Nedavna vijest natjerala me da shvatim kako se ljudske emocije i misli mogu (ili se) upotrijebiti za dobrobit drugih. Gotovo svatko od vas poznaje Edwarda Snowdena^{(Edward Snowden)} , zviždača NSA -e koji njuška po cijelom svijetu. Reuters je izvijestio da je dobio oko 20-25 ljudi iz NSA da mu predaju svoje lozinke za oporavak nekih podataka koje je kasnije procurio [1]. Zamislite^(Imagine) koliko vaša korporativna mreža može biti krhka, čak i uz najjači i najbolji sigurnosni softver!

Što je društveni inženjering

Ljudska^(Human) slabost, radoznalost, emocije i druge karakteristike često su korištene u ilegalnom vađenju podataka – bilo da se radi o bilo kojoj industriji. IT industrija^{(IT Industry)} joj je , međutim, dala naziv društveni inženjering. Socijalni inženjering definiram kao:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Evo još jednog retka iz iste vijesti [1] koji želim citirati – „ Sigurnosne agencije muče muku s idejom da tip u susjednom ormaru možda nije pouzdan^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} “. Malo sam izmijenio izjavu da je uklopi u kontekst ovdje. Cijelu vijest možete pročitati putem poveznice u odjeljku Reference^(References) .

Drugim riječima, nemate potpunu kontrolu nad sigurnošću svojih organizacija s društvenim inženjeringom koji se razvija mnogo brže od tehnika za suočavanje s njim. Društveni^(Social) inženjering može biti bilo što kao da nazovete nekoga i kažete da ste tehnička podrška i zamolite ga za njihove vjerodajnice za prijavu. Sigurno ste primali phishing e-poruke o lutriji, bogatim ljudima na Bliskom istoku^{(Mid East)} i Africi^(Africa) koji žele poslovne partnere i ponudama za posao da vas pitaju za vaše podatke.

Za razliku od phishing napada, društveni inženjering je u velikoj mjeri izravna interakcija osoba-osoba. Prvi (phishing) koristi mamac – to jest, ljudi koji “pecaju” vam nude nešto u nadi da ćete nasjesti na to. Društveni^(Social) inženjering je više o pridobivanju povjerenja internih zaposlenika kako bi oni otkrili detalje tvrtke koje su vam potrebne.

Pročitajte: ^(Read:) Popularne metode društvenog inženjeringa .

Poznate tehnike društvenog inženjeringa

Ima ih mnogo, a svi koriste osnovne ljudske sklonosti za ulazak u bazu podataka bilo koje organizacije. Najviše korištena (vjerojatno zastarjela) tehnika društvenog inženjeringa je nazvati i upoznati ljude i navesti ih da povjeruju da su iz tehničke podrške koji trebaju provjeriti vaše računalo. Oni također mogu izraditi lažne osobne iskaznice kako bi uspostavili povjerenje. U nekim slučajevima krivci se predstavljaju kao državni dužnosnici.

Još jedna poznata tehnika je zaposliti svoju osobu kao zaposlenika u ciljnoj organizaciji. Budući da je ovaj prevarant vaš kolega, mogli biste mu povjeriti podatke o tvrtki. Vanjski djelatnik bi vam mogao pomoći u nečemu, pa se osjećate dužnim, a tada mogu izvući maksimum.

Pročitao sam i izvješća o ljudima koji koriste elektroničke darove. Otmjeni USB stick koji vam je isporučen na adresu vaše tvrtke ili olovka koja leži u vašem automobilu može dokazati katastrofu. U slučaju da je netko namjerno ostavio neke USB diskove na parkiralištu kao mamce [2].

Ako mreža vaše tvrtke ima dobre sigurnosne mjere na svakom čvoru, blagoslovljeni ste. Inače, ti čvorovi omogućuju lak prolaz zlonamjernom softveru - u tom poklonu ili "zaboravljenim" pogonima olovke - do središnjih sustava.

Kao takvi ne možemo dati opsežan popis metoda društvenog inženjeringa. To je znanost u srži, u kombinaciji s umjetnošću na vrhu. I znate da ni jedno ni drugo nema granice. Dečki iz društvenog^(Social) inženjeringa nastavljaju biti kreativni dok razvijaju softver koji također može zloupotrijebiti bežične uređaje dobivajući pristup Wi-Fi-ju^(Wi-Fi) tvrtke .

Pročitajte: ^(Read:) Što je zlonamjerni softver društvenog inženjeringa .

Spriječiti društveni inženjering

Osobno ne mislim da postoji nikakva teorema koju administratori mogu upotrijebiti kako bi spriječili hakove društvenog inženjeringa. Tehnike društvenog inženjeringa nastavljaju se mijenjati i stoga IT administratorima postaje teško pratiti što se događa.

Naravno, potrebno je pratiti vijesti iz socijalnog inženjeringa kako bi netko bio dovoljno informiran da poduzme odgovarajuće sigurnosne mjere. Na primjer, u slučaju USB uređaja, administratori mogu blokirati USB pogone na pojedinačnim čvorovima dopuštajući im samo na poslužitelju koji ima bolji sigurnosni sustav. Isto tako^(Likewise) , Wi-Fi bi trebao bolju enkripciju od većine lokalnih ISP-ova^(ISPs) .

Obuka zaposlenika i provođenje nasumičnih testova na različitim skupinama zaposlenika mogu pomoći u prepoznavanju slabih točaka u organizaciji. Bilo bi lako trenirati i upozoravati slabije pojedince. Budnost^(Alertness) je najbolja obrana. Treba naglasiti da se podaci za prijavu ne smiju dijeliti čak ni s vođama timova – bez obzira na pritisak. Ako vođa tima treba pristupiti prijavi člana, može koristiti glavnu lozinku. To je samo jedan od prijedloga da ostanete sigurni i izbjegavate hakove društvenog inženjeringa.

Zaključak je, osim zlonamjernog softvera i online hakera, IT ljudi moraju voditi računa i o društvenom inženjeringu. Dok identificiraju metode povrede podataka (kao što je zapisivanje lozinki itd.), administratori bi također trebali osigurati da je njihovo osoblje dovoljno pametno da identificira tehniku ​​društvenog inženjeringa kako bi je u potpunosti izbjeglo. Koje su po vama najbolje metode za sprječavanje društvenog inženjeringa? Ako ste naišli na neki zanimljiv slučaj, podijelite s nama.

Preuzmite ovu e-knjigu o napadima društvenog inženjeringa koju je izdao Microsoft i saznajte kako možete otkriti i spriječiti takve napade u svojoj organizaciji.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Reference^(References)

[1] Reuters , Snowden nagovorili su zaposlenike NSA-e da ^{(NSA Employees Into)}dobiju^(Info) svoje podatke za prijavu

[2] Boing Net , Pen Drives koji se koriste za širenje zlonamjernog softvera^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent news made me realize how human emotions and thoughts can be (or, are) used for others’ benefit. Almost every one of you knows Edward Snowden, the whistleblower of NSA snooping the world оver. Reuters reported that he got around 20-25 NSA people to hand over their passwords to him for recovering some data he leaked later [1]. Іmagine how fragile yoυr corporаte network can be, evеn with the strоngеst and best of ѕecurity software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Ovisnost o internetu i društvenim mrežama

• Web stranice lažnih vijesti: rastući problem i što to znači u današnjem svijetu

• Kako postaviti, snimiti, urediti, objaviti Instagram Reels

• Kako omogućiti dvofaktornu autentifikaciju za Reddit račun

• Povežite se s Windows Clubom

• Kako koristiti Facebook da postanete utjecajni na društvenim mrežama

• Kako postati Influencer na Twitteru

• Kako stvoriti grupu u Telegramu i koristiti značajku glasovnog chata

• Što učiniti kada je Facebook račun hakiran?

• Decentralizirane društvene mreže temeljene na Blockchainu gdje posjedujete svoje podatke

• Kako trajno izbrisati ili privremeno onemogućiti Instagram račun

• Kako trajno deaktivirati Reddit račun na računalu

• 5 najboljih aplikacija za društvene mreže za Windows 10 dostupnih u Microsoft Storeu

• Pronađite najbolje postove i preporuke na Redditu pomoću ovih alata

• 5 najboljih Facebook alternativa koje želite provjeriti

• Kako postati Pinterest Influencer

• Kako pretraživati ​​Reddit na najučinkovitiji način

• Kako dodati glazbu, efekte, poboljšanja na Instagram reels

• 10 Reddit savjeta i trikova koji će vam pomoći da postanete vrhunski Redditor

• 10 Instagram savjeta i trikova koje trebate znati