Wie Social Engineers Exploit Beziehungen in Systeme Hack
Nach dem Sozialingenieure das Vertrauen ihrer ahnungslosen Opfer zu erhalten, zu nutzen sie die Beziehung und Koax die Opfer in mehr Informationen preiszugeben, als sie sollten. Whammo - der Social Engineer kann für die Tötung gehen in. Social Engineers tun dies durch face-to-face oder elektronische Kommunikation, dass die Opfer sich wohl fühlen, oder sie Technologie einsetzen, um die Opfer zu bekommen, um Informationen weiterzugeben.
Deceit durch Worte und Taten
Wily Sozialingenieure können Insider-Informationen von ihren Opfern in vielerlei Hinsicht zu bekommen. Sie sind oft zu artikulieren und konzentrieren sich auf ihre Gespräche zu halten ohne sich zu bewegen, ihre Opfer viel Zeit, um darüber nachzudenken, was sie sagen. Allerdings, wenn sie nachlässig sind oder übermäßig ängstlich während ihrer Social-Engineering-Angriffe, die folgenden tip-offs geben könnte sie weg:
Acting übermäßig freundlich oder eifrig
Erwähnens Namen von prominenten Personen innerhalb der Organisation
Prahlen Autorität innerhalb der Organisation
Drohen Abmahnungen, wenn Anfragen nicht eingelöst werden
Acting nervös, wenn in Frage gestellt (spitzte die Lippen und zappeln - vor allem die Hände und Füße, weil Körperteile zu steuern, die von der Fläche sind weiter mehr bewusste Anstrengung erfordert)
overemphasizing Details
Erleben physiologischen Veränderungen, wie zum Beispiel erweiterte Pupillen oder Veränderungen in der Stimmlage
Erscheinend gehetzt
Verweigern Informationen zu geben,
Volunteering Informationen und die Beantwortung von Fragen ungefragt
haben Informationen zu wissen, dass ein Außenstehender nicht
Mit Insider-Sprache oder Slang als bekannter Außenseiter
Fragen seltsame Fragen
Misspelling Worte in schriftlichen Mitteilungen
Ein guter Social Engineer ist nicht offensichtlich mit den vorangegangenen Aktionen, aber diese sind einige der Anzeichen, dass schädliches Verhalten in Arbeit ist. Natürlich, wenn die Person ein Soziopath oder Psychopath ist, kann Ihre Erfahrung variieren.
Sozialingenieure tun oft einen Gefallen für jemanden und dann umdrehen und fragen, dass die Person, wenn er oder sie etwas dagegen, ihnen zu helfen würde. Dieser gemeinsame Social-Engineering-Trick funktioniert ziemlich gut. Social Engineers nutzen auch oft das, was genannt wird Reverse Social Engineering.
Dies ist, wo sie Hilfe anbieten, wenn ein bestimmtes Problem arises- einige Zeit vergeht, tritt das Problem auf (oft durch ihre tun), und dann helfen sie das Problem beheben. Sie können als Helden stoßen, die ihre Ursache fördern können. Social Engineers könnten einen ahnungslosen Mitarbeiter um einen Gefallen bitten. Ja - sie nur geradezu um einen Gefallen bitten. Viele Menschen fallen in diese Falle.
einen Mitarbeiter Impersonating ist einfach. Sozialingenieure können eine ähnlich aussehende Uniform tragen, einen gefälschten Ausweis Abzeichen machen, oder einfach wie die echten Mitarbeiter kleiden. Leute denken, # 147-Hey - er sieht aus und verhält sich wie mich, also muss er einer von uns sein # 148;.
Social Engineers so tun, als auch die Mitarbeiter von einer externen Telefonleitung telefonieren zu sein. Dieser Trick ist eine besonders beliebte Art Helpdesk und Call-Center-Personal zu nutzen. Sozialingenieure wissen, dass diese Mitarbeiter in eine Furche fallen leicht, weil ihre Aufgaben repetitiv sind, wie zu sagen, # 147-Hallo, kann ich Ihre Kundennummer zu erhalten, wenden Sie sich bitte # 148?;
Deceit durch Technologie
Die Technologie kann die Dinge einfacher machen - und mehr Spaß - für den Social Engineer. Oft kommt ein böswilliger Informationsanfrage von einem Computer oder anderen elektronischen Einheit, die die Opfer denken, sie identifizieren können. Aber Spoofing einen Computernamen, eine E-Mail-Adresse, eine Faxnummer oder eine Netzadresse ist einfach.
Hacker können durch das Senden von E-Mails über Technologie täuschen, dass die Opfer für kritische Informationen fragt. Eine solche E-Mail bietet in der Regel einen Link, der Opfer zu einem professionell und legitim aussehende Website-Adresse verweist, dass # 147-Updates # 148- solche Kontoinformationen wie Benutzer-IDs, Passwörter und Sozialversicherungsnummern. Sie könnten dies auch auf Social-Networking-Sites wie Facebook und Myspace.
Viele Spam und Phishing-Nachrichten auch diesen Trick verwenden. Die meisten Nutzer sind mit so viel Spam und andere unerwünschte E-Mails überschwemmt, dass sie oft ihre Wache im Stich lassen und offene E-Mails und Anhänge sollten sie nicht. Diese E-Mails sehen in der Regel professionell und glaubwürdig. Sie täuschen die Menschen oft in Offenlegung von Informationen die sie nie im Austausch für ein Geschenk geben sollte.
Diese Social-Engineering-Tricks auch auftreten, wenn ein Hacker, der bereits in das Netzwerk gebrochen sendet Nachrichten oder erstellt gefälschte Internet Pop-up-Fenster. Die gleichen Tricks haben über Instant Messaging und Handy-Messaging aufgetreten.
In einigen weithin bekannten Vorfälle, Hacker E-Mail ihre Opfer einen Patch angeblich von Microsoft zu kommen oder einen anderen bekannten Anbieter. Nutzer glauben, es aussieht wie eine Ente und es wie eine Ente quakt - aber es ist nicht die richtige Ente! Die Botschaft ist tatsächlich von einem Hacker den Anwender wollen, um die Installation # 147-Patch, # 148-, die einen Keylogger Trojaner-installiert oder erstellt eine Backdoor in Computern und Netzwerken.
Hacker nutzen diese Backdoors in der Organisation Systeme zu hacken oder den Computern der Opfer verwenden (auch bekannt als Zombies) Als Pads startet ein anderes System zu attackieren. Viren und Würmer können auch Social Engineering verwenden. Zum Beispiel, sagte der LoveBug Wurm Benutzer hatten sie einen heimlichen Verehrer. Wenn die Opfer die E-Mail geöffnet wird, war es zu spät. Ihr Computer infiziert waren (und vielleicht noch schlimmer, sie hatte keine heimlichen Verehrer).
Das Nigerianer 419 E-Mail versucht, Betrug Regelung der ahnungslose Menschen Bankkonten und Geld zuzugreifen. Diese Sozialingenieure bieten Millionen Dollar an die Opfer zu übertragen eines verstorbenen Kunden Gelder in die Vereinigten Staaten zu repatriieren. All das Opfer zur Verfügung stellen muss, ist persönliche Bank-Account-Informationen und ein wenig Geld vorne die Transferkosten zu decken. Die Opfer haben dann ihre Bankkonten geleert.
Viele EDV-Social-Engineering-Taktiken können anonym über Internet-Proxy-Server, Anonymizer, Remailern und grundlegende SMTP-Server durchgeführt werden, die ein offenes Relais haben. Wenn die Menschen für Anträge auf vertrauliche persönliche oder Unternehmensinformationen fallen, sind die Quellen dieser Social-Engineering-Angriffe oft unmöglich zu verfolgen.