lorsque la sécurité Web a évolué, il est plus facile de verrouiller vos systèmes. De nombreux produits sortent de la boîte pré-configurée pour inclure des pratiques de sécurité décentes, ainsi que la plupart des grands que sur les services Internet ont eu lieu sur le cryptage ainsi que le stockage de mot de passe. Cela ne veut pas dire que les choses sont parfaites, mais que les systèmes informatiques deviennent plus difficiles à craquer, les pauvres mecs se concentreront davantage sur le système non attribuable dans le mélange – l’élément humain.
L’histoire se répète
Depuis les jours des anciens Grecs, ainsi que très probablement auparavant, l’ingénierie sociale a été un choix pour contourner les défenses de votre ennemi. Nous comprenons tous l’ancien conte d’Ulysse utilisant un équin en bois géant pour technique les chevaux de Troie pour permettre à une petite armée dans la ville de Troy. Ils ont quitté l’équine à l’extérieur des murs de la ville après un siège de cinq ans ayant échoué, ainsi que les chevaux de Troie l’ont apporté. Quand à l’intérieur des murs de la ville, une petite armée a échappé dans les morts de la nuit et attrapa la ville.
Quelle est la différence de laisser un lecteur flash USB emballé avec des logiciels malveillants autour d’un parc de véhicules de la grande entreprise, en attendant la curiosité humaine de prendre la relève ainsi que d’un travailleur pour brancher le gadget dans un ordinateur accroché autant que le réseau d’entreprise? Les équidés en bois ainsi que la technique de lecteur USB ont une chose en commun, les humains ne sont pas parfaits et prennent des décisions qui peuvent être irrationnelles.
Ingénieurs sociaux célèbres
[Victor Lustig] était l’une des célèbres ingénieurs sociaux de l’histoire spécialisé dans les escroqueries, ainsi qu’un homme confessionnel de soi. Il est très célèbre pour avoir offert la tour Eiffel. Après la toute première guerre mondiale, l’argent était serré, ainsi que la France faisait du mal à payer pour l’entretien de la Tour Eiffel ainsi que de tomber dans le dispiration. Après avoir lu sur les troubles de la Tour, [Lustig] a proposé son programme: il technique les gens à croire que la tour devait être offerte comme une ferraille aussi bien qu’avec le facilitateur pour tout type de contrat. Utilisation du gouvernement forgé stationnaire, il a manipulé pour tirer cette technique: deux fois!
Il a ensuite poursuivi l’arnaque [Al Capone] de 5 000 dollars en le convainquant d’investir 50 000 $ dans une transaction boursière. Il a déclaré que l’offre est tombée à travers, bien que, en vérité, il n’y avait aucune affaire. Après quelques mois, il a fourni à Capone son argent, ainsi que de 5 000 $ pour son “intégrité”.
[Charles Ponzi] était si notoire le plan qu’il utilisait qui est à la vie aussi bien que d’aujourd’hui a été nommé d’après lui. Un plan Ponzi est une arnaque d’investissement pyramide utilisant de nouveaux membres de l’argent pour payer des investisseurs plus âgés. Tant que les nouvelles recrues continuent à entrer, les personnes au sommet de la pyramide sont payées. Lorsque la piscine de nouveaux suceurs se dessèche, c’est fini.
Le plus grand plan de ponzi a été trouvé à nouveau par un flyer élevé respecté, ainsi que le spéculateur boursier [Bernard Madoff]. Le régime, évalué à environ 65 milliards de dollars, était aussi bien que le plus grand de l’histoire. Madoff était tellement prolifique qu’il avait des banques, des gouvernements ainsi que des fonds de pension investis dans son programme.
[Kevin Mitnick] est probablement le pirate informatique le plus célèbre de la vie à la vie aujourd’hui, il était néanmoins plus un ingénieur social que vous ne le penseriez. Kevin a commencé jeune; À treize ans, il a persuadé un chauffeur de bus de lui dire où acheter un punch de billet pour un projet d’institution, lorsqu’il serait utilisé avec des billets de densité divisés découverts dans les bacs du dépôt de l’entreprise de bus.
À seize ans, il a piraté les systèmes informatiques de la Société des appareils numériques, en copiant une application logicielle propriétaire, ainsi que lors de l’informatique de messagerie vocale pirate de Back Pacific Bell ainsi que de nombreux autres systèmes. Il était sur la course pendant quelques années et a été finalement emprisonné pour ses crimes. Hors de prison, il s’est transformé en un consultant en sécurité aussi bien que pour lui-même en restant sur le bon côté de la loi.
[John Draper], Aka Captain Crunch, était un pionnier dans le monde physphérique. Il a gagné son moniker depuis des sifflets libres fournis dans des paquets de céréales Cap’n Crunch. Il s’est rendu compte que ces sifflets ont joué à 2 600 Hz, qui vient d’être le ton précis que les lignes interurbaines AT & T utilisées pour suggérer qu’une ligne de coffre était préparée ainsi que proposée à un nouvel appel. Cela a influencé [John Draper] pour expérimenter et développer efficacement des boîtes bleues. Ces jours sont partis maintenant, car le système téléphonique a changé d’analogique au numérique.
Types d’escroqueries d’ingénierie sociale ainsi que exactement comment les empêcher
Il existe de nombreux types d’attaques d’ingénierie sociale – une image comptant le nombre de méthodes existant pour la technique des personnes. Néanmoins, il vaut la peine de comprendre les escroqueries les plus importantes, car vous avez besoin de vous protéger.
Prétexte
Ce type d’escroquerie consiste à raconter à quelqu’un un mensonge afin de gagner un accès à des zones ou des informations privilégiées. Prétexativement est fréquemment effectué dans le type deLes arnaques téléphoniques lorsqu’un appelant demandera une prétention d’assurance pour travailler pour une entreprise immense ainsi que nécessaire pour vérifier leur identité de ses objectifs. Ils continuent ensuite à rassembler des informations comme des numéros de sécurité sociale, le nom de jeune fille de la mère, les détails du compte ainsi que les dates de naissance. Étant donné que l’appel téléphonique ou la circonstance est normalement initié par l’ingénieur social, une excellente méthode pour vous protéger de cette arnaque consiste à contacter ou à vérifier qui, ils indiquent qu’ils utilisent – utilisent des informations que vous avez rassemblées sur la société, ainsi que non fourni par eux.
Baiting
Des lecteurs USB remplis de logiciels malveillants autour des parkings de voitures ou des chevaux en bois géants près de vos murs de votre ennemi sont d’appâts traditionnels. C’est une assaut simple avec une simple atténuation: garder à l’esprit que si quelque chose de libre et fascinant juste allongé sur des regards aussi bien pour être vrai, alors tout est probablement.
Hameçonnage
Le phishing est la méthode d’envoi de courriels, qui pose comme un service Web ou une société largement connu, ainsi que pour obtenir le destinataire à ouvrir un document compromis, accédez à un site Web empoisonné ou de casser votre propre sécurité. Il y a quelques semaines, il y a quelques semaines, le [Pedro Umbelino de Hackaday a composé exactement à quel point il est simple d’exploiter même la plus grande sécurité consciente autour de nous (cela m’a convenu) avec une attaque d’homographe IDN.
La plupart des phishing sont effectués à un niveau moins avancé – normalement, un clone de site Web est effectué ainsi que des courriels sont envoyés par rapport aux victimes de modifier leur mot de passe. Les cibles de grande valeur peuvent avoir une expérience de phishing complètement personnalisée, comprise comme “phishing de lance”, où l’escroc aura davantage d’effort dans un clone de site ou un texte de messagerie en incluant des informations personnelles pour le rendre plus authentique. Le phishing est normalement simple à la zone – Inspectez l’adresse de tout type de lien avant de cliquer dessus. En plus de vous demander de modifier un mot de passe avec un courrier électronique, fermez le courrier électronique et connectez-vous au site Web avec des moyens typiques, en contournant entièrement les faibles liens.
Ransomware
Un grand nombre de ransomware est fourni par le phishing, mais depuis qu’il y a eu un nombre croissant de cas importants, il obtient son propre sujet. Néanmoins, l’individu est dupé en exécutant les logiciels malveillants sur leur ordinateur, il crypte des données précieuses ou verrouille l’individu de leur système ainsi que des demandes de remboursement pour ramener les choses à la normale. Que cela se produise ou non, lors du paiement, c’est que quelqu’un devine.
Il y a eu un certain nombre d’attaques de ransomware extrêmement profilées récemment, y compris la NHS de Ransomware Cripling UK, ainsi que la propagation mondiale. ça va cesser? La stratégie d’atténuation la plus simple contre Ransomware, en plus de ne pas cliquer sur des liens suspects, des applications ou de maintenir votre système autant que la date à tout premier lieu, est de garder des sauvegardes régulières de votre système pour vous assurer que si vous faites de la rançon, vous avez gagné ‘t doit payer. Garder les sauvegardes a d’autres avantages également, bien sûr.
Quiproquo
L’arnaque QUID PRO QUO est vraiment tout “QUID”, ainsi que de “Quo”. Un fournisseur de services de service offre des appels téléphoniques offrant de réparer un bogue ou d’éliminer les logiciels malveillants (cela n’existe pas) moyennant des frais. Un signe de navigation rapide sur YouTube allumera d’innombrables vidéos d’escrocs qui m’ont tenté de chance avec des adolescents sage-craquant. Tout comme de nombreux inconvénients, cette arnaque peut être évitée en ne répondant tout simplement pas à des offres hors du bleu. D’autre part, cette arnaque semble réussie suffisamment d’être couru. Comprendre à ce sujet est la meilleure défense.
Bondage
Une méthode pour entrer dans une zone restreinte sécurisée par une porte fermée consiste à attendre sur un travailleur ou une personne ayant un accès à un accès ainsi que de se conformer à eux. Ces attaques sont normalement destinées aux entreprises ou à des immeubles d’appartements, ainsi que la solution est de ne laisser que personne entrer avec vous.
Plongée à ordures
Pour imiter un entrepreneur légitime, il aide à comprendre les noms des entreprises incluses ainsi que même des points d’entrer en contact avec l’intérieur de l’entreprise. Toutes ces données ainsi que plus peuvent être découvertes sur les reçus de la benne à ordures derrière l’entreprise. Investissez dans un déchiqueteur et ne laissez rien au hasard.
Réseaux sociaux
Les gens partagent une quantité fantastique d’informations personnelles sur les médias sociaux. Il n’est donc pas surprenant que ce soit un nouvel outil pour les ingénieurs sociaux. Vous cherchez avec le compte de quelqu’un, c’est comme regarder un instantané de la vie de quelqu’un. Pourquoi diriez-vous que votre maison va être vide pour les deux prochaines semaines pour le monde entier? Votre maison veut juste demander d’être bombé. Ou croyez-vous de la munition que vous fournissez à un phisier de lance serait-il. Croire des compromis de partager des informations personnelles sur vous-même publiquement.
Études notables en ingénierie sociale
Maintenant, voyons quelques exemples de ces techniques d’ingénierie sociale à l’état sauvage.
Nouvelles du Scandale du piratage mondial du téléphone
Ici au Royaume-Uni, il y avait une grande tempête publique lorsque News International, avait été découverte par Media Mogul [Rupert Murdoch], a été découverte d’utiliser l’ingénierie sociale au “hack” dans les services de messagerie vocale de PRDes célébrités ominentes, des politiciens, des Royals, ainsi que des journalistes. La liste de piratage du téléphone est extrêmement longue. Ils sont fréquemment piratés dans la messagerie vocale en purgeant l’identité de l’appelant qui accordait un accès à la boîte de réception de la messagerie vocale du téléphone. Certains messages vocaux ont été sécurisés avec des codes à quatre chiffres qui ont été rapidement devinés. À d’autres occasions, ils ont simplement appelé la hotline de service du fournisseur de téléphones ainsi que indiquée, ils n’ont pas réussi à se souvenir de leur code de passe – prétexativement à la vanille plaine.
Celebgate iCloud Photos nues “Hack”
[Ryan Collins] a utilisé des méthodes de phishing pour acquérir un accès aux comptes iCloud de Jennifer Lawrence, Kate Upton, ainsi que Kim Kardashian. Il a produit de fausses notifications de Google aussi bien que Apple, ainsi que les adresses électroniques de ses objectifs. À l’époque, il y avait des conjectures que iCloud d’Apple avait piraté de manière énorme. Au lieu de cela, Collins a admis dans une interview qu’il utilisait des méthodes de phishing pour acquérir un accès à ses données personnelles à ses victimes.
Où allons-nous à partir d’ici
Si vous rompez le système informatique est aussi difficile, vous pouvez être sûr que les criminels essaieront de casser le système humain. Que vous appelez que vous appelez cette “génie sociale”, “inconvénients” ou “escroqueries”, ils sont susceptibles d’être à la hausse. La meilleure méthode pour vous protéger est d’enseigner à quiconque d’avoir accès à vos données ou à vos détails sur la manière dont les attaques fonctionnent, ainsi que exactement comment les empêcher.
Il existe de nombreuses ressources sur Internet que vous seriez utiles pour aider à vous protéger de ces vecteurs d’assaut. Protégez-vous de huit attaques d’ingénierie sociale est plutôt un excellent point de départ, ainsi que le département des États-Unis de la sécurité intérieure fournit des informations fantastiques sur la prévention des hacks de génie social que vous pouvez pointer les gens à.
En fin de compte, la majeure partie revient à reconnaître les motifs et à être sceptique lorsque vous les voyez. Confirmez les informations avec d’autres canaux, ne cliquez pas aveuglément, cliquez sur les liens, ainsi que les détails personnels que vous fournissez aux avocats.