I sin bok, "Ghost in the Wires: Mina äventyr som världens mest eftersökta hackare", beskriver Kevin Mitnick som är en av de mest kända hackarna hur han använde social vinst för obehörig tillgång till nätverk och telefonsystem.
Exempel på sociala nätverk
Nedan följer exempel på hur någon kan använda socialteknik för att få tillgång till ditt nätverk, stjäla konfidentiell information eller få något gratis.
- Medarbetare - Att låtsas vara medarbetare som har problem med att få tillgång till sitt konto och behöver säkerhet, inloggning eller annan kontoinformation.
- Fake IT - Fake IT-support som begär fjärråtkomst till en dator på grund av ett falskt problem eller säkerhetshot.
- Pretend-make - Låt oss vara en make som ringer ett företag om problem med att få tillgång till hans eller hennes makas konto och behöver kontouppgifter.
- Bogus student - Bogus student ringer support personal som anger en webbplats fungerar inte. När en anställd besöker den förmodade problemsidan samlar den dator- och nätverksinformation eller försöker infektera den datorn med en trojan eller annan malware.
- Fake kund - Fake missnöjda kunden klagar över produkter som de inte köpte som kräver återbetalning eller ersättning utan inköpsbevis.
- Skötsel underhållsman - Någon skriver ut en låtsasemblem som ger utseendet att de är en reparatör som besöker för att fixa en dator, skrivare, telefon eller annat system. Efter att ha fått tillgång till byggnaden får de tillgång till konfidentiella dokument eller datorer som skulle ge dem tillgång till nätverket.
- Falsk klient - Ett e-postmeddelande från en falsk klient med ett företagsförslag med en bilaga som är en trojan eller annan malware för att infektera ett nätverk och ge fjärråtkomst.
Förhindra sociala nätverksattacker
Utbildning
Alla anställda, personal, studenter eller familjemedlemmar på samma nätverk måste känna till alla möjliga hot de kan möta. Det är också viktigt att alla som har fjärråtkomst, såsom ett tredjeparts IT-företag eller entreprenörer, också utbildas.
Säkerhetsåtgärder
De flesta företag har (eller borde ha) säkerhetsåtgärder som en kod som krävs för att få tillgång till kontouppgifter. Om en kund eller någon som ringer säger att de är kunden inte kan tillhandahålla den informationen, bör kontouppgifterna inte ges till dem via telefon. Det bör också klargöras att informationen för att undvika konflikt med kunden skulle leda till att arbetstagaren omedelbart förlorar sitt jobb.
Var alltid försiktig med vad du inte kan se
De flesta av de socialtekniska attackerna är över telefon, e-post eller andra former av kommunikation som inte kräver ansikte mot ansikte kommunikation. Om du inte kan se vem du pratar med, bör du alltid anta att det är möjligt att personen du pratar med inte är som de säger att de är.
Säkerhet eller reception
Inte alla socialtekniska attacker händer via telefon eller Internet. En angripare kan också besöka företaget med ett låtsasemblem eller en form av identifiering. Varje företag bör ha en reception eller säkerhetsvakt som också är medveten om alla säkerhetshot och vet att ingen kan klara sig utan ordentlig behörighet. De bör också inse att om dessa försiktighetsåtgärder ignoreras (t ex säger någon att de har glömt sitt märke) att det skulle leda till att de förlorar sitt jobb.
Det är också en bra idé att ha mer känsliga områden som ett serverrum kräver ytterligare säkerhet, t.ex. en märkesläsare som endast tillåter behöriga anställda att komma åt rummet. Också, anställda som får tillgång till en byggnad eller ett rum med ett märke bör inse att de också inte bör tillåta någon att komma igenom dörren samtidigt som dem.
Strimla
Vissa människor är inte rädda för att dumpster dyka för att hitta konfidentiell företagsinformation eller annan information som skulle ge dem tillgång till ett nätverk. Alla papper som dina anställda kasta bort ska strykas.
Skydda företagets utrustning korrekt
Se till att någon utrustning förstörs eller kasseras ordentligt. De flesta människor kan inse att en dators hårddisk (även när den raderas) kan ha känsliga data som kan återställas. Men inte många människor vet att enheter som kopiatorer, skrivare och faxapparater också innehåller lagring och att känsliga data också kan återställas från dessa enheter. Om du inte känner att det är säkert att någon läser allt du någonsin har skrivit, skannat eller faxat (inte troligt), se till att du kasserar enheten.
Säkerhetsvillkor, Shoulder Surfing