Mikä on sosiaalitekniikka ja miten voit välttää sen?
Haittaohjelmat eivät ole ainoa online-uhka, josta on syytä huolehtia. Sosiaalitekniikka on valtava uhka, ja se voi osua mihin tahansa käyttöjärjestelmään. Itse asiassa sosiaalinen suunnittelu voi tapahtua myös puhelimessa ja kasvotusten tilanteissa.
On tärkeää olla tietoinen sosiaalisesta suunnittelusta ja olla etsimässä. Suojausohjelmat eivät suojaa sinua useimpien yhteiskunnallisten teknisten uhkien varalta, joten sinun täytyy suojata itseäsi.
Sosiaalitekniikan selitys
Perinteiset tietokonepohjaiset hyökkäykset riippuvat usein haavoittuvuuden löytämisestä tietokoneen koodista. Jos esimerkiksi käytät vanhentunutta versiota Adobe Flashista - tai, jumalan kieltävästä, Javaista, joka oli syynä 91%: n hyökkäyksiin vuonna 2013 Ciscon mukaan - voit käydä haittaohjelmassa ja sivustossa hyödyntää ohjelmiston haavoittuvuutta päästäksesi tietokoneeseen. Hyökkääjä manipuloi vikoja ohjelmistossa saadakseen pääsyn ja keräämällä yksityisiä tietoja, ehkä keyloggerin avulla.
Sosiaalitekniikan temput ovat erilaisia, koska niihin liittyy pikemminkin psykologista manipulointia. Toisin sanoen he hyödyntävät ihmisiä, ei niiden ohjelmistoa.
Olet luultavasti jo kuullut tietojenkalastelusta, joka on sosiaalisen suunnittelun muoto. Saatat saada sähköpostiviestin, jonka mukaan olet pankin, luottokorttiyhtiön tai muun luotettavan yrityksen. He voivat ohjata sinut väärennettyyn verkkosivustoon, joka on naamioitu näyttämään todellisena, tai pyytää sinua lataamaan ja asentamaan haittaohjelman. Tällaisten sosiaalisen suunnittelun temppujen ei kuitenkaan tarvitse sisältää väärennettyjä verkkosivustoja tai haittaohjelmia. Tietojenkalastelusähköposti voi yksinkertaisesti pyytää sinua lähettämään sähköpostiviestin, jossa on yksityisiä tietoja. Sen sijaan, että yritettäisiin hyödyntää vikaa ohjelmistossa, he yrittävät hyödyntää normaaleja ihmisen vuorovaikutuksia. Spear-tietojenkalastelu voi olla vieläkin vaarallisempaa, koska se on tietyn tyyppinen tietojenkalastelu, joka on suunniteltu kohdistamaan tiettyjä henkilöitä.
Esimerkkejä sosiaalitekniikasta
Yksi suosituimmista temppuja chat-palveluissa ja online-peleissä on ollut rekisteröidä tili, jonka nimi on "Administrator", ja lähettää ihmisille pelottavia viestejä, kuten "VAROITUS: Olemme havainneet, että joku voi hakata tiliäsi, vastata salasanallasi, jotta tunnistat itsesi." Jos kohde vastaa salasanallaan, he ovat pudonneet temppuun ja hyökkääjällä on nyt käyttäjätunnus.
Jos henkilöllä on henkilökohtaisia tietoja, he voisivat käyttää sitä saadakseen pääsyn tilillesi. Esimerkiksi tietoja, kuten syntymäpäiväsi, sosiaaliturvatunnus ja luottokortin numero, käytetään usein tunnistamaan sinut. Jos joku saa nämä tiedot, he voivat ottaa yhteyttä yritykseen ja teeskennellä olevansa sinä. Hyökkääjä käytti tätä temppua tunnetusti käyttääkseen Sarah Palinin Yahoo! Sähköpostitili vuonna 2008, jossa on tarpeeksi henkilökohtaisia tietoja, jotta pääset käyttämään tiliä Yahoo!: N salasanan palautuslomakkeella. Samaa menetelmää voitaisiin käyttää puhelimitse, jos sinulla on henkilökohtaisia tietoja, joita yritys tarvitsee todentamaan sinua. Hyökkääjä, jolla on jonkin verran tietoa kohdemäärästä, voi teeskennellä olevansa niitä ja saada lisää asioita.
Sosiaalitekniikkaa voitaisiin käyttää myös henkilökohtaisesti. Hyökkääjä voisi käydä yrityksessä, ilmoittaa sihteerille, että he ovat korjaushenkilö, uusi työntekijä tai palotarkastaja arvovaltaisella ja vakuuttavalla äänellä, ja sitten vaeltaa salia ja varastaa mahdollisesti luottamuksellisia tietoja tai kasvitiedostoja, jotta he voisivat harjoittaa yritysten vakoilua. Tämä temppu riippuu siitä, että hyökkääjä esittää itsensä sellaisena kuin he eivät ole. Jos sihteeri, ovimies tai muu, joka on vastuussa, ei kysy liikaa kysymyksiä tai näyttää liian tarkasti, temppu onnistuu.
Sosiaalitekniikkahyökkäykset kattavat väärennettyjen verkkosivustojen, vilpillisten sähköpostiviestien ja häikäilemättömien chat-viestien valikoiman aina siihen, että joku puhelimessa tai henkilökohtaisessa henkilössä esiintyy. Nämä hyökkäykset ovat monenlaisia, mutta niillä kaikilla on yksi yhteinen asia - ne riippuvat psykologisesta huijauksesta. Sosiaalitekniikkaa on kutsuttu psykologisen manipuloinnin taiteeksi. Se on yksi tärkeimmistä tavoista "hakkerit" todella "hakata" tilit verkossa.
Miten välttää sosiaalitekniikkaa
Sosiaalisen suunnittelun tunteminen voi auttaa sinua taistelemaan sitä. Ole epäilyttävä pyytämättömiin sähköposteihin, chat-viesteihin ja puheluihin, jotka pyytävät yksityisiä tietoja. Älä koskaan paljasta taloudellisia tietoja tai tärkeitä henkilökohtaisia tietoja sähköpostitse. Älä lataa potentiaalisesti vaarallisia sähköpostiliitteitä ja suorita niitä, vaikka sähköpostiviestit olisivat tärkeitä.
Sinun ei myöskään pitäisi seurata linkkejä sähköpostissa herkille verkkosivustoille. Älä esimerkiksi napsauta linkkiä sähköpostiviestissä, joka näyttää olevan pankkisi ja kirjaudu sisään. Se saattaa viedä sinut väärennettyyn tietokalastuspaikkaan, joka on naamioitu näyttämään pankin sivustolta, mutta jossa on hienovaraisesti erilainen URL-osoite. Käy sivustolla suoraan.
Jos saat epäilyttävän pyynnön - esimerkiksi pankin puhelun, jossa pyydetään henkilökohtaisia tietoja - ota yhteyttä pyynnön lähde ja pyydä vahvistusta. Tässä esimerkissä voit soittaa pankkisi ja kysyä, mitä he haluavat pikemminkin kuin paljastaa tietoja jollekin, joka väittää olevansa pankkisi.
Sähköpostiohjelmilla, web-selaimilla ja tietoturvapaketeilla on yleensä phishing-suodattimet, jotka varoittavat sinua, kun vierailet tunnetussa tietojenkalastelusivustossa. Kaikki mitä he voivat tehdä, on varoittaa sinua, kun vierailet tunnetussa tietojenkalastelusivustossa tai saat tunnetun tietojenkalastelusähköpostin, ja he eivät tiedä kaikista tietojenkalastelusivustoista tai sähköpostiviesteistä. Suurimmaksi osaksi sinun on suojattava itsesi - turvaohjelmat voivat auttaa vain vähän.
On hyvä ajatus käyttää terveellisiä epäilyjä käsiteltäessä yksityisiä tietoja koskevia pyyntöjä ja kaikkea muuta, mikä voisi olla yhteiskunnallisia hyökkäyksiä. Epäilys ja varovaisuus auttavat sinua suojaamaan sekä verkossa että offline-tilassa.
Kuvaluotto: Jeff Turnet Flickrissä