Ano ang Social Engineering? 11 Mga Halimbawang Dapat Abangan
Talaan ng nilalaman
Ano nga ba ang Social Engineering, gayon pa man?
Ang social engineering ay tumutukoy sa pagkilos ng pagmamanipula ng mga tao upang kunin ang kanilang kumpidensyal na impormasyon. Maaaring iba-iba ang uri ng impormasyong hinahanap ng mga kriminal. Karaniwan, ang mga indibidwal ay tinatarget para sa kanilang mga detalye sa bangko o sa kanilang mga password sa account. Sinusubukan din ng mga kriminal na i-access ang computer ng biktima upang mag-install sila ng malisyosong software. Pagkatapos ay tinutulungan sila ng software na ito na kunin ang anumang impormasyong maaaring kailanganin nila.
Gumagamit ang mga kriminal ng mga taktika sa social engineering dahil kadalasan ay madaling pagsamantalahan ang isang tao sa pamamagitan ng pagkuha ng kanilang tiwala at kumbinsihin silang isuko ang kanilang mga personal na detalye. Ito ay isang mas maginhawang paraan kaysa sa direktang pag-hack sa computer ng isang tao nang hindi nila nalalaman.
Mga Halimbawa ng Social Engineering
Mas mapoprotektahan mo ang iyong sarili sa pamamagitan ng pagpapaalam sa iba't ibang paraan kung paano ginagawa ang social engineering.
1. Pretexting
Ang pretexting ay ginagamit kapag ang kriminal ay gustong ma-access ang sensitibong impormasyon mula sa biktima para sa pagsasagawa ng isang kritikal na gawain. Sinusubukan ng umaatake na makuha ang impormasyon sa pamamagitan ng ilang maingat na ginawang kasinungalingan.
Ang kriminal ay nagsisimula sa pamamagitan ng pagtatatag ng tiwala sa biktima. Ito ay maaaring gawin sa pamamagitan ng pagpapanggap sa kanilang mga kaibigan, kasamahan, opisyal ng bangko, pulis, o iba pang awtoridad na maaaring humingi ng ganoong sensitibong impormasyon. Ang umaatake ay nagtatanong sa kanila ng isang serye ng mga tanong na may dahilan para kumpirmahin ang kanilang pagkakakilanlan at nangangalap ng personal na data sa prosesong ito.
Ang pamamaraang ito ay ginagamit upang kunin ang lahat ng uri ng personal at opisyal na mga detalye mula sa isang tao. Maaaring kabilang sa naturang impormasyon ang mga personal na address, mga numero ng social security, mga numero ng telepono, mga talaan ng telepono, mga detalye ng bangko, mga petsa ng bakasyon ng kawani, impormasyon sa seguridad na nauugnay sa mga negosyo, at iba pa.
2. Diversion Theft
Ito ay isang uri ng scam na karaniwang naka-target sa mga kumpanya ng courier at transportasyon. Sinusubukan ng kriminal na linlangin ang target na kumpanya sa pamamagitan ng pagbibigay sa kanila ng kanilang delivery package sa ibang lokasyon ng paghahatid kaysa sa orihinal na nilayon. Ang pamamaraan na ito ay ginagamit upang magnakaw ng mga mahalagang kalakal na inihahatid sa pamamagitan ng post.
Ang scam na ito ay maaaring gawin offline at online. Ang mga tauhan na nagdadala ng mga pakete ay maaaring lapitan at kumbinsihin na ihatid ang paghahatid sa ibang lokasyon. Ang mga umaatake ay maaari ring makakuha ng access sa online na sistema ng paghahatid. Maaari nilang harangin ang iskedyul ng paghahatid at gumawa ng mga pagbabago dito.
3 Phishing
Ang phishing ay isa sa pinakasikat na anyo ng social engineering. Kasama sa mga scam sa phishing ang mga email at text message na maaaring lumikha ng pakiramdam ng pagkamausisa, takot, o pagkaapurahan sa mga biktima. Ang text o email ay nag-uudyok sa kanila na mag-click sa mga link na hahantong sa mga nakakahamak na website o mga attachment na mag-i-install ng malware sa kanilang mga device.
Halimbawa, ang mga user ng isang online na serbisyo ay maaaring makatanggap ng email na nagsasabing nagkaroon ng pagbabago sa patakaran na nangangailangan sa kanila na baguhin kaagad ang kanilang mga password. Maglalaman ang mail ng link sa isang ilegal na website na kapareho ng orihinal na website. Ilalagay ng user ang kanilang mga kredensyal ng account sa website na iyon, na isinasaalang-alang na ito ang lehitimong isa. Sa pagsusumite ng kanilang mga detalye, ang impormasyon ay maa-access ng kriminal.
4. Spear Phishing
Ito ay isang uri ng phishing scam na mas naka-target sa isang partikular na indibidwal o isang organisasyon. Kino-customize ng attacker ang kanilang mga mensahe batay sa mga posisyon sa trabaho, katangian, at kontrata na nauugnay sa biktima, upang magmukhang mas totoo ang mga ito. Ang spear phishing ay nangangailangan ng higit na pagsisikap sa bahagi ng kriminal at maaaring tumagal ng mas maraming oras kaysa sa regular na phishing. Gayunpaman, mas mahirap silang kilalanin at may mas mahusay na rate ng tagumpay.
Halimbawa, ang isang attacker na sumusubok sa spear phishing sa isang organisasyon ay magpapadala ng email sa isang empleyado na nagpapanggap bilang IT consultant ng kumpanya. Ang email ay i-frame sa paraang eksaktong katulad ng kung paano ito ginagawa ng consultant. Ito ay tila tunay na sapat upang linlangin ang tatanggap. Ipo-prompt ng email ang empleyado na baguhin ang kanilang password sa pamamagitan ng pagbibigay sa kanila ng link sa isang malisyosong webpage na magre-record ng kanilang impormasyon at ipapadala ito sa umaatake.
5. Water-Holing
Sinasamantala ng water-holing scam ang mga mapagkakatiwalaang website na regular na binibisita ng maraming tao. Ang kriminal ay mangangalap ng impormasyon tungkol sa isang target na grupo ng mga tao upang matukoy kung aling mga website ang madalas nilang binibisita. Ang mga website na ito ay susuriin para sa mga kahinaan. Sa paglipas ng panahon, isa o higit pang miyembro ng grupong ito ang mahahawa. Maa-access ng attacker ang secure na system ng mga nahawaang user na ito.
Ang pangalan ay nagmula sa pagkakatulad kung paano umiinom ng tubig ang mga hayop sa pamamagitan ng pagtitipon sa kanilang mga pinagkakatiwalaang lugar kapag sila ay nauuhaw. Hindi sila nagdadalawang-isip tungkol sa pag-iingat. Alam ito ng mga mandaragit, kaya naghihintay sila sa malapit, handang atakihin sila kapag nakababa na ang kanilang bantay. Maaaring gamitin ang water-holing sa digital landscape para gawin ang ilan sa mga pinakamapangwasak na pag-atake sa isang grupo ng mga user na mahina sa parehong oras.
6. Baiting
Tulad ng makikita sa pangalan, ang pain ay nagsasangkot ng paggamit ng maling pangako upang mapukaw ang pagkamausisa o kasakiman ng biktima. Ang biktima ay naakit sa isang digital na bitag na tutulong sa kriminal na nakawin ang kanilang mga personal na detalye o mag-install ng malware sa kanilang mga system.
Maaaring maganap ang pag-bait sa parehong online at offline na mga medium. Bilang isang offline na halimbawa, maaaring iwanan ng kriminal ang pain sa anyo ng isang flash drive na nahawaan ng malware sa mga kapansin-pansing lokasyon. Maaaring ito ang elevator, banyo, parking lot, atbp., ng target na kumpanya. Ang flash drive ay magkakaroon ng isang tunay na hitsura dito, na gagawin ang biktima na kunin ito at ipasok ito sa kanilang trabaho o computer sa bahay. Ang flash drive ay awtomatikong mag-e-export ng malware sa system.
Ang mga online na anyo ng pain ay maaaring nasa anyo ng mga kaakit-akit at nakakaakit na mga patalastas na hihikayat sa mga biktima na mag-click dito. Ang link ay maaaring mag-download ng mga nakakahamak na programa, na pagkatapos ay mahawahan ang kanilang computer ng malware.
7. Quid Pro Quo
Ang quid pro quo attack ay nangangahulugang isang "something for something" attack. Ito ay isang pagkakaiba-iba ng pamamaraan ng baiting. Sa halip na painin ang mga biktima ng pangako ng isang benepisyo, ang isang quid pro quo na pag-atake ay nangangako ng isang serbisyo kung ang isang partikular na aksyon ay naisakatuparan. Nag-aalok ang umaatake ng pekeng benepisyo sa biktima kapalit ng access o impormasyon.
Ang pinakakaraniwang anyo ng pag-atake na ito ay kapag ang isang kriminal ay nagpapanggap bilang isang IT staff ng isang kumpanya. Nakipag-ugnayan ang kriminal sa mga empleyado ng kumpanya at nag-aalok sa kanila ng bagong software o isang pag-upgrade ng system. Pagkatapos ay hihilingin sa empleyado na huwag paganahin ang kanilang anti-virus software o mag-install ng malisyosong software kung gusto nila ang pag-upgrade.
8. Pagbuntot
Ang tailgating attack ay tinatawag ding piggybacking. Kabilang dito ang kriminal na naghahanap ng pagpasok sa loob ng isang pinaghihigpitang lokasyon na walang tamang mga hakbang sa pagpapatunay. Maaaring makakuha ng access ang kriminal sa pamamagitan ng paglalakad sa likod ng ibang tao na pinahintulutang pumasok sa lugar.
Bilang halimbawa, ang kriminal ay maaaring magpanggap bilang isang delivery driver na puno ng mga pakete ang kanyang mga kamay. Naghihintay siya para sa isang awtorisadong empleyado na pumasok sa pinto. Pagkatapos ay hiniling ng impostor na delivery guy sa empleyado na hawakan ang pinto para sa kanya, at sa gayon ay hahayaan siyang makapasok nang walang anumang pahintulot.
9. Honeytrap
Kasama sa trick na ito ang kriminal na nagpapanggap bilang isang kaakit-akit na tao online. Nakikipagkaibigan ang tao sa kanilang mga target at nagpapanggap ng isang online na relasyon sa kanila. Pagkatapos ay sinasamantala ng kriminal ang relasyong ito upang kunin ang mga personal na detalye ng kanilang mga biktima, humiram ng pera mula sa kanila, o gawin silang mag-install ng malware sa kanilang mga computer.
Ang pangalang 'honeytrap' ay nagmula sa mga lumang taktika ng espiya kung saan ang mga babae ay ginamit para sa pag-target sa mga lalaki.
10. Uso
Maaaring lumabas ang rogue software sa anyo ng rogue anti-malware, rogue scanner, rogue scareware, anti-spyware, at iba pa. Ang ganitong uri ng computer malware ay nililinlang ang mga user na magbayad para sa isang kunwa o pekeng software na nangakong aalisin ang malware. Ang Rogue security software ay naging isang lumalagong alalahanin sa mga nakaraang taon. Ang isang hindi mapag-aalinlanganang gumagamit ay maaaring madaling mabiktima ng naturang software, na magagamit nang marami.
11. Malware
Ang layunin ng isang pag-atake ng malware ay upang makuha ang biktima na mag-install ng malware sa kanilang mga system. Minamanipula ng umaatake ang mga emosyon ng tao para payagan ng biktima ang malware sa kanilang mga computer. Kasama sa pamamaraang ito ang paggamit ng mga instant message, text message, social media, email, atbp., upang magpadala ng mga mensaheng phishing. Ang mga mensaheng ito ay nanlilinlang sa biktima sa pag-click sa isang link na magbubukas ng isang website na naglalaman ng malware.
Ang mga taktika ng pananakot ay kadalasang ginagamit para sa mga mensahe. Maaaring sabihin nila na may mali sa iyong account at dapat mong i-click kaagad ang ibinigay na link upang mag-log in sa iyong account. Ang link ay magda-download sa iyo ng isang file kung saan mai-install ang malware sa iyong computer.
Manatiling Aware, Manatiling Ligtas
Ang pagpapaalam sa iyong sarili ay ang unang hakbang patungo sa pagprotekta sa iyong sarili mula sa pag-atake ng social engineering. Ang pangunahing tip ay huwag pansinin ang anumang mga mensahe na humihingi ng iyong password o impormasyon sa pananalapi. Maaari kang gumamit ng mga filter ng spam na kasama ng iyong mga serbisyo sa email upang i-flag ang mga naturang email. Makakatulong din ang pagkuha ng pinagkakatiwalaang software ng anti-virus na higit pang ma-secure ang iyong system.
