Isi kandungan:
- Gunakan Internet
- Dumpster penyelam
- Penyerang boleh mendapatkan maklumat dengan menggunakan ciri dail demi nama yang dibina untuk kebanyakan sistem mel suara. Untuk mengakses ciri ini, anda biasanya tekan 0 selepas memanggil nombor utama syarikat atau selepas anda memasukkan peti mel suara seseorang. Trik ini berfungsi sebaik selepas waktu untuk memastikan tidak ada jawapan.
- Penggambaran penggodam jenayah terkini adalah
Video: Clash of Clans - Clash Talk Q&A - Episode 2 2024
Sekali jurutera sosial mempunyai tujuan dalam fikiran, mereka biasanya memulakan serangan dengan mengumpulkan maklumat awam tentang mangsa mereka. Banyak jurutera sosial memperoleh maklumat perlahan dari masa ke masa supaya mereka tidak menimbulkan syak wasangka. Pengumpulan maklumat yang jelas adalah tip-tip ketika mempertahankan diri daripada kejuruteraan sosial.
Terlepas dari kaedah penyelidikan awal, semua peretas mungkin perlu menembusi organisasi adalah senarai pekerja, beberapa nombor telefon dalaman utama, berita terkini dari laman web media sosial, atau kalendar syarikat.
Gunakan Internet
Beberapa minit mencari di Google atau enjin carian lain, menggunakan kata kunci yang mudah, seperti nama syarikat atau nama pekerja tertentu, sering menghasilkan banyak maklumat. Anda boleh mendapatkan lebih banyak maklumat dalam pemfailan SEC di dan di laman web seperti Hoover's dan Yahoo Finance. Dengan menggunakan maklumat mesin carian ini dan melayari laman web syarikat, penyerang sering mempunyai maklumat yang cukup untuk memulakan serangan kejuruteraan sosial.
Orang jahat boleh membayar hanya beberapa dolar untuk memeriksa latar belakang secara menyeluruh pada individu. Carian ini boleh muncul secara praktikal mana-mana orang awam - dan kadang-kadang peribadi - maklumat mengenai seseorang dalam beberapa minit.
Dumpster penyelam
Dumpster menyelam sedikit lebih berisiko - dan ia pasti kemas. Tetapi, ia adalah kaedah yang sangat berkesan untuk mendapatkan maklumat. Kaedah ini melibatkan secara harfiah menggali melalui tong sampah untuk maklumat mengenai syarikat.
Dumpster menyelam boleh menyentuh maklumat yang paling rahsia kerana ramai pekerja mengandaikan bahawa maklumat mereka selamat selepas masuk ke sampah. Kebanyakan orang tidak berfikir tentang nilai potensi kertas yang mereka buang. Dokumen-dokumen ini sering mengandungi banyak maklumat yang boleh menipu jurutera sosial dengan maklumat yang diperlukan untuk menembusi organisasi. Jurutera sosial yang bijak mencari dokumen cetak berikut:
-
Senarai telefon dalaman
-
Carta organisasi
-
Buku panduan pekerja, yang sering mengandungi dasar keselamatan
-
Rangkaian rangkaian
-
Senarai kata laluan
-
Nota pertemuan > Spreadsheet dan laporan
-
Cetak e-mel yang mengandungi maklumat sulit
-
Dokumen pencarik adalah berkesan hanya jika kertas
merentas ke dalam kepingan kecil konfet. Pencincang murah yang menghancurkan dokumen hanya dalam jalur panjang pada dasarnya tidak bernilai berbanding jurutera sosial yang ditentukan. Dengan sedikit masa dan pita, seorang jurutera sosial boleh menyusun semula dokumen bersama jika itu yang dia mahu lakukan. Orang jahat juga melihat sampah untuk CD-ROM dan DVD, kes komputer lama (terutamanya yang menggunakan cakera keras masih utuh), dan pita sandaran.
Sistem telefon
Penyerang boleh mendapatkan maklumat dengan menggunakan ciri dail demi nama yang dibina untuk kebanyakan sistem mel suara. Untuk mengakses ciri ini, anda biasanya tekan 0 selepas memanggil nombor utama syarikat atau selepas anda memasukkan peti mel suara seseorang. Trik ini berfungsi sebaik selepas waktu untuk memastikan tidak ada jawapan.
Penyerang boleh melindungi identiti mereka jika mereka boleh menyembunyikan tempat panggilan mereka. Berikut adalah beberapa cara mereka boleh menyembunyikan lokasi mereka:
Telefon kediaman
-
kadangkala boleh menyembunyikan nombor mereka dari ID pemanggil dengan mendail * 67 sebelum nombor telefon. Ciri ini tidak berkesan apabila memanggil nombor bebas tol (800, 888, 877, 866) atau 911.
Telefon perniagaan
-
di pejabat menggunakan suis telefon lebih sukar untuk dimanipulasi. Walau bagaimanapun, semua penyerang biasanya perlu ialah kata laluan pengguna dan pentadbir untuk perisian suis telefon. Dalam banyak suis, penyerang boleh memasukkan nombor sumber - termasuk nombor yang dipalsukan, seperti nombor telefon rumah mangsa. Walau bagaimanapun, sistem telefon Suara melalui Protokol Internet (VoIP) membuat masalah ini tidak diterbitkan. Pelayan VoIP
-
seperti Asterisk sumber terbuka boleh digunakan dan dikonfigurasi untuk menghantar nombor yang mereka mahu. Phish e-mail
Penggambaran penggodam jenayah terkini adalah
phishing - penjenayah menghantar e-mel palsu kepada mangsa yang berpotensi dalam usaha untuk membuat mereka mendedahkan maklumat sensitif atau klik pautan berniat jahat. Phishing sebenarnya telah wujud selama bertahun-tahun, tetapi baru-baru ini telah mendapat penglihatan yang lebih besar memandangkan eksploitasi berprofil tinggi terhadap organisasi yang kelihatan tidak dapat ditembusi. Keberkesanan Phishing adalah luar biasa, dan akibatnya sering hodoh. Beberapa e-mel yang diletakkan dengan baik adalah semua yang diperlukan untuk penjenayah untuk memungut kata laluan, mencuri maklumat sensitif, atau menyuntik perisian malware ke komputer yang disasarkan.
Anda boleh melakukan senaman phishing anda sendiri. Kaedah asas adalah untuk menyediakan akaun e-mel palsu yang meminta maklumat atau menghubungkan ke tapak yang berniat jahat, menghantar e-mel kepada pekerja atau pengguna lain yang ingin anda uji dan lihat apa yang berlaku. Ia semudah itu.
Anda akan kagum dengan betapa mudahnya pengguna anda untuk menipu ini. Kebanyakan ujian phishing mempunyai kadar kejayaan 10-15 peratus. Ia boleh setinggi 80 peratus. Kadar itu tidak baik untuk keselamatan atau perniagaan!
Cara yang lebih formal untuk melaksanakan ujian pancingan data anda adalah dengan menggunakan alat yang dibuat khusus untuk tugas tersebut. Walaupun anda mempunyai pengalaman yang baik dengan vendor komersial, anda perlu berfikir panjang dan sukar untuk menyerahkan maklumat berpotensi sensitif yang boleh secara langsung atau secara tidak sengaja dihantar ke luar tapak, tidak dapat dikawal lagi.
Jika anda pergi ke laluan ini, pastikan anda memahami sepenuhnya apa yang dibentangkan kepada vendor pemalsu pihak ketiga seperti yang anda lakukan dengan mana-mana pembekal perkhidmatan awan. Amanah tetapi sahkan.
Alternatif sumber terbuka kepada alat pemalsuan komersil ialah Alat Phishing Simple, juga dikenali sebagai contohnya.Menyediakan persekitaran projek sama sekali tidak semestinya mudah, tetapi selepas anda selesai, ia boleh melakukan perkara yang menakjubkan untuk inisiatif phishing anda.
Anda akan mempunyai template e-mel yang telah dipasangkan, keupayaan untuk
mengikis (salinan halaman dari) laman web secara langsung supaya anda dapat menyesuaikan kempen anda sendiri, dan pelbagai kemampuan pelaporan supaya anda dapat mengesan e -mail pengguna mengambil umpan dan gagal ujian anda. Jurutera sosial boleh mendapatkan bit maklumat yang menarik, kadang-kadang, seperti ketika mangsa mereka berada di luar bandar, hanya dengan mendengar mesej voicemail. Mereka juga dapat mengkaji suara mangsa dengan mendengar mesej suara, podcast, atau webcast mereka supaya mereka dapat belajar meniru orang-orang tersebut.
