Недавна вест ме је натерала да схватим како се људске емоције и мисли могу (или, се) користе за добробит других. Скоро свако од вас познаје Едварда Сноудена^{(Edward Snowden)} , узбуњивача НСА^(NSA) који њушка широм света. Ројтерс је известио да је добио око 20-25 људи из НСА^(NSA) да му предају своје лозинке за опоравак неких података које је касније процурио [1]. Замислите^(Imagine) колико ваша корпоративна мрежа може бити крхка, чак и са најјачим и најбољим сигурносним софтвером!

Шта је друштвени инжењеринг

Људска^(Human) слабост, радозналост, емоције и друге карактеристике су често коришћене у илегалном вађењу података – било да се ради о било којој индустрији. ИТ индустрија^{(IT Industry)} јој је , међутим, дала назив друштвени инжењеринг. Ја дефинишем друштвени инжењеринг као:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Ево још једне стихове из исте вести [1] коју желим да цитирам – „ Безбедносне агенције се муче са идејом да тип из суседне кабине можда није поуздан^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} “. Мало сам модификовао изјаву да се уклопи у контекст овде. Можете прочитати целу вест користећи линк у одељку Референце^(References) .

Другим речима, немате потпуну контролу над безбедношћу својих организација са друштвеним инжењерингом који се развија много брже од техника за суочавање са њим. Друштвени^(Social) инжењеринг може бити било шта као да позовете некога да кажете да сте техничка подршка и да га питате за њихове акредитиве за пријаву. Мора да сте примали е-поруке о пхисхинг-у о лутрији, богатим људима на Блиском истоку^{(Mid East)} и у Африци^(Africa) који желе пословне партнере и понуде за посао да вас питају за ваше детаље.

За разлику од пхисхинг напада, друштвени инжењеринг је у великој мери директна интеракција од особе до особе. Први (пхисхинг) користи мамац – то јест, људи који „пецају“ вам нуде нешто у нади да ћете насјести на то. Друштвени^(Social) инжењеринг је више у придобијању поверења интерних запослених како би они открили детаље компаније које су вам потребне.

Прочитајте: ^(Read:) Популарне методе друштвеног инжењеринга .

Познате технике друштвеног инжењеринга

Има их много и сви користе основне људске склоности за улазак у базу података било које организације. Најчешћа (вероватно застарела) техника друштвеног инжењеринга је да позовете и упознате људе и наведете их да верују да су из техничке подршке која треба да провери ваш рачунар. Они такође могу креирати лажне личне карте како би успоставили поверење. У неким случајевима, кривци се представљају као државни службеници.

Још једна позната техника је да своју особу запослите као запосленог у циљној организацији. Сада, пошто је овај преварант ваш колега, можете му поверити детаље о компанији. Спољни службеник вам може помоћи у нечему, па се осећате дужним и тада може да извуче максимум.

Такође сам прочитао неке извештаје о људима који користе електронске поклоне. Отмјени УСБ^(USB) стицк који вам је испоручен на адресу ваше компаније или драјв за оловке који лежи у вашем аутомобилу могу доказати катастрофу. У случају, неко је намерно оставио неке УСБ^(USB) дискове на паркингу као мамце [2].

Ако мрежа ваше компаније има добре безбедносне мере на сваком чвору, благословени сте. Иначе, ови чворови омогућавају лак пролаз за малвер – у том поклону или „заборављеним“ драјвовима оловке – до централних система.

Као такви, не можемо дати свеобухватну листу метода социјалног инжењеринга. То је наука у сржи, у комбинацији са уметношћу на врху. И знате да ни једно ни друго нема границе. Момци из друштвеног^(Social) инжењеринга настављају да буду креативни док развијају софтвер који такође може да злоупотреби бежичне уређаје који добијају приступ Ви-Фи^(Wi-Fi) мреже компаније .

Прочитајте: ^(Read:) Шта је злонамерни софтвер социјалног инжењеринга .

Спречити друштвени инжењеринг

Лично, мислим да не постоји било каква теорема коју администратори могу да користе да спрече хакове друштвеног инжењеринга. Технике друштвеног инжењеринга настављају да се мењају и стога ИТ администраторима постаје тешко да прате шта се дешава.

Наравно, постоји потреба да се прате вести из социјалног инжењеринга како би неко био довољно информисан да предузме одговарајуће мере безбедности. На пример, у случају УСБ^(USB) уређаја, администратори могу да блокирају УСБ^(USB) дискове на појединачним чворовима дозвољавајући им само на серверу који има бољи безбедносни систем. Исто тако^(Likewise) , Ви-Фи^(Wi-Fi) би требао бољу енкрипцију од већине локалних ИСП^(ISPs) -а .

Обука запослених и спровођење насумичних тестова на различитим групама запослених могу помоћи да се идентификују слабе тачке у организацији. Било би лако тренирати и упозоравати слабије појединце. Будност^(Alertness) је најбоља одбрана. Треба нагласити да информације за пријаву не би требало да се деле чак ни са вођама тимова – без обзира на притисак. Ако вођа тима треба да приступи логин-у члана, он/она може користити главну лозинку. То је само један од предлога да останете безбедни и избегавате хакове социјалног инжењеринга.

Суштина је да, осим малвера и онлајн хакера, ИТ људи морају да воде рачуна и о друштвеном инжењерингу. Док идентификују методе повреде података (као што је записивање лозинки итд.), администратори такође треба да обезбеде да је њихово особље довољно паметно да идентификује технику друштвеног инжењеринга како би је у потпуности избегло. Које су по вашем мишљењу најбоље методе за спречавање друштвеног инжењеринга? Ако сте наишли на неки занимљив случај, поделите са нама.

Преузмите ову е-књигу о нападима друштвеног инжењеринга коју је објавио Мицрософт и научите како можете да откријете и спречите такве нападе у својој организацији.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Референце^(References)

[1] Ројтерс^(Reuters) , Сноуден^(Snowden) убедио запослене НСА да добију своје ^{(NSA Employees Into)}податке^(Info) за пријаву

[2] Боинг Нет^{(Boing Net)} , Пен^(Pen) Дривес који се користе за ширење злонамерног софтвера^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent news made me realize how human еmotions and thoughts can be (or, are) uѕed for others’ benefit. Almost every one of you knows Edward Snowden, the whistlеblower of NSA snooping the world over. Reuters reрorted that he got around 20-25 NSA people to hand oνer their passwords to hіm for recovering sоme data he leaked later [1]. Imagine how fragile your corporate network can be, even with the strongest and best of security softwarе!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Зависност од интернета и друштвених мрежа

• Веб локације лажних вести: Све већи проблем и шта то значи у данашњем свету

• Како поставити, снимити, уредити, објавити Инстаграм Реелс

• Како омогућити двофакторну аутентификацију за Реддит налог

• Повежите се са Виндовс клубом

• Опозовите приступ треће стране са Фацебоок-а, Гоогле-а, Мицрософт-а, Твиттер-а

• Листа ствари које не би требало да делите или постављате на Фејсбук или друштвене мреже

• Како преузети Инстаграм приче на рачунар или мобилни

• Најбољи бесплатни Цанва шаблони за Инстаграм

• Како да сачувате своје Инстаграм колуте у нацрту и касније уредите

• Како направити групу у Телеграму и користити функцију гласовног ћаскања

• Децентрализоване друштвене мреже засноване на блокчејну где поседујете своје податке

• Како избрисати онлајн налоге, присуство и идентитет

• Како додати музику, ефекте, побољшања на Инстаграм колуте

• СталкФаце и СталкСцан вам помажу да боље разумете Фацебоок пријатеље

• Иаммер функције и где можете да га користите

• Како искључити, укључити и ограничити кориснике Инстаграма на Виндовс рачунару

• 5 најбољих апликација за друштвене мреже за Виндовс 10 доступних у Мицрософт Сторе-у

• Како претражујете поруке на Инстаграму?

• Како трајно деактивирати Реддит налог на рачунару