Một tin tức gần đây khiến tôi nhận ra rằng cảm xúc và suy nghĩ của con người có thể được (hoặc, được) sử dụng vì lợi ích của người khác như thế nào. Hầu hết mọi người trong số các bạn đều biết Edward Snowden , người tố giác NSA rình mò thế giới. Reuters báo cáo rằng anh ta có khoảng 20-25 người của NSA giao mật khẩu của họ cho anh ta để khôi phục một số dữ liệu mà anh ta bị rò rỉ sau đó [1]. Hãy tưởng tượng^(Imagine) mạng công ty của bạn có thể mỏng manh đến mức nào, ngay cả với phần mềm bảo mật mạnh nhất và tốt nhất!

Kỹ thuật xã hội là gì

Sự^(Human) yếu đuối, tò mò, cảm xúc và các đặc điểm khác của con người thường được sử dụng để trích xuất dữ liệu một cách bất hợp pháp - dù là bất kỳ ngành nào. Tuy nhiên, ngành Công nghiệp CNTT đã đặt cho nó cái tên là kỹ thuật xã hội . ^{(IT Industry)}Tôi định nghĩa kỹ thuật xã hội là:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Đây là một dòng khác từ câu chuyện tương tự [1] mà tôi muốn trích dẫn - “ Các cơ quan an ninh đang gặp khó khăn với ý tưởng rằng anh chàng ở buồng tiếp theo có thể không đáng tin cậy^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} ”. Tôi đã sửa đổi câu lệnh một chút để phù hợp với ngữ cảnh ở đây. Bạn có thể đọc toàn bộ tin tức bằng liên kết trong phần Tài liệu tham khảo^(References) .

Nói cách khác, bạn không có toàn quyền kiểm soát an ninh của các tổ chức của mình với kỹ thuật xã hội phát triển nhanh hơn nhiều so với các kỹ thuật để đối phó với nó. Kỹ thuật xã hội^(Social) có thể là bất cứ điều gì giống như gọi cho ai đó nói rằng bạn là hỗ trợ công nghệ và yêu cầu họ cung cấp thông tin đăng nhập của họ. Chắc hẳn bạn đã nhận được email lừa đảo về xổ số, những người giàu có ở Trung Đông^{(Mid East)} và Châu Phi^(Africa) muốn đối tác kinh doanh và lời mời làm việc để hỏi bạn thông tin chi tiết.

Không giống như các cuộc tấn công lừa đảo, kỹ thuật xã hội chủ yếu là tương tác trực tiếp giữa người với người. Trước đây (lừa đảo) sử dụng một mồi câu - tức là những người “câu cá” đang cung cấp cho bạn một thứ gì đó với hy vọng rằng bạn sẽ phải lòng nó. Kỹ thuật xã hội^(Social) thiên về việc giành được niềm tin của nhân viên nội bộ để họ tiết lộ thông tin chi tiết về công ty mà bạn cần.

Đọc: ^(Read:) Các phương pháp phổ biến của Kỹ thuật xã hội .

Các kỹ thuật kỹ thuật xã hội đã biết

Có rất nhiều, và tất cả chúng đều sử dụng các khuynh hướng cơ bản của con người để truy cập vào cơ sở dữ liệu của bất kỳ tổ chức nào. Kỹ thuật kỹ thuật xã hội được sử dụng nhiều nhất (có lẽ đã lỗi thời) là gọi điện và gặp gỡ mọi người và khiến họ tin rằng họ đến từ bộ phận hỗ trợ kỹ thuật cần kiểm tra máy tính của bạn. Họ cũng có thể tạo thẻ ID giả để thiết lập sự tự tin. Trong một số trường hợp, thủ phạm là các quan chức nhà nước.

Một kỹ thuật nổi tiếng khác là sử dụng người của bạn làm nhân viên trong tổ chức mục tiêu. Bây giờ, vì kẻ lừa đảo này là đồng nghiệp của bạn, bạn có thể tin tưởng anh ta về các chi tiết công ty. Nhân viên bên ngoài có thể giúp bạn điều gì đó, vì vậy bạn cảm thấy có nghĩa vụ, và đó là lúc họ có thể tận dụng tối đa.

Tôi cũng đọc một số báo cáo về những người sử dụng quà tặng điện tử. Một chiếc USB lạ mắt được giao cho bạn tại địa chỉ công ty hoặc một ổ bút nằm trong ô tô của bạn có thể là những thảm họa. Trong một trường hợp, ai đó đã cố tình để lại một số ổ USB^(USB) trong bãi đậu xe làm mồi nhử [2].

Nếu mạng công ty của bạn có các biện pháp bảo mật tốt ở mỗi nút, bạn thật may mắn. Mặt khác, các nút này cung cấp một đường dẫn dễ dàng cho phần mềm độc hại - trong món quà đó hoặc ổ bút "bị bỏ quên" - đến các hệ thống trung tâm.

Do đó, chúng tôi không thể cung cấp một danh sách đầy đủ các phương pháp kỹ thuật xã hội. Đó là một môn khoa học làm cốt lõi, kết hợp với nghệ thuật đặt lên hàng đầu. Và bạn biết rằng cả hai đều không có bất kỳ ranh giới nào. Các nhân viên kỹ thuật xã hội^(Social) không ngừng sáng tạo trong khi phát triển phần mềm cũng có thể sử dụng sai các thiết bị không dây có quyền truy cập vào Wi-Fi của công ty .

Đọc: ^(Read:) Phần mềm độc hại được thiết kế trên mạng xã hội là gì .

Ngăn chặn Kỹ thuật Xã hội

Cá nhân tôi không nghĩ rằng có bất kỳ định lý nào mà quản trị viên có thể sử dụng để ngăn chặn các vụ hack kỹ thuật xã hội. Các kỹ thuật xã hội liên tục thay đổi, và do đó, quản trị viên CNTT trở nên khó khăn để theo dõi những gì đang xảy ra.

Tất nhiên, cần phải giữ một tab về tin tức kỹ thuật xã hội để người ta có đủ thông tin để thực hiện các biện pháp bảo mật thích hợp. Ví dụ: trong trường hợp thiết bị USB , quản trị viên có thể chặn ổ USB^(USB) trên các nút riêng lẻ, chỉ cho phép chúng trên máy chủ có hệ thống bảo mật tốt hơn. Tương tự như vậy^(Likewise) , Wi-Fi sẽ cần mã hóa tốt hơn hầu hết các ISP^(ISPs) địa phương cung cấp.

Đào tạo nhân viên và thực hiện các bài kiểm tra ngẫu nhiên trên các nhóm nhân viên khác nhau có thể giúp xác định những điểm yếu trong tổ chức. Sẽ rất dễ dàng để huấn luyện và cảnh giác những cá nhân yếu hơn. Sự tỉnh táo^(Alertness) là cách phòng thủ tốt nhất. Điều căng thẳng là thông tin đăng nhập không nên được chia sẻ ngay cả với các trưởng nhóm - bất kể áp lực. Nếu trưởng nhóm cần truy cập thông tin đăng nhập của thành viên, họ có thể sử dụng mật khẩu chính. Đó chỉ là một gợi ý để giữ an toàn và tránh bị tấn công bởi kỹ thuật xã hội.

Điểm mấu chốt là, ngoài phần mềm độc hại và tin tặc trực tuyến, những người làm công nghệ thông tin cũng cần quan tâm đến kỹ thuật xã hội. Trong khi xác định các phương pháp vi phạm dữ liệu (như viết ra mật khẩu, v.v.), quản trị viên cũng nên đảm bảo nhân viên của họ đủ thông minh để xác định một kỹ thuật xã hội để tránh nó hoàn toàn. Bạn nghĩ phương pháp tốt nhất để ngăn chặn kỹ thuật xã hội là gì? Nếu bạn gặp trường hợp nào thú vị, hãy chia sẻ với chúng tôi.

Tải xuống ebook này về Các cuộc tấn công kỹ thuật xã hội do Microsoft phát hành và tìm hiểu cách bạn có thể phát hiện và ngăn chặn các cuộc tấn công như vậy trong tổ chức của mình.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Người giới thiệu^(References)

[1] Reuters , Snowden đã thuyết phục nhân viên NSA lấy ^{(NSA Employees Into)}thông tin^(Info) đăng nhập của họ

[2] Boing Net , Ổ bút được sử dụng để phát ^(Pen)tán phần mềm độc hại^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent news madе me realize how human emotions and thoughts сan bе (or, are) used for others’ benefit. Almost every one of yоu knows Edward Snowden, the whistleblower of NSA snooping the world over. Reuters reported thаt he got around 20-25 NSA people to hand over their рasswords to him for recovering some data he leaked later [1]. Imagine how fragile your corporate network can bе, even with the strongest and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Internet and Social Networking Sites addiction

• Fake News trang web: Một phát triển vấn đề & ý nghĩa của nó trong thế giới ngày nay

• Cách thiết lập, ghi, chỉnh sửa, xuất bản Instagram Reels

• Làm thế nào để kích hoạt tính năng xác thực hai yếu tố cho Reddit account

• Kết nối với Windows Club

• 10 Reddit Tips and Tricks để giúp bạn trở thành một master Redditor

• Cách tạo Group bằng Telegram và sử dụng Voice Chat feature

• Điều gì xảy ra với Online Accounts của bạn khi bạn chết: Digital Assets Management

• Làm thế nào để sử dụng Facebook để trở thành một Media Influencer Xã hội

• Làm thế nào để trở thành LinkedIn influencer

• Cách lưu Instagram Reels của bạn bằng Draft and Edit sau

• Yammer Tips and Tricks tốt nhất cho power user

• UniShare cho phép bạn chia sẻ trên Facebook, Twitter và LinkedIn cùng một lúc

• Phải làm gì khi Facebook Account bị hack?

• Cách tải bài hát từ SoundCloud

• 10 Instagram Tips and Tricks bạn cần biết

• Làm thế nào để trở thành một Pinterest Influencer

• Tìm các bài viết và khuyến nghị tốt nhất trên Reddit Sử dụng các công cụ này

• Phubbing là gì và ý nghĩa của quan hệ cá nhân là gì

• Yammer Features & Where Bạn có thể sử dụng nó