שונות

6 מהתקפות הסייבר הנפוצות ביותר בהנדסה חברתית

6 מהתקפות הסייבר הנפוצות ביותר בהנדסה חברתית

התקפות הנדסה חברתית יכולות להיות משכנעות מאוד ועלולות מאוד להיות יקרות לקורבנות. מהנדסים חברתיים ישתמשו במגוון טכניקות כדי לקצור מידע רגיש מקרבנות לטובת מסחרי או אחר שלהם.

כאן אנו בוחנים מה עושים מהנדסים חברתיים ומדגישים שש אסטרטגיות נפוצות שהם משתמשים.

קשורים: כיצד להגן על עצמך מלהפוך לקורבן של סיברסטקינג

מהי הנדסה חברתית סייבר?

הנדסה חברתית, אם אינכם מודעים לכך, היא שימוש בטכניקות פסיכולוגיות שונות כדי להונות או לאסוף מידע רגיש מאדם או ארגון.

בהקשר של מאמר זה, המונח הנדסה חברתית משמש בהתייחס לאבטחת מידע ולא לאסטרטגיות מתוכננות מרכזיות המשמשות לעידוד, אם כי בדרך כלל כוח, שינוי חברתי להסדרת התפתחות והתנהגות עתידית בחברה.

"[השימוש] בהונאה כדי לתמרן אנשים להפיץ מידע חסוי או אישי העשוי לשמש למטרות מרמה." - Lexico.com.

זהו מונח רחב מאוד וכולל מגוון פעילויות זדוניות המשתמשות באינטראקציות אנושיות כדי להשיג נתונים לתועלת מסחרית או אחרת.

מהן כמה דוגמאות להתקפות הנדסה חברתית?

להלן שש דוגמאות להתקפות הנדסיות חברתיות נפוצות. הדוגמאות הבאות אינן בסדר מסוים והן רחוקות ממצות.

1. פישינג היא אסטרטגיה נפוצה מאוד

התחזות היא אחת הצורות הנפוצות ביותר של מתקפות סייבר בהנדסה חברתית, אם לא. על פי אתרים כמו lifewire.com, זה למעשה מהווה כמות נכבדה מכל דואר הזבל שאנשים מקבלים על בסיס יומי.

אך ניתן לנסות זאת גם באמצעות SMS, צ'אט וצורות אחרות של אינטראקציה במדיה החברתית.

צורות אלה של הודעות מנסות להונות אותך לחשוף מידע רגיש כמו סיסמאות, פרטי כרטיס וכו ', ישירות או לבקר בכתובת אתר מרמה כדי לחלץ מידע דומה.

הסוגים המתקדמים ביותר של סוג זה של התקפת הנדסה חברתית מנסים לחקות מוסד מכובד ואמין כמו הבנק שלך וכו '. הם גם ינסו להחדיר לך תחושת דחיפות לפעול, בדרך כלל כדי להימנע מצורה כלשהי של פעולה לא רצויה (בסדר, וכו.).

2. התקפות חורי השקיה הן סוג נפוץ של ריגול סייבר

התקפות חורי השקיה מורכבות מאנשים זדוניים שמזריקים קוד זדוני לאתרים ציבוריים כדי לתקוף משתמשים רגילים.

"בהתקפה זו, התוקף מנחש או מתבונן באילו אתרים [קבוצת יעד] משתמשים ולעתים קרובות מדביקים תוכנה זדונית באחד או יותר מהם. בסופו של דבר, חבר בקבוצה הממוקדת נדבק", על פי ויקיפדיה.

כאשר משתמשים מבקרים באתר, האתר המורכב פותח סוס טרויאני למחשב של המשתמש. שיטת ההתקפה של חור השקיה נפוצה מאוד עבור פעולות ריגול סייבר או התקפות בחסות המדינה.

3. זנב זנב יכול להיות בעיה אמיתית

Tailgating, כפי שהשם מרמז, הוא סוג של התקפה של הנדסה חברתית המשמשת להענקת גישה פיזית לאדם זדוני לאזור ללא אישור מתאים. בצורות הבסיסיות ביותר שלהם, תוקף ימתין לאדם מורשה להשתמש בכרטיס הגישה שלו או בתעודות הביומטריות כדי לפתוח דלת גישה אלקטרונית.

לאחר מכן הם פשוט יעברו דרך הדלת לפני שהיא תיסגר.

גרסאות מתקדמות יותר כוללות שימוש בנגינה על נדיבות של מישהו. לדוגמה, הם עשויים להכביד יתר על המידה בחפצים כבדים ולהמתין ליד דלת הגישה.

כאשר עובד מורשה מתקרב, הם יטענו שהם לא יכולים להגיע לכרטיס הגישה שלהם וביקשו שיפתחו עבורם את הדלת.

4. הטקסט מוקדם יכול להיות מאוד משכנע

הטקסט מוקדם, בניגוד לדיוג, מנסה לחלץ מידע רגיש על ידי בניית אמון לאורך זמן. התוקף ייצור תואנה אמינה, אך מפוברקת לחלוטין, להניח יסודות ולפרק את ההגנות של הקורבן לאורך זמן.

לדוגמה, הם קוראים למטרה ומתיימרים לדרוש מידע מסוים על מנת להפעיל חשבון מערכת חדש או לאמת את זהותם. הגרסאות המתוחכמות יותר יבנו מערכת יחסים לאורך ימים או שבועות, והם עשויים לקבל את זהותו של עובד בפועל במחלקת ה- IT של הקורבן שלהם.

טקטיקה מסוג זה משמשת כדי לרכוש את אמונו של הקורבן ולהגדיל את הסבירות שהם יגלו מידע מבוקש ללא היסוס.

5. פיגועי ציד לווייתנים נוטים לפנות לצוות ההנהלה העליונה

ציד לווייתנים הוא צורה מתוחכמת יותר של פישינג המשתמשת בטכניקות הנדסיות חברתיות מתקדמות יותר לקטיף מידע רגיש. הוא נוטה להטיל את התפקיד על מידע בעל ערך כלכלי ומסחרי גבוה יותר עבור התוקף.

"מה שמבדיל בין קטגוריה זו של פישינג לבין אחרים הוא בחירת היעדים: מנהלים רלוונטיים של עסקים פרטיים וסוכנויות ממשלתיות. משתמשים במילה ציד לווייתנים, דבר המצביע על כך שהיעד הוא דג גדול לתפוס." - infosecinstitute.com.

הודעות דוא"ל מהתקפות לווייתנים נוטות לקבל תחזית של מיילים עסקיים קריטיים הנשלחים על ידי רשויות לגיטימיות או ארגונים חשובים אחרים. תוכן ההודעות נוטה להיות מכוון גם לניהול גבוה יותר ולעתים קרובות יכלול מידע מזויף הנוגע לנושאים הכוללים חברות או נושאים חסויים אחרים.

6. Baiting והתקפות Quid Pro Quo

פיתיון הוא עוד התקפה הנדסית חברתית מרהיבה שמנסה לשחק על סקרנות הקורבן. דוגמה קלאסית תשתמש בקבצים זדוניים שהתחפשו למשהו אחר כמו עדכון תוכנה או תוכנה כללית אחרת.

ניתן להפיץ אותו גם באמצעות התקני USB נגועים שהופקדו בעולם האמיתי - למשל, מקל USB "אבוד" בחניון. התוכנה הזדונית המשמשת תסכן את אבטחת המחשב ותספק דלת אחורית לתוקפים לקבל גישה למידע רגיש.

התקפה דומה, אך שונה במובהק, נקראת a טוֹבָה תַחַת טוֹבָה לִתְקוֹף. צורת התקפה זו מנסה להתקין תוכנה זדונית בתהליך של עשיית משהו "טוב" למען הקורבן.

בתרחיש תקיפה מסוג זה, ההאקר מציע שירות או הטבה בתמורה למידע או גישה. האקרים נוטים להתחזות לעובדי IT בארגון ולפנות לעובדים כדי לקבל גישה להתקנה או שדרוג של תוכנת מערכת.

מהן שלוש דוגמאות לטכניקות המשמשות בהתקפות הנדסה חברתית?

כבר סקרנו 6 מהצורות הנפוצות ביותר של התקפות סייבר בהנדסה חברתית, אך ישנן אחרות.

  • וינגינג - הידוע גם בשם התחזות קולית, זוהי סוג של התקפה של הנדסה חברתית שמתמקדת בעיקר באיסוף מידע באמצעות הטלפון. התוקפים יכולים להשתמש בו גם למטרות סיור כדי לקבל גישה לאנשים קריטיים יותר בארגון.
  • מחייכת - "הפעולה של שימוש בהודעות טקסט ב- SMS כדי לפתות את הקורבנות לדרך פעולה ספציפית. כמו פישינג, זה יכול להיות לחיצה על קישור זדוני או גילוי מידע", מציין ויקיפדיה.
  • פישינג חנית - זוהי סוג של פישינג שנוטה לעשות שימוש במיילים מותאמים אישית במיוחד שנשלחים למספר מוגבל של קורבנות פוטנציאליים.

מה עושה מהנדס חברתי?

מהנדסים חברתיים הם אנשים שמבצעים מגוון פעילויות זדוניות כדי להונות את הקורבנות האנושיים בחשיפת מידע אישי, או רגיש אחר, או גישה של ג'ין למידע האמור. זה יכול להיות באמצעים דיגיטליים (כמו דוא"ל) או פיזית בעולם האמיתי.

בהתייחס לאחרונים, הם נקראו באופן מסורתי "קונים" או "טריקים של אמון".

לא משנה מה המקרה, מהנדסים חברתיים ינסו להשתמש במגוון טכניקות מניפולציה פסיכולוגיות כדי להערים על קורבנות לבצע טעויות ביטחוניות או למסור מידע באופן חופשי.

מהנדסים חברתיים נוטים לזהות קורבנות ולתקוף אותם בעקבות כמה צעדים מרכזיים:

1. חקירה - מצא קורבנות פוטנציאליים ואסוף מידע על רקע / בחר אמצעי התקפה

2. ניסיון לחבר אותם - שימוש בטכניקות שהוזכרו קודם לכן

3. לשחק - ניסיון לאסוף עוד ועוד מידע לאורך זמן.

4. יציאה - סגור את האינטראקציה שלהם עם הקורבן. הם גם ינסו להסיר את כל העקבות של תוכנות זדוניות שמשתמשים בהם וכו ', ובדרך כלל יביאו למסקנה שלהם.


צפו בסרטון: הגנת מרחב הסייבר הלאומי (דֵצֶמבֶּר 2021).