Apakah Kejuruteraan Sosial?

Kejuruteraan sosial atau penggodam orang adalah istilah yang digunakan untuk menggambarkan perbuatan menipu seseorang dengan tindakan penipuan. Contohnya, seseorang boleh memanggil perniagaan dan menipu seorang pekerja memikirkan mereka dari IT. Kemudian, mereka boleh meminta individu untuk mengesahkan kata laluan mereka supaya mereka boleh mendapat akses ke rangkaian atau melawat laman web supaya mereka dapat mencuri maklumat.

Dalam bukunya, "Ghost in the Wires: My Adventures sebagai Hacker Paling Dikehendaki Dunia", Kevin Mitnick yang merupakan salah satu daripada penggodam paling terkenal menggambarkan bagaimana ia menggunakan keuntungan sosial untuk akses tanpa izin ke rangkaian dan sistem telefon.

Contoh rangkaian sosial

Berikut ialah contoh bagaimana seseorang boleh menggunakan kejuruteraan sosial untuk mendapatkan akses ke rangkaian anda, mencuri maklumat sulit, atau mendapatkan sesuatu secara percuma.

  • Pekerja Fellow - Berpura-pura menjadi rakan sekerja yang menghadapi masalah mengakses akaunnya dan memerlukan keselamatan, log masuk, atau butiran akaun lain.
  • Fake IT - Sokongan IT palsu yang meminta akses jauh ke komputer kerana masalah palsu atau ancaman keselamatan.
  • Pretend Pasangan - Berpura-pura menjadi pasangan yang memanggil syarikat tentang masalah mengakses akaun pasangannya dan memerlukan butiran akaun.
  • Pelajar Bogus - Staf sokongan memanggil kakitangan Bogus yang menunjukkan laman web tidak berfungsi. Apabila ahli kakitangan melawat halaman masalah yang sepatutnya, ia mengumpulkan maklumat komputer dan rangkaian atau cuba menjangkiti komputer tersebut dengan trojan atau malware lain.
  • Pelanggan palsu - Pelanggan yang tidak puas hati mengeluh tentang produk yang tidak mereka beli yang menuntut bayaran balik atau pampasan tanpa bukti pembelian.
  • Pretend man penyelenggaraan - Seseorang mencetak lencana berpura-pura yang memberikan penampilan mereka tukang perbaikan yang melawat untuk membetulkan komputer, pencetak, telefon, atau sistem lain. Selepas mendapat akses ke bangunan, mereka mendapat akses kepada dokumen rahsia atau komputer yang membolehkan mereka mengakses rangkaian.
  • Pelanggan palsu - E-mel dari klien palsu dengan cadangan perniagaan dengan lampiran yang merupakan trojan atau malware lain untuk menjangkiti rangkaian dan memberikan akses jauh.

Mencegah serangan rangkaian sosial

Pendidikan

Semua kakitangan, kakitangan, pelajar, atau ahli keluarga di rangkaian yang sama perlu mengetahui semua potensi ancaman yang mungkin dihadapi mereka. Ia juga penting bahawa orang lain yang mungkin mempunyai akses jauh seperti syarikat atau kontraktor IT pihak ketiga juga berpendidikan.

Langkah-langkah keselamatan

Kebanyakan syarikat mempunyai (atau sepatutnya) mengukur keselamatan seperti kod yang diperlukan untuk mengakses butiran akaun. Sekiranya pelanggan atau seseorang memanggil mengatakan mereka pelanggan tidak dapat memberikan maklumat tersebut, butiran akaun tidak seharusnya diberikan kepada mereka melalui telefon. Ia juga harus dijelaskan bahawa penyediaan maklumat untuk mengelakkan konflik dengan pelanggan akan mengakibatkan pekerja segera kehilangan pekerjaannya.

Sentiasa berhati-hati dengan apa yang tidak dapat dilihat

Kebanyakan serangan kejuruteraan sosial adalah melalui telefon, e-mel, atau bentuk komunikasi lain yang tidak memerlukan komunikasi tatap muka. Jika anda tidak dapat melihat siapa yang anda sedang bercakap, anda harus selalu menganggap bahawa orang yang anda bercakap bukanlah yang mereka katakan.

Keselamatan atau meja depan

Tidak semua serangan kejuruteraan sosial berlaku melalui telefon atau Internet. Penyerang juga boleh melawat syarikat dengan lencana berpura-pura atau bentuk pengenalan. Setiap perniagaan harus mempunyai kaunter depan atau pengawal keselamatan yang juga mengetahui semua ancaman keselamatan dan tidak tahu siapa pun yang boleh lulus tanpa kebenaran yang tepat. Mereka juga harus sedar bahawa jika langkah-langkah pencegahan ini tidak diendahkan (contohnya, seseorang mengatakan bahawa mereka terlupa lencana mereka) akan mengakibatkan mereka kehilangan pekerjaan mereka.

Adalah juga idea untuk mempunyai lebih banyak kawasan sensitif seperti bilik pelayan yang memerlukan keselamatan tambahan seperti pembaca lencana yang hanya membenarkan pekerja yang diberi kuasa untuk mengakses bilik. Juga, pekerja yang mengakses bangunan atau bilik menggunakan lencana harus menyedari mereka juga tidak sepatutnya membenarkan sesiapa datang melalui pintu pada masa yang sama.

Shred

Sesetengah orang tidak takut untuk menyelam masuk untuk mencari maklumat syarikat sulit atau maklumat lain yang akan membolehkan mereka mengakses rangkaian. Apa-apa kertas kerja yang dibuang pekerja anda hendaklah dipotong.

Buang peralatan syarikat dengan betul

Pastikan sebarang peralatan dimusnahkan atau dibuang dengan betul. Kebanyakan orang mungkin menyedari bahawa cakera keras komputer (walaupun dipadamkan) mungkin mempunyai data sensitif yang dapat dipulihkan. Walau bagaimanapun, tidak ramai yang tahu bahawa peranti seperti penyalin, pencetak, dan mesin faks juga mengandungi storan dan data sensitif juga boleh diperoleh dari peranti ini. Kecuali anda merasa selamat bahawa seseorang membaca semua yang pernah dicetak, diimbas, atau difakskan (tidak mungkin) pastikan anda membuang peranti itu.

Syarat keselamatan, Bahu melayari