Een stukje recent nieuws deed me beseffen hoe menselijke emoties en gedachten kunnen (of worden) gebruikt voor het welzijn van anderen. Bijna iedereen kent Edward Snowden , de klokkenluider van de NSA die over de hele wereld rondsnuffelt. Reuters meldde dat hij ongeveer 20-25 NSA -mensen zover kreeg om hun wachtwoorden aan hem te overhandigen voor het herstellen van enkele gegevens die hij later had gelekt [1]. Stelt^(Imagine) u zich eens voor hoe kwetsbaar uw bedrijfsnetwerk kan zijn, zelfs met de sterkste en beste beveiligingssoftware!

Wat is Social Engineering?

Menselijke^(Human) zwakte, nieuwsgierigheid, emoties en andere kenmerken zijn vaak gebruikt bij het illegaal extraheren van gegevens - of het nu in welke branche dan ook is. De IT-industrie^{(IT Industry)} heeft het echter de naam social engineering gegeven. Ik definieer social engineering als:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Hier is nog een regel uit hetzelfde nieuwsbericht [1] die ik wil citeren - " Beveiligingsbureaus hebben het moeilijk met het idee dat de man in het volgende hokje misschien niet betrouwbaar is^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} ". Ik heb de verklaring een beetje aangepast om deze in de context hier te passen. U kunt het volledige nieuwsbericht lezen via de link in de sectie Referenties^(References) .

Met andere woorden, u heeft geen volledige controle over de beveiliging van uw organisaties, aangezien social engineering veel sneller evolueert dan de technieken om ermee om te gaan. Social engineering kan zoiets zijn als iemand bellen die zegt dat je technische ondersteuning bent en hen om hun inloggegevens vraagt. U heeft vast phishing-e-mails ontvangen over loterijen, rijke mensen in het Midden-Oosten^{(Mid East)} en Afrika^(Africa) die zakenpartners willen, en vacatures om u naar uw gegevens te vragen.

In tegenstelling tot phishing-aanvallen is social engineering grotendeels een directe interactie van persoon tot persoon. De eerste (phishing) gebruikt een aas - dat wil zeggen, de mensen die 'vissen' bieden je iets aan in de hoop dat je ervoor zult vallen. Bij social^(Social) engineering gaat het er meer om het vertrouwen van interne medewerkers te winnen, zodat zij de bedrijfsgegevens die u nodig hebt vrijgeven.

Lees: ^(Read:) Populaire methoden van Social Engineering .

Bekende technieken voor sociale engineering

Er zijn er veel, en ze gebruiken allemaal fundamentele menselijke neigingen om in de database van elke organisatie te komen. De meest gebruikte (waarschijnlijk verouderde) social engineering-techniek is om mensen te bellen en te ontmoeten en ze te laten geloven dat ze van technische ondersteuning zijn en uw computer moeten controleren. Ze kunnen ook valse identiteitskaarten maken om vertrouwen te wekken. In sommige gevallen doen de daders zich voor als staatsfunctionarissen.

Een andere bekende techniek is om uw persoon in dienst te nemen als werknemer in de doelorganisatie. Aangezien deze oplichter uw collega is, kunt u hem misschien bedrijfsgegevens toevertrouwen. De externe medewerker kan je misschien ergens mee helpen, dus je voelt je verplicht, en dan kan hij het maximale eruit halen.

Ik las ook enkele rapporten over mensen die elektronische geschenken gebruiken. Een mooie USB -stick die op je bedrijfsadres wordt bezorgd of een pen drive die in je auto ligt, kan rampzalig zijn. In een geval heeft iemand een aantal USB -drives opzettelijk als lokaas op de parkeerplaats achtergelaten [2].

Als uw bedrijfsnetwerk op elk knooppunt goede beveiligingsmaatregelen heeft, bent u gezegend. Anders bieden deze knooppunten een gemakkelijke doorgang voor malware - in die gave of "vergeten" pendrives - naar de centrale systemen.

Als zodanig kunnen we geen uitgebreide lijst van social engineering-methoden bieden. Het is een wetenschap in de kern, gecombineerd met kunst op de top. En je weet dat geen van beiden grenzen heeft. Social engineering-jongens blijven creatief worden terwijl ze software ontwikkelen die ook misbruik kan maken van draadloze apparaten die toegang krijgen tot wifi van het bedrijf .

Lezen: ^(Read:) Wat is Social Engineered Malware .

Voorkom social engineering

Persoonlijk denk ik niet dat er een stelling is die beheerders kunnen gebruiken om social engineering-hacks te voorkomen. De social engineering-technieken blijven veranderen en daarom wordt het voor IT-beheerders moeilijk om bij te houden wat er gebeurt.

Natuurlijk is het nodig om social engineering-nieuws in de gaten te houden, zodat men voldoende geïnformeerd is om passende beveiligingsmaatregelen te nemen. In het geval van USB -apparaten kunnen beheerders bijvoorbeeld USB - drives op afzonderlijke knooppunten blokkeren, zodat ze alleen op de server met een beter beveiligingssysteem kunnen worden geplaatst. Evenzo^(Likewise) zou wifi een betere codering nodig hebben dan de meeste lokale ISP's bieden.

Het trainen van medewerkers en het uitvoeren van willekeurige tests op verschillende werknemersgroepen kan helpen om zwakke punten in de organisatie te identificeren. Het zou gemakkelijk zijn om de zwakkere individuen te trainen en te waarschuwen. Alertheid^(Alertness) is de beste verdediging. De nadruk moet zijn dat inloggegevens niet mogen worden gedeeld, zelfs niet met de teamleiders - ongeacht de druk. Als een teamleider toegang nodig heeft tot de login van een lid, kan hij/zij een hoofdwachtwoord gebruiken. Dat is slechts één suggestie om veilig te blijven en social engineering-hacks te vermijden.

Het komt erop neer dat, naast de malware en online hackers, de IT'ers ook voor social engineering moeten zorgen. Bij het identificeren van methoden van een datalek (zoals het opschrijven van wachtwoorden enz.), moeten de beheerders er ook voor zorgen dat hun personeel slim genoeg is om een ​​social engineering-techniek te identificeren om het helemaal te vermijden. Wat zijn volgens jou de beste methoden om social engineering te voorkomen? Als u een interessante zaak bent tegengekomen, deel deze dan met ons.

Download dit e-boek over Social Engineering Attacks van Microsoft en leer hoe u dergelijke aanvallen in uw organisatie kunt detecteren en voorkomen.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Referenties^(References)

[1] Reuters , Snowden overtuigde NSA-medewerkers om hun inloggegevens ^{(NSA Employees Into)}te^(Info) verkrijgen

[2] Boing Net , pendrives^(Pen) die worden gebruikt om malware te verspreiden^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent news made mе realize how human emotions and thoughts can be (or, are) uѕed for others’ benefit. Almost every one of you knows Edwаrd Snowden, the whistleblоwer of NSA snooping the world over. Reutеrs reported that he got around 20-25 NSA people to hand over their passwords to him for recovering some data he leaked lаter [1]. Imaginе how frаgile уour corporate network can be, even with the strongest and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Verslaving aan internet en sociale netwerksites

• Nepnieuwswebsites: een groeiend probleem en wat het betekent in de wereld van vandaag

• Hoe Instagram-rollen in te stellen, op te nemen, te bewerken en te publiceren

• Hoe twee-factor-authenticatie voor Reddit-account in te schakelen

• Maak verbinding met The Windows Club

• Facebook-advertentievoorkeuren beheren en afmelden voor advertentietracking

• Hoe Instagram-gegevens te downloaden met behulp van Instagram Data Export Tool

• Wat is Phubbing en wat het betekent voor persoonlijke relaties

• Beste Yammer-tips en -trucs voor de ervaren gebruiker

• Hoe Instagram-gebruikers op Windows-pc te dempen, het dempen op te heffen en te beperken

• Beste gratis Canva-sjablonen voor Instagram

• Cold Turkey Distraction Blocker blokkeert online afleiding

• Wat te doen als Facebook-account is gehackt?

• Hoe Reddit-account permanent op pc te deactiveren

• Hoe Instagram en WhatsApp te verbinden met Facebook-pagina

• Hoe Instagram-verhalen te downloaden naar pc of mobiel

• Hoe Instagram Carousel te maken in Photoshop: beginnersvriendelijke tutorial

• Yammer-functies en waar u het kunt gebruiken

• Hoe muziek, effecten en verbeteringen toe te voegen aan Instagram-rollen

• Blokkeer Instagram-advertenties en gesponsorde inhoud met Filtergram