De kunst van sociale engineering: word je geconditioneerd?

[ware_item id=33][/ware_item]

Aan een bureau zat een illustratie van een man in een hoodie met marionettenkoorden op een man.


Naarmate we beter worden in het beveiligen van onze computersystemen, ontdekken we dat de zwakste verdedigingslinie in feite de mens is. Social engineering is de duistere kunst van het manipuleren van mensen. Sociale hackers willen misschien toegang tot een gebouw, om informatie te bemachtigen die ze niet zouden moeten hebben, of gewoon om hun status in de samenleving te verhogen.

Sociale hackers zijn verheerlijkt in films zoals Catch Me If You Can en Six Degrees of Separation, en dezelfde charme die hen de mogelijkheid geeft om slachtoffers te manipuleren, kan worden veranderd om ze sterren voor een overspelig publiek te maken.

Social hacking kan vele vormen aannemen, zoals oplichting via telefoon en e-mail, opzettelijk uitbuitende huwelijken of volledige valse identiteiten die gedurende tientallen jaren worden bewaard.

Maar hoe doen ze dit? En hoe kunnen we onszelf beschermen tegen mensen die een gave hebben om iedereen om hen heen ertoe te brengen hun wacht te laten vallen?

1) Er is veel informatie over u op internet

In een tactiek genaamd smoes, de hacker verzint een voorwendsel om contact met u op te nemen, via telefoon of e-mail of persoonlijk. Vaak betekent dit enorm veel onderzoek doen naar je achtergrond, je opleiding, je werk en zelfs de apparaten die je bezit. De aanvallers kunnen u verrassen met wat lijkt op voorkennis, misschien door uw IP-adres of universiteits-ID te kennen. Ze kunnen gebruikmaken van informatie die u vrijwillig ergens anders op internet aanbood en vervolgens vergat.

Pretexting wordt vaak gebruikt om meer informatie van een doel te krijgen en wordt soms geformuleerd als "bevestigende" informatie. Het kan worden gebruikt om de gebruiker te misleiden tot het uitvoeren van beveiligingsgevoelige taken, zoals het downloaden van software, het uitschakelen van firewalls of het omzeilen van beveiligingsmechanismen.

Een andere tactiek is een afleidingstechniek. Dit is wanneer een aanvaller u overtuigt om een ​​betaling naar een ander account te doen of uw zending naar een ander adres te verzenden. Vaak gaat deze tactiek over het omleiden van communicatie- of coderingssleutels. Iemand belt u misschien en doet zich voor als vertegenwoordiger van een bank of e-mailprovider en geeft u vervolgens een nuttig bericht met betrekking tot een waarschuwingsbericht. De persoon kan u vertellen de waarschuwingen 'veilig te negeren'. Op dezelfde manier kan u worden gevraagd om te beginnen met communiceren met iemand "van een andere afdeling" of een alternatieve coderingssleutel krijgen voor gebruik met uw account.

2) Je bent een vriendelijke en eerlijke persoon

De meeste mensen vinden het leuk om anderen op de een of andere manier te helpen en vermoeden geen aanval achter elk verzoek. En natuurlijk moeten we onze behulpzaamheid niet vervangen door ondraaglijke paranoia.

Het is moeilijk om een ​​gezond evenwicht te handhaven en vaak worden tekenen van paranoia bespot.

We zijn minder achterdochtig als er goede dingen met ons gebeuren. Een dure USB-stick die je op de vloer vindt, kan malware bevatten of de pluizige teddybeer die naar je kantoor wordt gestuurd, kan een camera of een trackingapparaat bevatten. Deze tactiek staat bekend als baiting, en in extreme gevallen kunnen de aanvallers zo ver gaan dat ze zeggen dat ze 'verliefd op je zijn geworden', of grote prijzen aanbieden voor wedstrijden die je je niet herinnert.

Door geen voorzichtigheid in acht te nemen en de identiteit te controleren van mensen die contact met ons opnemen, kunnen aanvallers dat doen autoriteit vestigen over ons. In een grote organisatie kan het moeilijk zijn om precies te weten wie hoger in de commandostructuur staat, en nieuwe medewerkers zijn bijzonder kwetsbaar voor dit soort zwendel. Een bedrijf kan vatbaarder zijn voor dit soort aanvallen na managementwijzigingen of herstructureringen.

Sociale hackers kunnen zelfs misbruik je vriendelijkheid veel botter, gewoon door iets te vragen. In een ruwe werkomgeving reageren gestreste werknemers vaak zeer positief op vriendelijke verzoeken. In feite zullen de meeste mensen reageren op vriendelijkheid of autoriteit.

3) Je onthult meer over jou dan je denkt

Je weet misschien niet of je het soort persoon bent dat beter reageert op autoriteit of op vriendelijkheid, maar een ervaren aanvaller kan er snel achter komen door subtiele tekens in je gezichtsuitdrukkingen of handgebaren te lezen.

Victor Lustig, de meester-oplichter die een schroothandelaar voor de gek hield om te geloven dat hij de Eiffeltoren kocht, legt uit:

  • Wees een geduldige luisteraar (het is dit, niet snel praten, dat een oplichter zijn coups krijgt).
  • Wacht tot de andere persoon politieke meningen onthult en ga dan akkoord.
  • Laat de andere persoon religieuze opvattingen onthullen en dezelfde hebben.
  • Tip over seksgesprekken, maar volg het niet op tenzij de andere persoon een sterke interesse toont.
  • Bespreek nooit ziekte, tenzij een speciale zorg wordt getoond.
  • Wrik nooit op de persoonlijke omstandigheden van een persoon (het doel zal u uiteindelijk vertellen).
  • Nooit opscheppen - laat uw belang rustig duidelijk zichtbaar zijn.

Doelgerichter en efficiënter kan een phishing aanval. In de meest voorkomende vorm ontvangt u een e-mail van uw bank met een verzoek om in te loggen op uw account. Maar in plaats van dat u wordt omgeleid naar de website van uw bank, wordt u doorgestuurd naar een identieke site die eigendom is van de aanvallers. Deze aanval kan zelfs tweefactorauthenticatie omzeilen. Wanneer de aanvallers proberen in te loggen op uw echte account, ontvangt u mogelijk een sms met een beveiligingscode van uw bank. Ze zullen dit verkrijgen, eenvoudig door u te vragen om het op hun nepsite in te voeren.

4) Je geest trekt gemakkelijk conclusies

We willen niet toegeven dat we geen mensen herkennen die beweren ons te kennen. Vooral als ze intieme details over onszelf lijken te kennen. In feite zijn we veel meer geneigd onszelf te misleiden door te denken dat we de persoon moeten kennen, in plaats van een confrontatie te riskeren om de aard van onze relatie te verduidelijken. Dit wordt misbruikt in talloze telefoonoplichting, waarbij mensen worden misleid om te geloven dat hun verre familieleden bellen en financiële hulp nodig hebben.

William Thompson, die in de jaren 1840 in New York City woonde, overtuigde willekeurige vreemden niet alleen dat ze hem kenden, maar ook dat ze hem konden vertrouwen met het zorgen voor hun waardevolle bezittingen. Hij werd al snel in het hele land bekend als 'de zelfverzekerde man'.

5) Je bent geneigd te geloven dat anderen zoals jij zijn

Je hebt geen kwade bedoelingen, dus waarom zouden anderen? We kunnen ons moeilijk voorstellen dat soms ogenschijnlijk gewone mensen je willen schaden.

Je kent kwade hackers, maar ze vallen alleen natiestaten en burgerrechtenactivisten aan, toch? Waarom zou iemand proberen je te hacken? Je hebt geen gevallen van geld of handelsgeheimen om te stelen. Dus waarom zouden mensen je kwaad willen doen??

In werkelijkheid zijn u en uw gegevens waarschijnlijk veel waardevoller dan u denkt en wordt u mogelijk al op een of andere manier aangevallen. Het kan een geautomatiseerde aanval zijn of gewoon toeval, maar het is verstandig om toevalligheden niet blindelings te vertrouwen. Wees op uw hoede voor het plotseling verschijnen van een oude kennis of een vreemd verzoek dat via de telefoon binnenkomt.

Lees hier meer internetprivacy- en veiligheidstips

De kunst van sociale engineering: word je geconditioneerd?
admin Author
Sorry! The Author has not filled his profile.