ソーシャル エンジニアリング:デジタル浸透の技術

デジタル コミュニケーションの台頭に伴い、組織に対するソーシャル エンジニアリング攻撃のリスクは増加していますが、サイバー詐欺師にとっては減少しています。

ソーシャル エンジニアリングは、人間の心理を利用して、組織のネットワーク、システム、またはデータにアクセスする技術です。サイバー犯罪者は、ハッキング技術を使用して情報にアクセスする代わりに、ソーシャル エンジニアリング技術を使用して、ユーザーをだまして機密情報を明らかにさせます。

ソーシャル エンジニアは、IT サポート担当者を装った従業員に電話をかけ、彼をだましてパスワードやその他の機密情報を漏らす可能性があります。

セキュリティに関しては、すべての機能を備えていると思うなら、それは間違いです。狡猾なソーシャル エンジニアは、日々ハッカーが巧妙な方法を考案して、従業員や個人をだまして貴重な会社情報を提供させているため、簡単に悪用できます。

ソーシャル エンジニアリングには人的要素が含まれます。したがって、安全な組織はありません。人間はセキュリティへの最も弱いリンクです。また、従業員を扱う組織が防止するのは難しい場合があります。

この記事では、ハッカーがソーシャル エンジニアリング攻撃を実行するために採用する手法、ソーシャル エンジニアリング攻撃の種類など、ソーシャル エンジニアリングに関する重要事項について説明します。

10 月は National Cyber​​ Security Awareness Month であり、Windows 用 Advanced System Protector、Mac 用 Systweak Anti-Malware、Android 用 Systweak Anti-Malware などのセキュリティ ツールを扱う会社として、企業、従業員、エンド ユーザーを教育するイニシアチブを取っています。ソーシャル エンジニアリングの取り組みを特定し、これらの攻撃の成功を防ぐ方法について説明します。

これだけでなく、有名なソーシャル エンジニアリング攻撃、フォーム ソーシャル エンジニアリング攻撃を防止する方法、およびソーシャル エンジニアリング攻撃の種類についてもお知らせします。

答えを得るには、さらに読んでください。

ソーシャル エンジニアリングとは

人間の行動を利用して詐欺を仕掛ける技術は、ソーシャル エンジニアリングです。広く信じられていることとは反対に、ハッキングはソフトウェアまたはオペレーティング システムの抜け穴を見つけることに関連しています。サイバー犯罪者が人間の行動や習慣の脆弱性を探して発見することも、ハッキングの一種であり、何よりも組織のセキュリティに大きな損害を与える可能性があります。

最も一般的な例は、ギリシャ人がトロイの木馬を使ってトロイの壁の中に侵入したことです。ソーシャル エンジニアとして知られる現代のサイバー犯罪者も同じ道をたどっています。彼らはヒューマン エラーを利用して、技術的なセキュリティ対策を迂回しています。

企業はどのような危険にさらされていますか?

エンド ユーザーはあらゆる組織にとって最大のセキュリティの脅威であり、ソーシャル エンジニアはそれを認識しています。そのため、Facebook、LinkedIn などのソーシャル ネットワーキング サイトを使用して、組織、従業員、運営方法などについて広範な調査を行います。

ソーシャル エンジニアは、人々がソーシャル サイトで情報を共有する際に用心深くないことを知っています。これにより、フィッシング メールを作成したり、上司や法執行機関や同僚を装って電話をかけたりするために、できる限り多くの情報を収集することができます。パスワードおよびその他の機密情報。

ソーシャル エンジニアリングのしくみ

サイバー攻撃の最も一般的な手段の 1 つであるソーシャル エンジニアリングは、詐欺師がセキュリティ チェーンの最も弱いリンクを標的にするため、一般的になってきています。

ユーザーは通常、電話またはオンラインの 2 つの方法でターゲットにされます。

電話 :サイバー犯罪者は、信頼を得るために従業員、上級管理職、または法執行機関の役人を装い、そのために特定の質問をすることさえあります。被害者がこのトリックにだまされると、ログイン資格情報やパスワードを要求されますが、相手は発信者を信じているため、気付かれません。

フィッシング :サイバー攻撃者が使用する最も一般的で一般的な詐欺手法。この方法では、ユーザーは安全で信頼できるサイトにいると信じているため、情報を共有します。ソーシャル エンジニアリングのもう 1 つの方法は、悪意のある添付ファイルを介してオンラインで行われます。

ソーシャル エンジニアリングとは何か、ソーシャル エンジニアがどのようにユーザーをだまして機密情報を開示させるかがわかったところで、今度はソーシャル エンジニアリング攻撃の種類について説明します。

ソーシャル エンジニアリング攻撃の種類

組織は、従業員を教育して、スピア フィッシング、見返り、おとり、フィッシング、プリテキスティング、テールゲーティングなどの一般的な種類のソーシャル エンジニアリング攻撃について認識させる必要があります。

確かに、企業はソーシャル エンジニアリング攻撃に対処するために、ファイアウォール、メール フィルター、ネットワーク監視ツールなどの方法を採用できます。しかし、これでは人為的ミスのリスクは減りません。したがって、ソーシャル エンジニアリング攻撃の発生率を減らすには、従業員は一般的な種類のソーシャル エンジニアリングとその対処方法を知る必要があります。

以下は、サイバー犯罪者が採用する一般的なソーシャル エンジニアリング手法の内訳です。

<強い>1.スピアフィッシング – 主に特定の組織または個人に焦点を当てたタイプのフィッシング攻撃。スピア フィッシング攻撃を成功させ、正規の攻撃者に見せかけるために、攻撃者は被害者のソーシャル メディア アカウントやその他のオンライン アクティビティから収集した情報を使用します。

<強い>2.見返り – 攻撃者が誰かが必要としているものと引き換えに機密情報を要求すると、代償攻撃が発生します。たとえば、被害者がギフトを受け取るためにアカウントにログインしたり、個人情報を共有したりするように求められた場合、これは見返り攻撃になる可能性があります。決して忘れてはならないのは、何かがうますぎるように聞こえる場合は、何かが正しくないということです。

<強い>3.ベイティング – When individuals use an infected USB flash drive or CD kept by attacker baiting attack takes place. This means attackers keep an infected device at a place where it can easily be seen, and someone will pick and use it. As soon as such a device is attached to the device attacker can take control of the device as malware gets installed on the machine.

<強い>4. Phishing – When individuals fall for tricks that make them install a malware, share personal, financial, or corporate information phishing attack takes place. It is the most common and popular mode of performing social engineering attack. To make phishing attack a success fraudster send fake communication to the victim disguised as legitimate or claiming to be from a trusted source. Usually attackers take advantage of a natural calamity and send out mails as charity pleas after such tragedies, exploiting people’s goodwill and urging them to donate to a cause by recording personal or payment information.

<強い>5. Pretexting – When attacker creates fake situations to force victim into giving access to confidential information or protected systems. For instance, scammer pretending to be a part of organization trusted entity tricking him to divulge login credentials or granting information to secret data.

<強い>6. Tailgating – It is physical social engineering technique that take place when unauthorized person follows individuals into a secure location. The aim is to gain access and steal valuable information.

Social engineering is an ongoing and serious threat for organizations and employees those who fall for the cons. Therefore, the first step to stay secure to educate employees and make them aware about sophisticated social engineering methods adopted by social engineers; thereby, gaining access to confidential data.

How to Educate end user to fall victim/prevent Social Engineering Attacks?

The first step to stay secure is to create awareness between employees and make them familiar with tactics used by social engineers to steal data. Apart from this, following points are worth keeping a note of:

1. To create security awareness train employees repeatedly.

2. Guarantee to run a comprehensive security training program to keep employees updated and aware about latest phishing threats and how they take place.

3. Give training to both senior and low-level executives.

4. Ensure that no one shares any confidential data over phone or on email.

5. Review existing process from time to time.

6. An email for CEO or any official asking for financial information or business secret should raise a red flag and they should fall for such tricks.

7. Run mock test to see if employees understand enough about phishing and social engineering attacks.

8. Avoid sharing login credentials, passwords with anyone. If a legitimate person needs to access any information they will be able to do so without asking you to share information.

9. Make sure the URL is genuine and correct before you key in any details like username, passwords, or account details.

10. If you receive attachments from unknown sender never open or download them.

Still if you think, social engineering attacks are easy to detect and can easily be handle. Here we enlist popular social engineering attacks that may be an eye opener for you.

Popular Social Engineering Attacks

2016:Democratic National Convention Emails:attackers crafted spear phishing emails that appeared to be legitimate resulting in theft of 150,000 emails from twelve staffers of the Clinton campaign.

2016:United States Department of Justice: tricked by a hacker as he posed as a new employee who needed some help, resulting in giving him the access code that lead to data leak of 20,000 FBI and 9,000 DHS employees.

2015:Ubiquiti Networks BEC Attack: costed the company a loss of approximately $46.7 million dollars. It was a special type of spear phishing email attack in which attacker pretenses as a high official targeting employee with power to perform certain functions, like transferring money or accessing HR records. The email sent out asked the employee to make a wire transfer to certain account that was said to be partner account but in reality, it was under hacker control meaning organization has to bear financial losses because of the innocent employee failing for the trick.

2014:Sony Pictures Hack

2014:Yahoo Hack: 2014 Yahoo hack was significant, endangering up to 500 million users. The spearphishing attack targeting “semi-privileged” Yahoo employees.

2013:Associated Press Twitter

2013:Bit9 Certificate Theft

2013:Target Point of Sale

2013:United States Department of Labor Watering Hole

2011:RSA SecurID

結論

This read may be an element for some as they are reading about poor security decisions but the trust it no one is secure from social engineering attacks, and the savviest person fall victim to such attacks. Therefore, it is important to take online security seriously and keep a skeptic eye on every online request.