親愛なるライフハッカー様
私のパスワードは強力ですが、Google で検索しやすいいくつかの詳細情報を使って、ハッカーがテクニカル サポートを説得して自分だと思い込ませることができた場合、自分の身を守るために実際に何ができるでしょうか?また、この種の攻撃によって知らず知らずのうちに操作されないようにするにはどうすればよいでしょうか?
署名入り、
デメリットが気になる
ご心配の皆様
人間の脆弱性のみに依存するハッキング、いわゆるソーシャル エンジニアリング ハッキングに不安を感じるのは当然です。最近見たように、マット・ホナン氏のハッキングで発覚したAppleとAmazonのエクスプロイト、熟練したハッカーは技術的保護 (強力なパスワードなど) を簡単に回避し、必要な情報を入手できます。人と話すだけで。人間は、あらゆるセキュリティ システムのチェーンの中で最も弱い部分です。
とはいえ、私たちは皆、一般的な種類のソーシャル エンジニアリング攻撃を理解し、重要なセキュリティ予防措置に従うなど、教育を通じてセキュリティを強化することができます。見直してみましょう。
まず、ソーシャルエンジニアリングとは何ですか?
ソーシャル エンジニアリングは、人々を操作して、特にセキュリティ関連の行為 (コンピューター アクセスの提供や機密情報の漏洩など) を実行させる技術です。ソーシャル エンジニアは、コンピューター ネットワークやシステムに侵入するのではなく、人間に対して心理的トリックを使用します。
多くの場合、これらのハッカーは小さな情報を使用して信頼やアクセスを獲得し、悪事を完全に実行できるようにします。以下にいくつかの例を示します。
ハッカーから電話がかかってきて、あなたのクレジット カードに異常なアクティビティのフラグが立てられ、銀行は交換品を発行する前にあなたの情報 (クレジット カード番号、母親の旧姓など) を確認する必要があると告げるかもしれません。彼または彼女は、あなたの信頼を獲得し、これが合法であるように聞こえるようにするために、あなたのカードの下 4 桁と、場合によっては最近の取引の日付と金額 (ゴミ箱で簡単に見つかるもの) を提示します。
もう 1 つの典型的な詐欺は、攻撃者が社内の誰かやコンサルタント (例: 技術サポート - 偽造の ID カードとクリップボードを備えている)、または監査人などの信頼できる外部機関を装う場合です。少し自信があれば誰でもできるあらゆる建物に共連れで侵入する。
ハッカーは、Facebook の友達になりすますまたは他のソーシャル メディア接続を利用して、プロフィールや投稿から情報を収集します。
フィッシング攻撃と不正な Web サイト信頼できるふりをしている企業もすべて、このカテゴリの短所に分類されます。
そして、私たちが最近見たように、ハッカーはユーザーを特定するために最小限の情報 (請求先住所や電子メールなど) のみを必要とする緩い企業手順を通じてアカウントに侵入することができます。
ご覧のとおり、ソーシャル エンジニアリングは、私たちのだまされやすさと、人々の身元を確認するために使用する限られた量の情報に依存しています。写真提供者ジャレッドとコリン
これは常識であり、そのようなトリックには決して騙されないと言う前に、次のことを知ってください。テクノロジーに精通した人でも個人情報を共有することには弱い。ハッカーが権威ある立場にあるか、上司の代理をしているように見える場合、ノーと言うのはさらに難しくなります。このウォルマートのハックが示しているのは、。
ソーシャル エンジニアリング ハッキングの被害者にならないようにする方法
自分自身がソーシャルエンジニアリングを受けないようにするためにできる最も重要なことは、健全な懐疑論を受け入れ、常に可能な限り警戒することです。よくあるトリックを意識するだけで、ゲームの一歩先を行くことができます (ただし、生意気になりすぎないでください。すべてを疑うことを忘れないでください)。
電話、オンライン、対面を問わず、質問者の身元とその必要性を最初に確認できない限り、機密情報はもちろん、あなたやあなたの会社に関する機密情報ではないように見える情報も決して教えてはなりません。その情報を得るために。クレジット カード会社から、カードが不正使用されたという連絡を受けましたか?わかりました、折り返し電話します、と言って、電話をかけてきた相手に話すのではなく、クレジット カードに登録されている番号に電話します。
実際の IT 部門や金融サービスが電話でパスワードやその他の機密情報を尋ねることは決してないことを常に覚えておいてください。
また、シュレッダーを上手に活用しましょうそしてデジタルデータを適切に処分する。最近見たように、一部の(貧弱な)セキュリティ システムは、ピザの配達レシートに記載されている情報だけで回避できます。写真提供者ベン・ブラウン
企業は従業員をトレーニングして、ソーシャル エンジニアリング ハッキングを発見し、簡単なハッキングを防ぐためにシステムを修正する必要があります。自分自身を守るために、次のことを知っておくと役立ちます。フィッシング攻撃の基本とその防御方法。Social-Engineer.orgこれは、「人間によるハッキングの技術」がどのように達成されるかを学ぶための優れたリソースであり、EnterpriseITPlanet の AntiOnline フォーラムにはさらに多くの情報があります。ソーシャルエンジニアリング攻撃の例、同様にCSO。
ソーシャルエンジニアリング攻撃による被害を最小限に抑える
フィッシング詐欺師、詐欺師、個人情報窃盗者から身を守ることはできますが、使用しているサービスが危険にさらされたり、誰かが会社に自分であることをなんとか信じ込ませたりした場合、できることは限られています。ただし、いくつかの予防策を自分で講じることはできます (そのうちのいくつかは前に述べた最近の Apple と Amazon のエクスプロイトの後)。
すべての卵を 1 つのカゴに入れる (または、恐ろしい「単一障害点」を避ける): アカウントがより密接に絡み合い、依存関係にあるほど、セキュリティ侵害によって引き起こされる損害はより広範囲になります。たとえば、すべてのサービスのパスワード回復に Gmail アドレスを使用している場合です。
サービスごとに異なるログインを使用し、パスワードを保護する:同様に、同じパスワードを複数回使用しないでください。そしてパスワードが強力であることを確認してください。
二要素認証を使用する: これ泥棒がアカウントに侵入するのが難しくなりますたとえユーザー名とパスワードが漏洩したとしても
秘密の質問を工夫して作成する: Web サイトで入力を求める追加のセキュリティの質問は、もう 1 つの防御線であると考えられていますが、多くの場合、これらの質問は簡単に推測されたり発見されたりします (たとえば、出身地など)。あなたはできる答えの文字をずらしてくださいまたは、独自の特別なコーディング システムを使用して、セキュリティの答えを自分だけが知っているようにします。
クレジットカードを賢く使う: クレジットカードはオンラインで支払う最も安全な方法(デビット カードや PayPal などのオンライン支払いシステムよりも優れています)、強力な保護があるためです。デビット カードを使用していて、ハッカーがその番号にアクセスすると、銀行口座全体が流出する可能性があります。ウェブサイトやウェブサイトにカード番号を保存しないことで、クレジット カードの安全性をさらに高めることができます。使い捨てカード番号または仮想カード番号を使用する(シティバンク、バンク・オブ・アメリカ、ディスカバーが提供)。
アカウントと個人データを頻繁に監視する: 個人情報の盗難とクレジット カード詐欺の両方に注意するには、アカウント残高とクレジット スコアを定期的に確認してください。いくつかのサービスが提供無料のID盗難監視、信用監視、 そして疑わしいクレジット請求。あなたもできます個人情報盗難の監視として Google アラートを使用する。
公開情報データベースから自分の情報を削除する: Zabasearch や PeopleFinders などのサイトは、私たちの個人情報 (住所や生年月日など) をオンラインで公開し、誰もが閲覧できるようにしています。これらのリストから自分を削除するには、このリソース。
定期的にバックアップしてください!説明は不要ですよね?
これらの手順では、サービス プロバイダーがソーシャル エンジニアリング ハッキングに陥り、アカウントが攻撃者に引き渡された場合にアカウントが侵害されるのを防ぐことはできませんが、少なくとも被害を最小限に抑えることができ、さらに安心感を与えることもできます。自分の身を守るためにできる限りのことをしてください。
愛、
ライフハッカー
PS何か追加することはありますか?全員が見られるように以下に投稿してください。
Ask Lifehacker に質問や提案がありますか?に送信してください[メールで保護されています]。
