Sosyal Mühendislik Saldırısı

Bir arkadaştan e-posta

Bir suçlu, bir kişinin e-posta şifresini hacklemeyi veya sosyal olarak değiştirmeyi başarırsa, o kişinin kişi listesine erişebilir ve çoğu insan her yerde bir şifre kullandığı için, muhtemelen o kişinin sosyal ağ bağlantılarına da erişebilir.

Suçlu bu e-posta hesabını kontrol altına aldıktan sonra, kişinin tüm kişilerine e-posta gönderir veya arkadaşlarının tüm sosyal sayfalarında ve muhtemelen kişinin arkadaşlarının arkadaşlarının sayfalarında mesaj bırakır.

Güveninizden ve merakınızdan yararlanarak bu mesajlar:

Yalnızca kontrol etmeniz gereken bir bağlantı içerir - ve bağlantı bir arkadaşınızdan geldiğinden ve merak ettiğiniz için, bağlantıya güvenip tıklayacaksınız - ve kötü amaçlı yazılım bulaşmış olacak, böylece suçlu makinenizi ele geçirebilir ve kişi bilgileri ve onları aldatılmış gibi kandır

Yerleşik kötü amaçlı yazılım içeren resim, müzik, film, belge vb. İndirmeleri içerir. Eğer indirirseniz - ki bunu arkadaşınızdan olduğunu düşündüğünüz için muhtemelen yapacaksınız - enfekte olursunuz. Artık suçlunun makinenize, e-posta hesabınıza, sosyal ağ hesaplarınıza ve kişilerinize erişimi var ve saldırı tanıdığınız herkese yayılıyor. Ve devam ediyor.

Başka bir güvenilir kaynaktan e-posta

Kimlik avı saldırıları , güvenilir bir kaynağı taklit eden ve oturum açma kimlik bilgilerini veya diğer hassas kişisel verileri teslim etmek için görünüşte mantıklı bir senaryo oluşturan bir sosyal mühendislik stratejisi alt kümesidir. Webroot verilerine göre , finans kurumları, kimliğine bürünülen şirketlerin büyük çoğunluğunu temsil ediyor ve Verizon'un yıllık Veri İhlali Araştırma Raporuna göre , kimlik avı ve ön yazı (aşağıya bakın) dahil olmak üzere sosyal mühendislik saldırıları, başarılı veri ihlallerinin% 93'ünden sorumludur.

İlgi çekici bir hikaye veya bahane kullanarak bu mesajlar şunları yapabilir:

Acilen yardımınızı isteyin. Arkadaşınız X ülkesinde mahsur kaldı, soyuldu, dövüldü ve hastanede. Eve dönebilmeleri için para göndermenize ihtiyaç duyarlar ve parayı suçluya nasıl göndereceğinizi söylerler.

Meşru görünen bir arka plana sahip kimlik avı girişimlerini kullanın . Tipik olarak, bir kimlik avcısı meşru, popüler bir şirketten, bankadan, okuldan veya kurumdan geliyormuş gibi görünen bir e-posta, anlık mesajlaşma, yorum veya kısa mesaj gönderir.

Sizden hayırsever bağış toplama etkinliklerine veya başka bir nedene bağış yapmanızı isteyin. Muhtemelen suçluya nasıl para gönderileceğine dair talimatlarla. Nezaket ve cömertlikten beslenen bu kimlik avcıları, herhangi bir felaket, siyasi kampanya veya hayırseverliğin anlık olarak akılda kaldığı durumlar için yardım veya destek ister.

Görüntülenen bağlantıya tıklayarak ve formlarında bilgi vererek bilgilerinizi "doğrulamanızı" gerektiren bir sorunu sunun. Bağlantı konumu, tüm doğru logolar ve içerikle çok meşru görünebilir (aslında, suçlular yasal sitenin tam biçimini ve içeriğini kopyalamış olabilir). Her şey yasal göründüğü için, e-postaya ve sahte siteye güvenir ve dolandırıcının istediği bilgileri sağlarsınız. Bu tür kimlik avı dolandırıcılıkları genellikle, kısa süre sonra harekete geçmezseniz ne olacağına dair bir uyarı içerir, çünkü suçlular, sizi düşünmeden harekete geçirebilirlerse, kimlik avı girişimlerine düşme olasılığınızın daha yüksek olacağını bilirler.

Size 'kazanan' olduğunuzu bildirin. Belki e-posta bir piyangodan, ölü bir akrabadan veya sitelerini tıklayacak milyonuncu kişiden vb. ödülü gönderebilmeleri için size gönderin veya adresinizi ve telefon numaranızı verin ve ayrıca sosyal güvenlik numaranız da dahil olmak üzere genellikle kim olduğunuzu kanıtlamanız istenebilir. Bunlar, hikâye bahanesi zayıf olsa bile, insanların bilgilerini vererek, banka hesaplarını boşaltarak ve kimliklerini çaldırarak sunulanları istedikleri ve buna kanştıkları 'açgözlülüklerdir'.

Bir patron veya iş arkadaşı olarak poz verin. Şirketinizin şu anda üzerinde çalışmakta olduğu önemli, tescilli bir proje hakkında, bir şirketin kredi kartıyla ilgili ödeme bilgileri veya günlük işler gibi görünen başka bir sorgu hakkında güncelleme isteyebilir.

Yem senaryoları

Bu sosyal mühendislik planları, insanların istediği bir şeyi sallarsanız, birçok insanın yemi yutacağını bilir. Bu şemalar genellikle yeni bir film veya müzik gibi bir şeyin indirilmesini sunan Eşler Arası sitelerde bulunur. Ancak şemalar ayrıca sosyal ağ sitelerinde, arama sonuçlarında bulduğunuz kötü amaçlı web sitelerinde vb. Bulunur.

Ya da plan, sınıflandırılmış sitelerde, açık artırma sitelerinde vb. İnanılmaz derecede büyük bir şey olarak görünebilir. Şüphenizi gidermek için, satıcının iyi bir puanı olduğunu görebilirsiniz (hepsi önceden planlanmış ve hazırlanmış).

Yemi yutan kişilere, kendilerine ve bağlantılarına karşı herhangi bir sayıda yeni istismar yaratabilen kötü amaçlı yazılım bulaşmış olabilir, satın aldıkları ürünleri almadan paralarını kaybedebilirler ve eğer bir çekle ödeme yapacak kadar aptal iseler, bulabilirler. banka hesapları boş.

Hiç sahip olmadığınız bir soruya yanıt

Suçlular, bir şirketten gelen 'yardım isteğinize' yanıt verirken daha fazla yardım sunabilir. Yazılım şirketi veya banka gibi milyonlarca insanın kullandığı şirketleri seçiyorlar. Ürünü veya hizmeti kullanmazsanız, e-postayı, telefon görüşmesini veya mesajı görmezden gelirsiniz, ancak hizmeti kullanırsanız, yanıt verme olasılığınız yüksektir çünkü muhtemelen bir sorunla ilgili yardım almak istiyorsunuz. .

Örneğin, başlangıçta bir soru sormadığınızı bilseniz bile, muhtemelen bilgisayarınızın işletim sistemiyle ilgili bir sorun yaşarsınız ve bu fırsatı düzeltmek için kullanırsınız. Bedava! Cevap verdiğiniz an, sahtekarın hikayesini satın aldınız, onlara güveninizi verdiniz ve kendinizi sömürüye açtınız.

Aslında bir suçlu olan temsilcinin 'kimliğinizi doğrulaması', 'kendi sistemlerinde' oturum açtırması veya bilgisayarınızda oturum açtırması ve bilgisayarına uzaktan erişim vermesi ve böylece 'düzeltmeleri' gerekecektir. siz veya size komutları söyleyin, böylece kendi yardımı ile düzeltebilirsiniz - girmenizi söyledikleri bazı komutlar, suçlunun daha sonra bilgisayarınıza geri dönmesi için bir yol açar.

Güvensizlik yaratmak

Bazı sosyal mühendislik, tamamen güvensizlik yaratmak veya çatışmaları başlatmakla ilgilidir; bunlar genellikle tanıdığınız ve size kızgın olan kişiler tarafından yapılır, ancak aynı zamanda sadece ortalığı kasıp kavurmaya çalışan kötü insanlar tarafından yapılır; kahraman ve güveninizi kazanmak veya bilgiyi manipüle etmek isteyen ve sonra sizi ifşa etmekle tehdit eden gaspçılar tarafından.

Bu sosyal mühendislik biçimi genellikle bir e-posta hesabına veya bir IM istemcisindeki başka bir iletişim hesabına, sosyal ağa, sohbete, foruma vb. Erişim kazanmakla başlar. Bunu ya bilgisayar korsanlığı, sosyal mühendislik ya da gerçekten zayıf parolaları tahmin ederek başarırlar.

Kötü niyetli kişi daha sonra hassas veya özel iletişimleri (resimler ve ses dahil) temel düzenleme tekniklerini kullanarak değiştirebilir ve bunları drama, güvensizlik, utanç vb. Yaratmak için diğer insanlara iletebilir. "gerçekten" neler olup bittiğini size bildiriyorlar.

Alternatif olarak, değiştirilmiş materyali hackledikleri kişiden veya sözde alıcıdan zorla para almak için kullanabilirler.

Sosyal mühendislik saldırılarının kelimenin tam anlamıyla binlerce varyasyonu vardır. Bu tür istismar yoluyla kullanıcıları sosyal olarak tasarlayabilecekleri yolların sayısının tek sınırı, suçlunun hayal gücüdür. Ve tek bir saldırıda birden fazla istismar biçimi yaşayabilirsiniz. O zaman suçlu, bilgilerinizi başkalarına satabilir, böylece onlar da istismarlarını size, arkadaşlarınıza, arkadaşlarınızın arkadaşlarına vb. Karşı yürütebilir, çünkü suçlular insanların yanlış güvenini güçlendirir.

Kurban olma

Kimlik avı saldırıları yaygın, kısa ömürlü ve başarılı bir kampanya için yem almak için yalnızca birkaç kullanıcıya ihtiyaç duysa da, kendinizi korumanın yöntemleri vardır. Çoğu, önünüzdeki ayrıntılara dikkat etmekten çok daha fazlasını gerektirmez. Kendinizin kimlik avına maruz kalmasını önlemek için aşağıdakileri aklınızda bulundurun.

Hatırlanması Gereken İpuçları:

Yavaşla. Spam gönderenler önce harekete geçip sonra düşünmenizi ister. Mesaj bir aciliyet duygusu taşıyorsa veya yüksek basınçlı satış taktikleri kullanıyorsa şüpheci olun; aciliyetlerinin dikkatli incelemenizi etkilemesine asla izin vermeyin.

Gerçekleri araştırın . İstenmeyen mesajlardan şüphelenin. E-posta kullandığınız bir şirketten gelmiş gibi görünüyorsa, kendi araştırmanızı yapın. Gerçek şirketin sitesine gitmek için bir arama motoru veya telefon numaralarını bulmak için bir telefon rehberi kullanın.

İndiğiniz yere bir bağlantının hakim olmasına izin vermeyin. İnmeyi planladığınız yere indiğinizden emin olmak için bir arama motoru kullanarak web sitesini kendiniz bularak kontrolü elinizde tutun. E-postadaki bağlantıların üzerine gelmek alt kısımda gerçek URL'yi gösterir, ancak iyi bir sahte yine de sizi yanlış yönlendirebilir.

E-posta kaçırma çok yaygın. İnsanların e-posta hesaplarının (ve diğer iletişim hesaplarının) kontrolünü ele geçiren bilgisayar korsanları, spam gönderenler ve sosyal mühendisler yaygınlaştı. Bir e-posta hesabını kontrol ettiklerinde, kişinin kişilerinin güvenini kazanırlar. Gönderen tanıdığınız biri gibi görünse bile, bağlantı veya ek içeren bir e-posta beklemiyorsanız, bağlantıları açmadan veya indirmeden önce arkadaşınızla kontrol edin.

Herhangi bir indirmeye karşı dikkatli olun. Göndereni kişisel olarak tanımıyorsanız VE onlardan bir dosya bekliyorsanız, herhangi bir şey indirmek bir hatadır.

Yabancı teklifler sahtedir. Yabancı bir piyango veya çekilişten bir e-posta alırsanız, bilinmeyen bir akrabanızdan para alırsanız veya paranın bir kısmı için yabancı bir ülkeden para transferi talep ederseniz, bunun bir aldatmaca olacağı garanti edilir.

Kendinizi Korumanın Yolları:

Herhangi bir mali bilgi veya şifre talebini silin. Kişisel bilgiler içeren bir mesajı yanıtlamanız istenirse, bu bir aldatmacadır.

Yardım isteklerini veya yardım tekliflerini reddedin. Meşru şirketler ve kuruluşlar, yardım sağlamak için sizinle iletişime geçmez. Gönderenden özel olarak yardım istemediyseniz, kredi puanlarını geri yüklemeye 'yardım', bir evi yeniden finanse etme, sorunuzu yanıtlama vb. Bir dolandırıcılık teklifini düşünün. Benzer şekilde, ilişkiniz olmayan bir yardım derneği veya kuruluştan yardım talebi alırsanız, bunu silin. Bir dolandırıcılığa düşmemek için kendi başınıza saygın hayır kurumlarını arayın.

Spam filtrelerinizi yüksek olarak ayarlayın . Her e-posta programının spam filtreleri vardır. Sizinkini bulmak için, ayar seçeneklerinize bakın ve bunları yüksek olarak ayarlayın - yasal e-postanın yanlışlıkla orada tutulmuş olup olmadığını görmek için spam klasörünüzü düzenli aralıklarla kontrol etmeyi unutmayın. Ayrıca, e-posta sağlayıcınızın adını ve 'spam filtreleri' ifadesini arayarak, spam filtrelerinizi ayarlamak için adım adım bir kılavuz da arayabilirsiniz.

Bilgi işlem cihazlarınızın güvenliğini sağlayın . Anti-virüs yazılımı, güvenlik duvarları, e-posta filtreleri kurun ve bunları güncel tutun. İşletim sisteminizi otomatik olarak güncellenecek şekilde ayarlayın ve akıllı telefonunuz otomatik olarak güncellenmiyorsa, bunun için bir bildirim aldığınızda onu manuel olarak güncelleyin. Sizi risklere karşı uyarmak için web tarayıcınız veya üçüncü taraflarca sunulan bir kimlik avı önleme aracı kullanın.