倫理的ハッキング-ソーシャルエンジニアリング

いくつかの例を通して、ソーシャルエンジニアリング攻撃の概念を理解してみましょう。

例1

古い会社のドキュメントがゴミとしてゴミ箱に捨てられていることに気づいたに違いありません。 これらの文書には、名前、電話番号、口座番号、社会保障番号、住所などの機密情報が含まれる場合があります。 多くの企業はまだファックス機でカーボンペーパーを使用しており、ロールが終了すると、そのカーボンは機密データの痕跡があるゴミ箱に入ります。 ありそうもないように聞こえますが、攻撃者はゴミを盗むことで会社のゴミ箱から簡単に情報を取得できます。

例2

攻撃者は会社の従業員と仲良くなり、一定期間にわたって彼と良好な関係を築くことができます。 この関係は、ソーシャルネットワーク、チャットルーム、またはコーヒーテーブル、遊び場、その他の手段を介してオンラインで確立できます。 攻撃者はオフィスの人員を自信を持って連れて行き、最終的に手がかりを与えずに必要な機密情報を探し出します。

実施例３

ソーシャルエンジニアは、身分証明書を偽造するか、単に従業員に会社での地位を説得することにより、従業員または有効なユーザーまたはVIPのふりをすることができます。 このような攻撃者は、制限された領域に物理的にアクセスできるため、攻撃の機会がさらに増えます。

実施例４

ほとんどの場合、攻撃者があなたの周りにいて、ユーザーIDやパスワード、アカウントPINなどの機密情報を入力している間に*ショルダーサーフィン*を行うことができます。

フィッシング攻撃

フィッシング攻撃はコンピューターベースのソーシャルエンジニアリングであり、攻撃者は正当なメールを作成します。 このような電子メールは、元のサイトから受信したものと同じルックアンドフィールを持ちますが、偽のWebサイトへのリンクが含まれている場合があります。 十分に賢くない場合は、ユーザーIDとパスワードを入力してログインしようとすると失敗し、その時点までに攻撃者は元のアカウントを攻撃するためのIDとパスワードを取得します。

クイックフィックス

• 組織に適切なセキュリティポリシーを適用し、必要なトレーニングを実施して、すべての従業員にソーシャルエンジニアリング攻撃の可能性とその結果を認識させる必要があります。
• ドキュメントの細断処理は、会社で必須のアクティビティである必要があります。
• メールで受け取ったリンクが本物のソースからのものであり、正しいリンクを指していることを確認してください。 そうしないと、フィッシングの被害者になる可能性があります。
• 専門家であり、IDとパスワードを他の人と決して共有しないでください。