Social engineering
Social engineering är konsten att manipulera människor så att de lämnar ut konfidentiell information. Varje cyberbrott börjar med en social ingenjörsattack. Låt oss titta på hur det fungerar och hur du kan skydda dig mot det.
Developer
Introduktion
När det kommer till cybersäkerhet tänker de flesta på tekniska attacker som SQL-injektion, cross-site scripting, man-in-the-middle-attacker eller skadlig programvara. Men de vanligaste och mest effektiva attackerna är ofta inte tekniska alls. Social engineering är konsten att manipulera människor så att de lämnar ut konfidentiell information. Varje cyberbrott börjar med en social ingenjörsattack.
Här är definitionen från Wikipedia:
I informationssäkerhetssammanhang är social engineering den psykologiska manipulationen av människor för att få dem att utföra handlingar eller avslöja konfidentiell information. En form av bedrägeri för informationsinsamling, bedrägeri eller systemåtkomst, den skiljer sig från ett traditionellt "bedrägeri" genom att den ofta är ett av många steg i ett mer komplext bedrägeri.[1] Det har också definierats som "vilken handling som helst som påverkar en person att vidta en åtgärd som kan eller inte kan vara i deras bästa intresse."
Vilken typ av information dessa brottslingar söker kan variera, men när individer är måltavlor är brottslingarna vanligtvis ute efter att luras till att ge dem dina lösenord, personlig information eller att få tillgång till din dator för att hemligt installera skadlig programvara – som ger dem tillgång till dina lösenord och bankinformation samt ger dem kontroll över din dator.
Hur fungerar social engineering?
Social engineering-attacker sker i ett eller flera steg. De flesta social engineering-attacker bygger på faktisk kommunikation mellan angripare och offer. Ofta är det så att offren är måltavlor för flera angripare över en längre tidsperiod, och attackerna är noggrant utformade för att undvika upptäckt. En framgångsrik attack involverar följande steg:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M129.744%2c62L124.681%2c66.167C119.618%2c70.333%2c109.493%2c78.667%2c104.43%2c86.333C99.367%2c94%2c99.367%2c101%2c99.367%2c104.5L99.367%2c108'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M99.367%2c166L99.367%2c170.167C99.367%2c174.333%2c99.367%2c182.667%2c99.367%2c190.333C99.367%2c198%2c99.367%2c205%2c99.367%2c208.5L99.367%2c212'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M99.367%2c270L99.367%2c274.167C99.367%2c278.333%2c99.367%2c286.667%2c103.915%2c294.576C108.463%2c302.486%2c117.559%2c309.972%2c122.107%2c313.715L126.655%2c317.458'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_D_A_3' d='M195.358%2c320L200.42%2c315.833C205.483%2c311.667%2c215.609%2c303.333%2c220.672%2c290.5C225.734%2c277.667%2c225.734%2c260.333%2c225.734%2c243C225.734%2c225.667%2c225.734%2c208.333%2c225.734%2c191C225.734%2c173.667%2c225.734%2c156.333%2c225.734%2c139C225.734%2c121.667%2c225.734%2c104.333%2c221.186%2c91.924C216.638%2c79.514%2c207.542%2c72.028%2c202.994%2c68.285L198.446%2c64.542'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(162.55078125%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='128.484375' y='-27' x='-64.2421875' style='' class='basic label-container'/%3e%3cg transform='translate(-34.2421875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='68.484375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eResearch%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(99.3671875%2c 139)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='97.359375' y='-27' x='-48.6796875' style='' class='basic label-container'/%3e%3cg transform='translate(-18.6796875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='37.359375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eHook%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(99.3671875%2c 243)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='182.734375' y='-27' x='-91.3671875' style='' class='basic label-container'/%3e%3cg transform='translate(-61.3671875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='122.734375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3ePlay on emotions%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(162.55078125%2c 347)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='117.8125' y='-27' x='-58.90625' style='' class='basic label-container'/%3e%3cg transform='translate(-28.90625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='57.8125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eExecute%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
-
Research: Angriparen samlar information om målet, som potentiella angreppspunkter och svaga säkerhetsprotokoll, som behövs för att genomföra attacken. I dagens värld är det mycket enkelt att hitta information om en person online. Till exempel kan du hitta en persons e-postadress, telefonnummer och till och med deras hemadress på deras sociala medieprofil. Du kan också få reda på var de arbetar, vad de gör och med vilka de arbetar. Denna information kan användas för att skapa ett mycket övertygande nätfiske-e-post eller telefonsamtal i nästa steg.
-
Hook: Angriparen använder den informationen för att skapa ett trovärdigt scenario som lockar offret att göra det angriparen vill. Till exempel kan angriparen ringa offret och låtsas vara en kundtjänstagent från deras bank och be dem verifiera sina kontouppgifter. Eller så kan de ringa en anställd på ett företag och låtsas vara IT-support och be dem återställa sitt lösenord.
-
Play on emotions: Angriparen spelar på känslor för att få offret att agera omedelbart, utan att tänka efter. Till exempel kan angriparen hota offret med böter, straff eller åtal om de inte följer begäran omedelbart. Eller så kan de tilltala offret girighet och lova dem en stor summa pengar eller en belöning i utbyte mot deras hjälp.
-
Execute: Angriparen genomför attacken, som kan ta många olika former. Till exempel kan de:
- Lura offret att installera skadlig programvara på sin dator.
- Lura offret att avslöja känslig information i ett e-postmeddelande eller telefonsamtal.
- Lura offret att skicka pengar till angriparen.
- Lura offret att klicka på en skadlig länk i ett e-postmeddelande eller SMS.
Dessa steg ovan kan ske på mycket kort tid eller över veckor eller månader. Angriparen kan rikta in sig på en person eller en grupp av personer. Anslutningen kan etableras genom ett telefonsamtal, e-post, SMS eller chattar på sociala medier. Men det avslutas slutligen med en handling du utför, som att dela din information eller utsätta dig för skadlig programvara.
Typer av sociala ingenjörsattacker
Det finns många typer av sociala ingenjörsattacker, och varje har sitt eget syfte och mål. Här är några av de vanligaste typerna av sociala ingenjörsattacker:
Spam Phishing
Spam phishing är den vanligaste typen av sociala ingenjörsattacker. Det är en typ av nätfiskeattack där angriparen skickar ut miljontals e-postmeddelanden till slumpmässiga personer, i hopp om att några av dem kommer att falla för bluffen. E-postmeddelandena skickas vanligtvis från en falsk e-postadress och innehåller ofta en länk till en skadlig webbplats eller en skadlig bifogad fil. Målet med attacken är att lura offret att klicka på länken eller öppna bilagan, som kommer att installera skadlig programvara på deras dator.
Exempel
Tänk dig att du får ett oombett e-postmeddelande i din inkorg med en lockande ämnesrad som hävdar att du har vunnit ett stort kontantpris. E-postmeddelandets titel säger att du har vunnit $1,000,000 och behöver begära ditt pris omedelbart.
När du öppnar e-postmeddelandet hittar du ett meddelande som gratulerar dig till din påstådda lotterivinst. Det kan inkludera extravaganta löften, som en livsförändrande summa pengar. E-postmeddelandet innehåller vanligtvis en länk eller kontaktinformation för att du ska kunna hämta dina vinster.
Detta e-postmeddelande visar klassiska tecken på en spamfiskningsattack:
-
Oombedd: Du deltog aldrig i någon lotteri eller tävling, så du borde inte ha vunnit något pris.
-
För bra för att vara sant: Löftet om en stor summa pengar utan någon tydlig anledning är en vanlig taktik för att locka offer.
-
Snabb åtgärd: E-postmeddelandet kan hävda att du måste agera snabbt för att hämta ditt pris, vilket skapar en känsla av brådska.
-
Begär personlig information eller pengar: För att "hämta" ditt pris kan du bli ombedd att ge personlig information, betala avgifter eller överföra pengar för att täcka påstådda bearbetningskostnader.
Spear Phishing
Spear phishing är en typ av nätfiskeattack där angriparen riktar sig mot en specifik person eller grupp av personer. Angriparen kommer att göra research på målet och sedan skicka dem ett personligt e-postmeddelande som ser ut som om det kom från en betrodd källa. E-postmeddelandet innehåller vanligtvis en länk till en skadlig webbplats eller en skadlig bifogad fil. Målet med attacken är att lura offret att klicka på länken eller öppna bilagan, som kommer att installera skadlig programvara på deras dator. Till skillnad från spam phishing är spear phishing-attacker mycket riktade och personliga, och de är mycket mer benägna att lyckas.
Exempel
I detta spear phishing-scenario får du ett e-postmeddelande som ser ut att vara från en kollega eller någon du känner. E-postmeddelandet innehåller en ämnesrad som antyder att det är ett viktigt säkerhetsmeddelande. Vad som gör spear phishing annorlunda från vanlig phishing är att angriparen riktar sig mot en specifik individ och ofta har viss kunskap om målet.
När du öppnar e-postmeddelandet hittar du ett meddelande som påstås vara från din IT-rådgivare Charles. Det tilltalar dig med ditt fullständiga namn och nämner en påstådd säkerhetsöverträdelse på ditt arbetskonto. E-postmeddelandet uppmanar dig att klicka på en länk eller ladda ner en bilaga för att säkra ditt konto. Du klickar på länken och den tar dig till en webbplats som ser exakt ut som din arbetsgivas inloggningssida. Du anger ditt användarnamn och lösenord, och nu har angriparen tillgång till ditt konto.
Detta e-postmeddelande visar klassiska tecken på en spear phishing-attack:
-
Personalisering: E-postmeddelandet tilltalar dig med ditt fullständiga namn, vilket ger det ett sken av legitimitet.
-
Brådska: Meddelandet förmedlar en känsla av brådska, vilket antyder att du måste vidta omedelbara åtgärder för att åtgärda ett säkerhetsproblem.
-
Begäran om åtgärd: E-postmeddelandet ber dig att klicka på en länk eller ladda ner en bilaga. Dessa länkar eller bilagor innehåller ofta skadlig programvara eller nätfiskesidor.
Baiting
Baiting är en typ av sociala ingenjörsattacker där angriparen erbjuder något lockande till offret i utbyte mot deras personliga information. Till exempel kan angriparen erbjuda ett gratis presentkort eller en gratis filmnedladdning i utbyte mot offrets e-postadress. Målet med attacken är att lura offret att ge upp sin personliga information, som angriparen sedan kan använda för att stjäla deras identitet eller begå bedrägerier. Det utnyttjar offrets nyfikenhet eller girighet.
Exempel
I detta baiting-scenario lämnar angriparna en USB-enhet på en offentlig plats, som ett kafé eller en parkeringsplats. USB-enheten är märkt "Confidential" eller "Private", och den innehåller ett skadligt program som kommer att installera skadlig programvara på offrets dator när de ansluter den. Målet med attacken är att lura offret att ansluta USB-enheten till sin dator, vilket kommer att installera skadlig programvara på deras dator.
Du ansluter USB-enheten till din dator i hopp om att hitta värdefull information. Den verkar innehålla en fil med namnet "Confidential_Project_Data.csv." När du försöker öppna filen triggar den ett dolt skript som infekterar din dator med skadlig programvara.
I denna baiting-attack:
- Fällan är USB-enheten, som är märkt "Confidential" eller "Private", vilket gör den lockande för alla som stöter på den, särskilt i en professionell eller arbetsmiljö.
- Nyfikenhetsfaktorn: Människans nyfikenhet utnyttjas som en sårbarhet, vilket får individer att vidta åtgärder de annars kanske skulle undvika.
Water holing
Water holing är en typ av sociala ingenjörsattacker där angriparen riktar sig mot en specifik grupp av människor genom att infektera en webbplats som de sannolikt besöker. Till exempel kan angriparen infektera en populär nyhetswebbplats eller en populär social mediesida. Målet med attacken är att lura offret att besöka den infekterade webbplatsen, som kommer att installera skadlig programvara på deras dator.
Exempel
En grupp angripare siktar på att kompromettera säkerheten för en specifik industriförening som representerar en gemenskap av cybersäkerhetsspecialister. Angriparna avser att stjäla känslig data och infiltrera systemen hos cybersäkerhetsexperter.
Angriparna identifierar en välkänd och respekterad webbplats som används av denna gemenskap. I detta fall väljer de den officiella webbplatsen för cybersäkerhetsindustrins förening.
Angriparna identifierar och utnyttjar en sårbarhet på industriföreningens webbplats. De kan använda tekniska metoder som SQL-injektion eller cross-site scripting (XSS) för att få obehörig åtkomst till webbplatsens innehållshanteringssystem.
När de har fått tillgång till webbplatsen injicerar angriparna skadlig kod på sidorna. Denna kod är utformad för att leverera skadlig programvara till besökare av de komprometterade sidorna.
Sedan väntar angriparna på att cybersäkerhetsexperter ska besöka webbplatsen. De vet att många cybersäkerhetsexperter regelbundet kontrollerar webbplatsen för uppdateringar, nyheter och resurser.
När cybersäkerhetsexperter besöker industriföreningens webbplats för att läsa artiklar, delta i webbseminarier eller ladda ner resurser, utsätter de omedvetet sina enheter för den injicerade skadliga programvaran. Den skadliga programvaran kan stjäla känslig information, som inloggningsuppgifter eller personlig data. Den kan också ge angriparna en fotfäste för att upprätta ytterligare attacker, inklusive spear phishing eller utnyttja kända sårbarheter i offrens system.
I denna water holing-attack:
- Vattenhålet är industriföreningens webbplats, som är en populär destination för cybersäkerhetsexperter.
- Målinriktat publik: Angriparna riktar sig mot en specifik grupp människor, i detta fall cybersäkerhetsexperter.
- Utnyttja förtroende: Angriparna utnyttjar förtroendet som cybersäkerhetsexperter har för industriföreningens webbplats.
- Utnyttja sårbarheter: Angriparna utnyttjar sårbarheter i webbplatsens innehållshanteringssystem för att injicera skadlig kod på webbplatsens sidor.
Hur du skyddar dig mot sociala ingenjörsattacker
Att skydda dig mot sociala ingenjörsattacker kräver en kombination av medvetenhet, skepticism och bästa praxis. Här är några viktiga steg för att skydda dig mot sociala ingenjörsattacker:
-
Utbilda dig själv: Lär dig om vanliga social engineering-tekniker, inklusive phishing, pretexting, baiting och tailgating. Håll dig informerad om de senaste social engineering-teknikerna och trenderna.
-
Verifiera identiteten: Verifiera alltid identiteten för individer eller organisationer som begär din personliga eller känsliga information. Lita inte enbart på telefonnummer, e-postmeddelanden eller webbplatser som tillhandahålls av den person som kontaktar dig. Använd officiella kontaktuppgifter som erhållits oberoende från pålitliga källor.
-
Ställ frågor om förfrågningar: Var skeptisk mot oombedda förfrågningar om personlig, ekonomisk eller konfidentiell information. Legitima organisationer ber vanligtvis inte om sådan information via e-post eller telefon. Om någon ber om känslig information, fråga varför det behövs och hur det kommer att användas.
-
Akta dig för brådska och påtryckningar: Sociala ingenjörer skapar ofta en känsla av brådska för att skynda dig till att fatta beslut utan att tänka. Ta dig tid att tänka över förfrågningar eller erbjudanden. Verifiera legitimiteten i situationen.
-
Säkra fysisk åtkomst: Skydda din fysiska arbetsyta från obehörig åtkomst. Lås din dator och enheter när de inte används. Var försiktig när du tillåter obekanta individer till säkra områden.
-
Utbilda anställda: Om du är del av en organisation, tillhandahåll utbildning om social engineering-medvetenhet för anställda. Lär anställda att känna igen och rapportera misstänkta aktiviteter.
-
Använd pålitliga källor: Få information från pålitliga och verifierade källor. Undvik att förlita dig på oofficiella webbplatser eller overifierade nyheter.
-
Datakryptering: Kryptera känsliga data, både lagrade och under överföring, för att skydda dem från obehörig åtkomst.
Öva säker onlinebeteende
För utvecklare och företagsägare. Om du utvecklar en webbapplikation bör du följa bästa praxis för att skydda dina användare från sociala ingenjörsattacker. Det finns många sätt att möjliggöra extra säkerhet för din applikation:
- Använd starka lösenord. De flesta människor använder svaga lösenord som är lätta att gissa baserat på deras personliga information. För att implementera ett säkert och pålitligt användaridentitetshanteringssystem b�ör du aktivera starka lösenordspolicyer. Detta kommer att förhindra användare från att använda sina svaga lösenord utan lämpliga säkerhetsåtgärder på plats.
- Aktivera autentisering med två faktorer. Autentisering med två faktorer (MFA) lägger till ett extra säkerhetslager till användarnas konto genom att kräva att de anger en kod från sin telefon eller en annan enhet förutom lösenorden. Detta gör det mycket svårare för angripare att få tillgång till dina kunders konto. Även om kundernas lösenord är komprometterade, kommer angriparna inte kunna få tillgång till deras konton utan den andra faktorn.
- Kryptera användardata. Kryptering av användardata är ett bra sätt att skydda dem från obehörig åtkomst. Om en angripare får tillgång till din databas kommer de inte kunna läsa data utan krypteringsnyckeln. Detta kommer att förhindra dem från att stjäla dina kunders personliga information.
- Rotera åtkomstnycklar ofta. Åtkomstnycklar används för att komma åt din applikations resurser. Om en angripare får tillgång till dina åtkomstnycklar kommer de att kunna komma åt din applikations resurser utan ditt tillstånd. För att förhindra detta bör du rotera åtkomstnycklarna ofta.
- Använd moderna autentiseringssystem. Moderna autentiseringsprotokoll som OAuth 2.0 och OpenID Connect är mycket säkrare än äldre protokoll som SAML och WS-Federation. De använder moderna kryptografiska algoritmer och är mycket svårare att attackera.
- Förregistrera inloggningsomdirigering URLs och enheter Om du använder OAuth 2.0 eller OpenID Connect för autentisering bör du förregistrera inloggningsomdirigerings URLs och enheter. Detta kommer att förhindra angripare från att använda dina kunders konton för att logga in på din applikation från sina egna enheter.