İçindekiler:
- Internet'i kullanın
- Dumpster dalgıçları
- Saldırganlar, çoğu sesli posta sisteminde yerleşik olarak ad ile arama özelliğini kullanarak bilgi edinebilirler. Bu özelliğe erişmek için, şirketin ana numarasını arayarak veya birisinin telesekreterini girdikten sonra genellikle 0 tuşuna basarsınız. Bu hüner, hiç kimsenin cevaplamaması için saatlerce işe yarıyor.
- En yakın cezai hack saldırısı,
Video: Sergey Brin and Larry Page: The genesis of Google 2024
Sosyal mühendislerin aklında bir amaçları olduğunda, saldırıyı kurbanlar (ları) hakkında kamuya açık bilgiler toplayarak başlatırlar. Pek çok sosyal mühendis, zamanla yavaş yavaş bilgi edinir, böylece şüphe uyandırmazlar. Açık bilgi toplama, sosyal mühendisliğe karşı savunma yaparken bir ipucudur.
İlk araştırma yöntemine bakılmaksızın, tüm bir bilgisayar korsanının bir çalışan listesine, birkaç dahili telefon numarasına, bir sosyal medya web sitesinden gelen en yeni haberlere veya bir şirket takvimine bir organizasyona girmesi gerekebilir.
Internet'i kullanın
Google veya diğer arama motorlarında birkaç dakika arama yaparken, şirket adı veya belirli çalışanların adları gibi basit anahtar kelimeleri kullanarak bir sürü bilgi üretir. Hoover ve Yahoo Finance gibi sitelerdeki SEC dosyalarında daha fazla bilgi bulabilirsiniz. Bu arama motoru bilgilerini kullanarak ve şirket web sitesine göz atarken, saldırganın çoğu zaman bir sosyal mühendislik saldırısına başlamak için yeterli bilgiye sahip olur.
Kötü adamlar bireyler üzerinde kapsamlı bir çevrimiçi geçmiş kontrolü için sadece birkaç dolar ödeyebilirler. Bu aramalar, hemen hemen bir kişi hakkında herkese açık olan bazen özel bilgileri birkaç dakika içinde ortaya çıkarabilir.
Dumpster dalgıçları
Dumpster diving biraz daha riskli - ve kesinlikle dağınık. Fakat, bu, bilgi edinme açısından oldukça etkili bir yöntemdir. Bu yöntem, bir şirket hakkında bilgi almak için çöp bidonları aracılığıyla tamir etmeyi içerir.
Çöp kutusuna girdikten sonra çöp dalışı, en gizli bilgileri ortaya çıkarabilir; çünkü birçok çalışan, çöp kutusuna girdikten sonra bilgilerinin güvenli olduğunu varsayar. Çoğu kişi, attığı kağıdın potansiyel değeri hakkında düşünmüyor. Bu dokümanlar, genellikle, sosyal mühendisleri örgüte girmek için gerekli bilgi ile verebilecek zengin bilgi içerir. Zeki sosyal mühendis, aşağıdaki basılı belgeleri arar:
-
Dahili telefon listeleri
-
Organizasyon şemaları
-
Sıklıkla güvenlik ilkeleri içeren
-
Ağ şemaları
-
Parola listeleri
-
Toplantı notları > E-tablolar ve raporlar
-
Gizli bilgi içeren e-postaların çıktıları
-
Dokümanların parçalanması, yalnızca kağıt
çapraz kıyılmış küçük konfeti parçaları haline getirilirse etkilidir. Belgeleri yalnızca uzun şeritler halinde parçalayan ucuz parçalayıcılar, belirlenmiş bir sosyal mühendisine karşı temelde değersizdir. Küçük bir zaman ve kasetle, bir sosyal mühendis, bir belgeyi bir araya getirebilir, eğer yapmaya kararlıysa. Kötü çocuklar, CD-ROM'lar ve DVD'ler, eski bilgisayar kasaları (özellikle sabit sürücüler hala bozulmamış olanlar) ve yedek bantlar için çöp kutusuna bakıyorlar.
Telefon sistemleri
Saldırganlar, çoğu sesli posta sisteminde yerleşik olarak ad ile arama özelliğini kullanarak bilgi edinebilirler. Bu özelliğe erişmek için, şirketin ana numarasını arayarak veya birisinin telesekreterini girdikten sonra genellikle 0 tuşuna basarsınız. Bu hüner, hiç kimsenin cevaplamaması için saatlerce işe yarıyor.
Saldırganlar, nerede olduklarını gizleyebiliyorsa kimliklerini koruyabilirler. Konumlarını gizleyebilecekleri bazı yollar şunlardır:
Yerleşik telefonlar
-
bazen telefon numarasından önce * 67 tuşlayarak numaralarını arayanın kimliğinden gizleyebilir. Bu özellik, ücretsiz numaraları (800, 888, 877, 866) veya 911'i ararken etkili değildir.
Bir telefon anahtarını kullanan bir ofiste
-
ticari telefonların parodilerini bulmak daha zor. Bununla birlikte, saldırganın genelde ihtiyacı olan şey, telefon anahtarı yazılımı için kullanıcı kılavuzu ve yönetici parolasıdır. Birçok anahtarta, saldırgan, kurbanın ev telefonu numarası gibi sahte bir numara da dahil olmak üzere kaynak numarasını girebilir. Bununla birlikte, İnternet Üzerinden Ses Protokolü (VoIP) telefon sistemleri bununla ilgili bir sorun oluşturmuyor. Açık kaynaklı Asterisk gibi VoIP Sunucuları
-
, istedikleri herhangi bir numarayı gönderecek şekilde kullanılabilir ve yapılandırılabilir. Phish e-postaları
En yakın cezai hack saldırısı,
phishing - suçlular, potansiyel mağdurlara hassas bilgileri ifşa etmesi veya kötü amaçlı bağlantıları tıklama girişiminde bulunmaları için sahte e-postalar gönderiyor. Kimlik avı gerçekte yıllardadır, ancak görünüşte geçilemeyen organizasyonlara karşı bazı yüksek profilli patlamalar göz önüne alındığında, son zamanlarda daha fazla görünürlük kazanmıştır. Phishing'in etkililiği inanılmaz ve sonuçların çoğu çirkin. Bazı iyi yerleştirilmiş e-postalar, suçluların parolaları toplayıp hassas bilgileri çalmalarını veya hedef bilgisayarlara kötü amaçlı yazılım enjekturmaları için gereken tek şeydir.
Kendi kimlik avı egzersizi yapabilirsiniz. Temel bir yöntem, kötü niyetli bir siteyle ilgili bilgi isteyen veya sahte bir e-posta hesabı oluşturmak, sınamak istediğiniz çalışanlara veya diğer kullanıcılara e-posta göndermek ve ne olacağını görmektir. Gerçekten de bu kadar basit.
Kullanıcılarınızın bu hile için ne kadar duyarlı olduğuna şaşıracaksınız. Çoğu kimlik avı testinin başarısı yüzde 10-15'tir. Yüzde 80 gibi yüksek olabilir. Bu oranlar güvenlik veya iş için iyi değil!
Kimlik avı testlerinizi gerçekleştirmek için daha resmi bir araç, özellikle iş için yapılmış bir alet kullanmaktır. Ticari satıcılarla iyi bir tecrübeye sahip olsanız bile, doğrudan veya yanlışlıkla dışarıdan gönderilebilecek, tekrar kontrol edilmemesine yol açabilecek potansiyel olarak hassas bilgileri vermekten çok uzun ve zor düşünmek zorundasınız.
Bu yolda giderseniz, tıpkı herhangi bir bulut hizmeti sağlayıcısı gibi bu üçüncü parti phishing sağlayıcılarına neyin ifşa edildiğini tam olarak anladığınızdan emin olun. Güven ama doğrulayın.
Ticari kimlik avı araçlarına alternatif açık kaynak alternatifi spt olarak da bilinen Basit Kimlik Avı Araç Setidir.Bir spt proje ortamı kurmak mutlaka basit değildir, ancak yerine koyduktan sonra, kimlik avı girişimleriniz için inanılmaz şeyler yapabilirsiniz.
Kendi kampanyanızı özelleştirebilmeniz için önceden yüklenmiş e-posta şablonlarınız, canlı web sitelerinden
kazıyıcı (kopyalama sayfası) ve çeşitli raporlama yeteneklerine sahip olacaksınız. posta kullanıcıları yem kullanıyor ve testlerinizi başarısız oluyorlar. Sosyal mühendisler, zaman zaman, örneğin mağdurları şehir dışındayken, sadece sesli mesajlar dinleyerek ilginç bilgiler bulabilir. Sesli mesaj mesajlarını, podcast'lerini veya web yayınlarını dinleyerek, bu kişileri taklit etmeyi öğrenerek mağdurların seslerini bile öğrenebilirler.
