉันได้ทำงานกับแอปพลิเคชันและเฟรมเวิร์กคุณภาพสูงของ Windows มากมาย เช่น OneDrive for Business, Office 365 และอื่นๆ งานล่าสุดของฉันได้รวมการพัฒนาโปรแกรมอ่าน pdf สำหรับแพลตฟอร์ม windows และการทำงานเพื่อทำให้ข้อความแสดงข้อผิดพลาดชัดเจนยิ่งขึ้นสำหรับผู้ใช้ นอกจากนี้ ฉันได้มีส่วนร่วมในการพัฒนาแพลตฟอร์ม ios มาสองสามปีแล้ว และคุ้นเคยกับทั้งคุณสมบัติและลักษณะเฉพาะของมันมาก



Related posts