เบ็ดเตล็ด

6 ของการโจมตีทางวิศวกรรมสังคมที่พบบ่อยที่สุด

6 ของการโจมตีทางวิศวกรรมสังคมที่พบบ่อยที่สุด


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

การโจมตีทางวิศวกรรมสังคมอาจเป็นเรื่องที่น่าเชื่อและอาจมีค่าใช้จ่ายสูงมากสำหรับเหยื่อ วิศวกรสังคมจะใช้เทคนิคต่างๆในการเก็บเกี่ยวข้อมูลที่ละเอียดอ่อนจากเหยื่อเพื่อประโยชน์ทางการค้าของตนเองหรืออื่น ๆ

ที่นี่เราจะสำรวจว่าวิศวกรโซเชียลทำอะไรและเน้นกลยุทธ์ทั่วไปหกประการที่พวกเขาใช้

ที่เกี่ยวข้อง: วิธีการปกป้องตัวเองจากการเป็นเหยื่อของ CYBERSTALKING

วิศวกรรมสังคมไซเบอร์คืออะไร?

วิศวกรรมสังคมในกรณีที่คุณไม่รู้ตัวคือการใช้เทคนิคทางจิตวิทยาต่างๆเพื่อฉ้อโกงหรือรวบรวมข้อมูลที่ละเอียดอ่อนจากบุคคลหรือองค์กร

ในบริบทของบทความนี้คำว่าวิศวกรรมสังคมถูกใช้ในการอ้างอิงถึงความปลอดภัยของข้อมูลแทนที่จะเป็นกลยุทธ์ที่วางแผนไว้จากส่วนกลางที่ใช้เพื่อส่งเสริมแม้ว่าโดยปกติจะเป็นการบังคับให้เกิดการเปลี่ยนแปลงทางสังคมเพื่อควบคุมการพัฒนาในอนาคตและพฤติกรรมในสังคม

"[The] การใช้การหลอกลวงเพื่อหลอกลวงบุคคลให้เปิดเผยข้อมูลที่เป็นความลับหรือข้อมูลส่วนบุคคลที่อาจใช้เพื่อวัตถุประสงค์ในการฉ้อโกง" - Lexico.com.

เป็นคำที่กว้างมากและรวมถึงกิจกรรมที่เป็นอันตรายหลายอย่างโดยใช้การโต้ตอบของมนุษย์เพื่อรับข้อมูลเพื่อการค้าหรือประโยชน์อื่น ๆ ต่อผู้โจมตี

ตัวอย่างการโจมตีด้วยวิศวกรรมสังคมมีอะไรบ้าง?

ต่อไปนี้เป็นหกตัวอย่างของการโจมตีทางวิศวกรรมสังคมที่พบบ่อย ตัวอย่างต่อไปนี้ไม่ได้เรียงลำดับโดยเฉพาะและยังห่างไกลจากข้อมูลที่ครบถ้วนสมบูรณ์

1. ฟิชชิงเป็นกลยุทธ์ที่ใช้กันทั่วไป

ฟิชชิงเป็นหนึ่งในรูปแบบการโจมตีทางสังคมออนไลน์แบบวิศวกรรมสังคมที่พบบ่อยที่สุด ตามเว็บไซต์เช่น lifewire.com จริง ๆ แล้วมีบัญชีสำหรับอีเมลขยะจำนวนมากที่ผู้คนได้รับในแต่ละวัน

แต่ยังสามารถทำได้ผ่าน SMS, IM และรูปแบบอื่น ๆ ของการโต้ตอบผ่านโซเชียลมีเดีย

ข้อความรูปแบบเหล่านี้พยายามหลอกให้คุณเปิดเผยข้อมูลที่ละเอียดอ่อนเช่นรหัสผ่านรายละเอียดบัตร ฯลฯ โดยตรงหรือไปที่ URL หลอกลวงเพื่อดึงข้อมูลที่คล้ายกัน

การโจมตีแบบวิศวกรรมสังคมขั้นสูงสุดประเภทนี้พยายามเลียนแบบสถาบันที่มีชื่อเสียงและน่าเชื่อถือเช่นธนาคารของคุณเป็นต้นนอกจากนี้ยังพยายามปลูกฝังความรู้สึกเร่งด่วนให้คุณต้องดำเนินการโดยปกติแล้วจะหลีกเลี่ยงการกระทำที่ไม่ต้องการบางรูปแบบ (ได้ดี ฯลฯ ).

2. การโจมตีหลุมรดน้ำเป็นรูปแบบทั่วไปของการจารกรรมทางไซเบอร์

การโจมตีช่องรดน้ำประกอบด้วยบุคคลสามานย์ที่ฉีดรหัสที่เป็นอันตรายลงในเว็บไซต์สาธารณะเพื่อโจมตีผู้ใช้ทั่วไป

"ในการโจมตีครั้งนี้ผู้โจมตีจะคาดเดาหรือสังเกตว่าเว็บไซต์ใด [เป้าหมาย] มักใช้และติดมัลแวร์อย่างน้อยหนึ่งกลุ่มในที่สุดสมาชิกบางคนของกลุ่มเป้าหมายก็ติดไวรัส" อ้างอิงจาก Wikipedia

เมื่อผู้ใช้เยี่ยมชมไซต์เว็บไซต์ที่ประกอบด้วยจะเปิดโทรจันลับๆไปยังคอมพิวเตอร์ของผู้ใช้ วิธีการโจมตีแบบเจาะลึกเป็นเรื่องปกติมากสำหรับปฏิบัติการจารกรรมไซเบอร์หรือการโจมตีที่รัฐให้การสนับสนุน

3. Tailgating อาจเป็นปัญหาที่แท้จริง

Tailgating ตามชื่อที่แนะนำเป็นรูปแบบหนึ่งของการโจมตีทางวิศวกรรมสังคมที่ใช้เพื่อให้บุคคลที่ประสงค์ร้ายเข้าถึงพื้นที่ทางกายภาพโดยไม่ได้รับอนุญาตที่เหมาะสม ในรูปแบบพื้นฐานที่สุดผู้โจมตีจะรอให้ผู้มีอำนาจใช้บัตรเข้าใช้งานหรือข้อมูลรับรองไบโอเมตริกซ์เพื่อเปิดประตูทางเข้าอิเล็กทรอนิกส์

จากนั้นพวกเขาจะเดินผ่านประตูก่อนที่มันจะปิด

เวอร์ชันขั้นสูงเพิ่มเติมเกี่ยวข้องกับการใช้การเล่นด้วยความเอื้ออาทรของใครบางคน ตัวอย่างเช่นพวกเขาอาจห่อตัวด้วยของหนักมากเกินไปและรอที่ประตูทางเข้า

เมื่อพนักงานที่ได้รับอนุญาตเข้ามาใกล้พวกเขาจะอ้างว่าไม่สามารถเข้าถึงบัตรเข้าใช้งานของตนเองได้และขอให้เปิดประตูให้

4. การอวดอ้างสรรพคุณสามารถทำให้เชื่อได้มาก

การแสร้งทำเป็นต่อต้านฟิชชิงพยายามดึงข้อมูลที่ละเอียดอ่อนโดยสร้างความไว้วางใจเมื่อเวลาผ่านไป ผู้โจมตีจะสร้างข้ออ้างที่น่าเชื่อถือ แต่เป็นข้ออ้างที่สร้างขึ้นอย่างสมบูรณ์เพื่อวางรากฐานและทำลายการป้องกันของเหยื่อเมื่อเวลาผ่านไป

ตัวอย่างเช่นพวกเขาโทรหาเป้าหมายและแสร้งทำเป็นว่าต้องการข้อมูลบางอย่างเพื่อเปิดใช้งานบัญชีระบบใหม่หรือยืนยันตัวตน เวอร์ชันที่ซับซ้อนมากขึ้นจะสร้างความสัมพันธ์ในช่วงหลายวันหรือหลายสัปดาห์และอาจใช้ข้อมูลระบุตัวตนของพนักงานจริงในแผนกไอทีของเหยื่อ

กลวิธีแบบนี้ใช้เพื่อให้เหยื่อได้รับความไว้วางใจและเพิ่มโอกาสที่พวกเขาจะเปิดเผยข้อมูลที่ร้องขอโดยไม่ลังเล

5. การโจมตีของปลาวาฬมีแนวโน้มที่จะมุ่งเป้าไปที่เจ้าหน้าที่บริหารระดับสูง

การล่าปลาวาฬเป็นรูปแบบฟิชชิงที่ซับซ้อนยิ่งขึ้นซึ่งใช้เทคนิควิศวกรรมสังคมขั้นสูงเพื่อเก็บเกี่ยวข้อมูลที่ละเอียดอ่อน มีแนวโน้มที่จะให้ความสำคัญกับข้อมูลที่มีมูลค่าทางเศรษฐกิจและการค้าสูงกว่าให้กับผู้โจมตี

"สิ่งที่ทำให้ฟิชชิงประเภทนี้แตกต่างจากประเภทอื่นคือการเลือกเป้าหมาย: ผู้บริหารที่เกี่ยวข้องของธุรกิจเอกชนและหน่วยงานของรัฐใช้คำว่าล่าปลาวาฬเพื่อระบุว่าเป้าหมายคือปลาขนาดใหญ่ที่ต้องจับ" - infosecinstitute.com

อีเมลจากการโจมตีล่าวาฬมักจะแอบอ้างว่าเป็นอีเมลธุรกิจที่สำคัญซึ่งส่งโดยหน่วยงานที่ถูกต้องตามกฎหมายหรือองค์กรสำคัญอื่น ๆ เนื้อหาข้อความยังมีแนวโน้มที่จะมุ่งเป้าไปที่การจัดการที่สูงขึ้นและมักจะรวมถึงข้อมูลปลอมที่เกี่ยวข้องกับปัญหาทั่วทั้ง บริษัท หรือปัญหาที่เป็นความลับอื่น ๆ

6. การโจมตีแบบ Baiting และ Quid Pro Quo

Baiting เป็นอีกหนึ่งการโจมตีทางวิศวกรรมสังคมที่ชั่วร้ายซึ่งพยายามเล่นกับความอยากรู้อยากเห็นของเหยื่อ ตัวอย่างคลาสสิกจะใช้ประโยชน์จากไฟล์ที่เป็นอันตรายซึ่งปลอมตัวเป็นอย่างอื่นเช่นการอัปเดตซอฟต์แวร์หรือซอฟต์แวร์ทั่วไปอื่น ๆ

นอกจากนี้ยังสามารถเผยแพร่ผ่านการใช้อุปกรณ์ USB ที่ติดไวรัสที่ฝากไว้ในโลกแห่งความเป็นจริงเช่นแท่ง USB ที่ "หาย" ในที่จอดรถ มัลแวร์ที่ใช้จะทำลายความปลอดภัยของพีซีและเป็นประตูหลังสำหรับผู้โจมตีในการเข้าถึงข้อมูลที่ละเอียดอ่อน

การโจมตีที่คล้ายกัน แต่แตกต่างกันอย่างละเอียดเรียกว่า Quid Pro Quo โจมตี. การโจมตีรูปแบบนี้พยายามติดตั้งซอฟต์แวร์ที่เป็นอันตรายผ่านกระบวนการทำสิ่งที่ "ดี" ให้กับเหยื่อ

ในสถานการณ์การโจมตีแบบนี้แฮ็กเกอร์เสนอบริการหรือผลประโยชน์เพื่อแลกเปลี่ยนกับข้อมูลหรือการเข้าถึง แฮกเกอร์มักจะแอบอ้างเป็นเจ้าหน้าที่ไอทีในองค์กรและติดต่อพนักงานเพื่อเข้าถึงการติดตั้งหรืออัปเกรดซอฟต์แวร์ระบบ

อะไรคือสามตัวอย่างของเทคนิคที่ใช้ในการโจมตีทางวิศวกรรมสังคม?

เราได้กล่าวถึงรูปแบบการโจมตีทางสังคมออนไลน์ที่พบบ่อยที่สุด 6 รูปแบบข้างต้นแล้ว แต่ยังมีรูปแบบอื่น ๆ

  • Vishing - หรือที่เรียกว่าฟิชชิงด้วยเสียงนี่คือรูปแบบหนึ่งของการโจมตีทางวิศวกรรมสังคมที่เน้นการรวบรวมข้อมูลทางโทรศัพท์เป็นหลัก นอกจากนี้ผู้โจมตียังสามารถใช้เพื่อวัตถุประสงค์ในการลาดตระเวนเพื่อเข้าถึงบุคคลที่มีความสำคัญมากขึ้นในองค์กร
  • ยิ้ม - "การใช้การส่งข้อความ SMS เพื่อหลอกล่อเหยื่อให้ดำเนินการเฉพาะเช่นเดียวกับฟิชชิงก็สามารถคลิกลิงก์ที่เป็นอันตรายหรือเปิดเผยข้อมูลได้" Wikipedia ตั้งข้อสังเกต
  • สเปียร์ฟิชชิ่ง - นี่คือรูปแบบของฟิชชิงที่มีแนวโน้มที่จะใช้ประโยชน์จากอีเมลที่ปรับแต่งอย่างมากซึ่งส่งไปยังผู้ที่อาจตกเป็นเหยื่อจำนวน จำกัด

วิศวกรสังคมทำอะไร?

วิศวกรสังคมคือบุคคลที่ทำกิจกรรมที่เป็นอันตรายหลายอย่างเพื่อหลอกลวงเหยื่อที่เป็นมนุษย์ให้เปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อนอื่น ๆ หรือเข้าถึงข้อมูลดังกล่าว ซึ่งอาจเป็นได้ทั้งทางดิจิทัล (เช่นอีเมล) หรือในโลกแห่งความเป็นจริง

เมื่ออ้างอิงถึงอย่างหลังพวกเขามักจะถูกเรียกว่า "con-men" หรือ "คนหลอกความมั่นใจ"

ไม่ว่าในกรณีใดวิศวกรสังคมจะพยายามใช้เทคนิคการปรับเปลี่ยนทางจิตวิทยาหลายรูปแบบเพื่อหลอกล่อเหยื่อให้ทำผิดด้านความปลอดภัยหรือให้ข้อมูลอย่างอิสระ

วิศวกรโซเชียลมักจะระบุและโจมตีเหยื่อตามขั้นตอนสำคัญสองสามขั้นตอน:

1. การสอบสวน - ค้นหาเหยื่อที่อาจเกิดขึ้นและรวบรวมข้อมูลเบื้องหลัง / เลือกวิธีการโจมตี

2. พยายามขอเกี่ยว - ใช้เทคนิคที่กล่าวไว้ก่อนหน้านี้

3. เล่น - พยายามรวบรวมข้อมูลมากขึ้นเรื่อย ๆ เมื่อเวลาผ่านไป

4. ออก - ปิดการโต้ตอบกับเหยื่อ พวกเขาจะพยายามลบร่องรอยของมัลแวร์ที่ใช้ ฯลฯ ทั้งหมดและโดยทั่วไปแล้วจะนำข้อสรุปไปสู่ข้อสรุป


ดูวิดีโอ: สวนดสตโพล เผยผลสำรวจประชาชนมความสขในชวง โควด19. workpointTODAY (กรกฎาคม 2022).


ความคิดเห็น:

  1. Doyle

    Even so. Although there is plenty of writing on this topic. But really new NOTHING.

  2. Devland

    และอะไรที่ไร้สาระ?

  3. Dulabar

    ในความคิดของคุณอยู่ไม่ถูกต้อง. ฉันสามารถรักษาตำแหน่ง. Write to me in PM, we will communicate.

  4. Zolosho

    To me it is not clear.

  5. Gunn

    มีบางอย่างในนี้ ขอบคุณสำหรับความช่วยเหลือของคุณในเรื่องนี้ ตอนนี้ฉันจะรู้แล้ว



เขียนข้อความ