ทำความเข้าใจวิศวกรรมสังคม - การป้องกันการแฮ็กของมนุษย์

ข่าวล่าสุดชิ้นหนึ่งทำให้ฉันรู้ว่าอารมณ์และความคิดของมนุษย์สามารถ (หรือ) นำไปใช้เพื่อประโยชน์ของผู้อื่นได้อย่างไร พวกคุณเกือบทุกคนรู้จักเอ็ดเวิร์ด สโนว์เดน(Edward Snowden)ผู้แจ้งเบาะแสของNSAที่สอดแนมไปทั่วโลก สำนักข่าวรอยเตอร์รายงานว่าเขามีเจ้าหน้าที่NSA ประมาณ 20-25 รายเพื่อมอบรหัสผ่านให้กับเขาเพื่อกู้คืนข้อมูลบางส่วนที่เขารั่วไหลออกมาในภายหลัง [1] ลองนึกภาพ(Imagine)ว่าเครือข่ายองค์กรของคุณเปราะบางแค่ไหน แม้แต่ซอฟต์แวร์รักษาความปลอดภัยที่แข็งแกร่งที่สุดและดีที่สุด!

social_engineering

วิศวกรรมสังคมคืออะไร

(Human)ความอ่อนแอ ความอยากรู้อยากเห็น อารมณ์ และลักษณะอื่นๆของมนุษย์ มักถูกนำมาใช้ในการดึงข้อมูลอย่างผิดกฎหมาย ไม่ว่าจะเป็นอุตสาหกรรมใดก็ตาม อย่างไรก็ตามอุตสาหกรรมไอที(IT Industry)ได้ตั้งชื่อว่าวิศวกรรมสังคม ฉันกำหนดวิศวกรรมสังคมเป็น:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

นี่เป็นอีกบรรทัดหนึ่งจากข่าวเดียวกัน [1] ที่ฉันต้องการจะอ้างอิง – “ หน่วยงานรักษาความปลอดภัยกำลังมีช่วงเวลาที่ยากลำบากกับความคิดที่ว่าผู้ชายในห้องเล็กถัดไปอาจไม่น่าเชื่อถือ(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ” ฉันแก้ไขคำสั่งเล็กน้อยเพื่อให้เข้ากับบริบทที่นี่ คุณสามารถอ่านข่าวเต็มได้โดยใช้ลิงก์ในส่วนข้อมูลอ้างอิง(References)

กล่าวอีกนัยหนึ่ง คุณไม่สามารถควบคุมความปลอดภัยขององค์กรของคุณได้อย่างสมบูรณ์ด้วยวิศวกรรมสังคมที่พัฒนาเร็วกว่าเทคนิคในการจัดการ วิศวกรรม สังคม(Social)สามารถเป็นอะไรก็ได้ เช่น การโทรหาใครบางคนโดยบอกว่าคุณเป็นฝ่ายสนับสนุนด้านเทคนิค และขอข้อมูลรับรองการเข้าสู่ระบบจากพวกเขา คุณต้องได้รับอีเมลฟิชชิ่งเกี่ยวกับลอตเตอรี คนร่ำรวยในตะวันออกกลาง(Mid East)และแอฟริกา(Africa)ที่ต้องการพันธมิตรทางธุรกิจ และข้อเสนองานเพื่อขอรายละเอียดของคุณ

วิศวกรรมสังคมแตกต่างจากการโจมตีแบบฟิชชิงตรงที่เป็นการปฏิสัมพันธ์ระหว่างบุคคลโดยตรง อดีต (ฟิชชิ่ง) ใช้เหยื่อล่อ - นั่นคือคนที่ "ตกปลา" กำลังเสนอบางสิ่งให้คุณโดยหวังว่าคุณจะตกหลุมรัก วิศวกรรม สังคม(Social)เป็นเรื่องเกี่ยวกับการสร้างความมั่นใจให้กับพนักงานภายในมากกว่า เพื่อที่พวกเขาจะได้เปิดเผยรายละเอียดของบริษัทที่คุณต้องการ

อ่าน:(Read:) วิธีการยอดนิยม ของSocial Engineering

รู้จักเทคนิควิศวกรรมสังคม

มีจำนวนมากและทั้งหมดใช้แนวโน้มพื้นฐานของมนุษย์ในการเข้าสู่ฐานข้อมูลขององค์กรใด ๆ เทคนิควิศวกรรมโซเชียลที่ใช้บ่อยที่สุด (อาจล้าสมัย) คือการโทรและพบปะผู้คน และทำให้พวกเขาเชื่อว่าพวกเขามาจากฝ่ายสนับสนุนด้านเทคนิคที่ต้องการตรวจสอบคอมพิวเตอร์ของคุณ พวกเขายังสามารถสร้างบัตรประจำตัวปลอมเพื่อสร้างความมั่นใจ ในบางกรณี ผู้กระทำผิดเป็นเจ้าหน้าที่ของรัฐ

เทคนิคที่มีชื่อเสียงอีกอย่างหนึ่งคือการจ้างบุคคลของคุณเป็นพนักงานในองค์กรเป้าหมาย ตอนนี้ เนื่องจากคนขี้โกงคนนี้คือเพื่อนร่วมงานของคุณ คุณจึงอาจไว้วางใจเขาในเรื่องรายละเอียดบริษัท พนักงานภายนอกอาจช่วยเหลือคุณในบางสิ่ง ดังนั้นคุณจึงรู้สึกว่าถูกบังคับ และนั่นคือเวลาที่พวกเขาสามารถหาประโยชน์สูงสุดได้

ฉันยังอ่านรายงานเกี่ยวกับผู้คนที่ใช้ของขวัญอิเล็กทรอนิกส์ด้วย แท่ง USB(USB)แฟนซีที่จัดส่งถึงคุณตามที่อยู่บริษัทของคุณหรือไดรฟ์ปากกาที่วางอยู่ในรถของคุณสามารถพิสูจน์ภัยพิบัติได้ ในบางกรณี มีคนจงใจทิ้ง ไดรฟ์ USB บางตัว ไว้ในที่จอดรถเพื่อเป็นเหยื่อล่อ [2]

หากเครือข่ายบริษัทของคุณมีมาตรการรักษาความปลอดภัยที่ดีในแต่ละโหนด แสดงว่าคุณได้รับพร มิฉะนั้น โหนดเหล่านี้จะให้ช่องทางที่ง่ายสำหรับมัลแวร์ – ในของกำนัลหรือไดรฟ์ปากกาที่ "ถูกลืม" – ไปยังระบบกลาง

ด้วยเหตุนี้ เราจึงไม่สามารถจัดทำรายการวิธีวิศวกรรมทางสังคมที่ครอบคลุมได้ เป็นศาสตร์ที่เป็นแกนหลัก ประกอบกับศิลปะอยู่ด้านบน และคุณรู้ว่าทั้งสองไม่มีขอบเขต นักวิศวกรรม สังคม(Social)ยังคงสร้างสรรค์อย่างต่อเนื่องในขณะที่พัฒนาซอฟต์แวร์ที่สามารถใช้อุปกรณ์ไร้สายในทางที่ผิดเพื่อเข้าถึงWi-Fiของบริษัท

อ่าน:(Read:) มัลแว ร์ที่ออกแบบมาเพื่อสังคมคืออะไร

ป้องกันวิศวกรรมสังคม

โดยส่วนตัวแล้ว ฉันไม่คิดว่าจะมีทฤษฎีบทใดที่ผู้ดูแลระบบสามารถใช้เพื่อป้องกันการแฮ็กทางวิศวกรรมสังคม เทคนิควิศวกรรมทางสังคมยังคงเปลี่ยนแปลงอยู่เสมอ ดังนั้นจึงเป็นเรื่องยากสำหรับผู้ดูแลระบบไอทีที่จะติดตามสิ่งที่เกิดขึ้น

แน่นอนว่าจำเป็นต้องติดตามข่าวสารด้านวิศวกรรมสังคมเพื่อให้ได้รับแจ้งเพียงพอที่จะใช้มาตรการรักษาความปลอดภัยที่เหมาะสม ตัวอย่างเช่น ในกรณีของ อุปกรณ์ USBผู้ดูแลระบบสามารถบล็อก ไดรฟ์ USBในแต่ละโหนด อนุญาตเฉพาะบนเซิร์ฟเวอร์ที่มีระบบความปลอดภัยที่ดีกว่าเท่านั้น ใน ทำนองเดียวกัน(Likewise) Wi -Fi(Wi-Fi)จะต้องมีการเข้ารหัสที่ดีกว่าISP(ISPs) ในพื้นที่ส่วนใหญ่ มีให้

การฝึกอบรมพนักงานและการทดสอบแบบสุ่มในกลุ่มพนักงานต่างๆ สามารถช่วยระบุจุดอ่อนในองค์กรได้ จะเป็นการง่ายที่จะฝึกฝนและเตือนผู้ที่อ่อนแอกว่า ความตื่นตัว(Alertness)คือการป้องกันที่ดีที่สุด ความเครียดควรเป็นว่าไม่ควรแชร์ข้อมูลการเข้าสู่ระบบแม้กระทั่งกับหัวหน้าทีมโดยไม่คำนึงถึงแรงกดดัน หากหัวหน้าทีมต้องการเข้าถึงข้อมูลเข้าสู่ระบบของสมาชิก เขา/เธอสามารถใช้รหัสผ่านหลักได้ นั่นเป็นเพียงคำแนะนำเดียวในการอยู่อย่างปลอดภัยและหลีกเลี่ยงการแฮ็กด้านวิศวกรรมสังคม

สิ่งที่สำคัญที่สุดคือ นอกเหนือจากมัลแวร์และแฮกเกอร์ออนไลน์แล้ว คนไอทียังต้องดูแลวิศวกรรมสังคมด้วย ในขณะที่ระบุวิธีการของการละเมิดข้อมูล (เช่น การเขียนรหัสผ่าน ฯลฯ) ผู้ดูแลระบบควรตรวจสอบให้แน่ใจว่าพนักงานของตนฉลาดพอที่จะระบุเทคนิควิศวกรรมสังคมเพื่อหลีกเลี่ยงทั้งหมด คุณคิดว่าวิธีใดดีที่สุดในการป้องกันวิศวกรรมสังคม หากคุณพบกรณีที่น่าสนใจใด ๆ โปรดแบ่งปันกับเรา

ดาวน์โหลด ebook เกี่ยวกับSocial Engineering Attacks ที่ เผยแพร่โดย Microsoft และเรียนรู้วิธีตรวจจับและป้องกันการโจมตีดังกล่าวในองค์กรของคุณ(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

อ้างอิง(References)

[1] Reuters , Snowdenเกลี้ยกล่อมพนักงาน NSA(NSA Employees Into) ให้ ได้รับข้อมูล การเข้าสู่ระบบ(Info)

[2] Boing Net , ไดรฟ์ปากกา ที่ใช้ในการ (Pen)แพร่กระจายมัลแว(Spread Malware)ร์



ชิษณุพงศ์ นทีพิทักษ์

About the author

ฉันเป็น windows, ios, pdf, ข้อผิดพลาด, วิศวกรแกดเจ็ตที่มีประสบการณ์มากกว่า 10 ปี ฉันได้ทำงานกับแอปพลิเคชันและเฟรมเวิร์กคุณภาพสูงของ Windows มากมาย เช่น OneDrive for Business, Office 365 และอื่นๆ งานล่าสุดของฉันได้รวมการพัฒนาโปรแกรมอ่าน pdf สำหรับแพลตฟอร์ม windows และการทำงานเพื่อทำให้ข้อความแสดงข้อผิดพลาดชัดเจนยิ่งขึ้นสำหรับผู้ใช้ นอกจากนี้ ฉันได้มีส่วนร่วมในการพัฒนาแพลตฟอร์ม ios มาสองสามปีแล้ว และคุ้นเคยกับทั้งคุณสมบัติและลักษณะเฉพาะของมันมาก


Related posts