私たちは皆、基本的なことを知っています—強力なパスワード、二要素認証、 等々。しかし、最近のセキュリティとプライバシーの侵害は、不正なパスワードとはあまり関係がなく、むしろソーシャル エンジニアリングに関係しています。それが何なのか、なぜ知らないうちにそれが起こるのか、そしてどうすれば身を守ることができるのかを見てみましょう。
ソーシャル エンジニアリングの仕組み (そして自分がターゲットであることに気づかない理由)
厳密には、ソーシャルエンジニアリングこれは、セキュリティ システム (またはあらゆる種類のシステム) を突破したり、システム自体の脆弱性を悪用したりするのではなく、システムの周囲にいる人間の脆弱性を悪用して回避する手法です。たとえば、パスワードを侵入したり解読したりする代わりに、テクニカル サポート エージェントを説得してパスワードをリセットし、そのパスワードを渡すか、入手可能な情報を使用して何らかの論理的手段によってシステムをだまして自分が承認されたユーザーであると思わせることができます。 。
実際、これについては以前にいくつかの例を示しました。について話したときあなたが彼らの建物で働いていることを誰かに説得する方法、それは技術的にはソーシャルエンジニアリングです(ただし、それはほとんど正当な理由によるものでした)。招待状なしにパーティーやクラブに参加する?同じ取引です。
本質的に、ソーシャル エンジニアリングはハッキングの重要な形式であり、既存のシステムの周囲または外部で動作して、望ましい結果を得ることができます。また、無邪気な楽しみのために使用されるだけでなく、個人情報を盗んだり、人々のプライバシーを侵害したり、深刻な危害を引き起こすためにも使用される可能性があります。ちょっと聞いてください数年前に身分を盗まれたマット・ホーナンさんApple と Amazon のサポート担当者の少し賢いソーシャル エンジニアリングのおかげです。今、私たちは再びこの問題を目にしています。それは、ブルートフォースクラッキングやずさんなセキュリティではなく、ソーシャルエンジニアリングによって取得された、流出してインターネット上に潜んでいる有名人の写真のおかげではありません。この場合、侵入者は既知の情報を使用してセキュリティ プロンプトを破り、パスワードをリセットし、安全な情報へのアクセスを取得した可能性があります。そして、最も興味深い (そして最も恐ろしい) 部分は、この種のソーシャル エンジニアリングは、ターゲットについて少し調べれば比較的簡単であるということです。
ほとんどの人は、ソーシャル エンジニアリングには、ターゲット、そして有益な情報を放棄するように説得します。それはそれを行うための 1 つの方法ですが、それが唯一の方法ではありません。実際、最も成功した方法は、手遅れになるまでターゲットに知らせないことです。誤解しないでください。ハッカーやデータ泥棒は今でもあなたのパスワードに興味を持っています。ただ、あなたのデータを入手するには、Google アカウントに総当たり攻撃を試みるよりもはるかに効果的な方法があるというだけです。
ソーシャル エンジニアリング攻撃に注意を払う必要がある理由
上で述べたように、パスワードは時代遅れです。おそらくもう読んだことがあるでしょう私たちの無数の へのガイド パスワードセキュリティ。あなたは知っています可能な限り 2 要素認証を有効にする(含むリンクトイン)。あなたは知っていますねパスワードマネージャーを使用する必要があります、パスワードを監査する方法を知っている、そしてパスワードマネージャーが依然として最良の選択肢であることを知っていますたとえ単一障害点であるように見えても。あなたがパスワードを「password」または「123456」にするタイプなら、自分が何者であるかを知っており、もっと良くする必要があることもわかっていますが、何らかの理由でそうしていません。
パスワード セキュリティと 2 要素認証は、ほぼすべての人に組み込まれています。確かに、参加する必要がある人は他にもたくさんいますが、それはカバーされている領域です。さらに、パスワードの入手や解読がかつてないほど簡単になっているにもかかわらず、ほとんどのハッカーはもはやパスワードだけに興味を持っていません。覚えて先月ロシアのギャングが拾った10億以上のパスワード?これらの ID のほとんどは、使用されているとしても、スパムに使用されています。なぜなら、アカウントのユーザー名とパスワードなどのアイデンティティは、保存またはアクセスできる情報と同じくらい重要であり、ほとんどの悪意のあるハッカーは、使用、悪用、または販売できる貴重な情報を持ったターゲットを探しているからです。
価値の高いターゲットを選択し、より高度な方法を使用してデータを取得することは、侵入者の時間を有効に活用することになります。それがどれほどうまく機能し、どれほど簡単であるかを考えると、私たち全員がターゲットになります。自動ツールやソーシャル エンジニアリングを使用してデータにアクセスすることがますます簡単になるにつれて、平均的な人は「価値のあるものを何も持っていない」という幻想はすぐに薄れます。
ソーシャル エンジニアリング攻撃から身を守る方法
ソーシャル エンジニアリングを使用して情報を取得することがどれほど簡単であるかをまだ確立していない場合は、ワシントンポストのこの記事は説明しています誰かの iCloud のセキュリティに関する質問をハッキングすることがいかに簡単であるか、おそらく前述の有名人の写真の一部 (すべてではない) がこのようにして入手されたと考えられます。同様に、David Pogue が自身の見解を Yahoo に投稿、そこで彼はまた、事件全体に対するいくつかの一般的な反応の間違いを暴きました。では、お互いのプライバシーを侵害し、個人の個人情報を世界にさらすようなひどい野郎にならないように人々に教えること以外に、ソーシャル エンジニアリング攻撃から身を守るために何ができるでしょうか?
当然ですが、機密情報は絶対に漏らさないでください。私たちはこれに入りました詳細については、ソーシャル エンジニアリング攻撃に関する古いガイドを参照してください。。その投稿では自分自身を守ることに焦点を当てていましたが、設計されている、ここでも当てはまります。最近では、悪意のあるハッカーが Facebook 上であなたの友人を装うことは少なくなりました (ただし、正直に言って、あなたにリクエストを送ってくる人と友達になるべきではありません) または銀行のふりをして電話をかけてきますが、だからといって、銀行が傍受し、あなたのふりをして銀行に電話するために使用される可能性のある情報をばらまくことができるという意味ではありません。
自分自身に関する重要でない情報も保護します。特に秘密の質問は、システム的に欠陥があるため、通常は簡単に破られます。ユーザーは答えを覚えやすい質問を選びたいと思うでしょうが、それは通常、「どこで生まれましたか?」など、侵入者にとって解読しやすい質問を選ぶことを意味します。または「高校はどこの市に通っていましたか?」秘密の質問を使用する必要がある場合は、要求される情報に細心の注意を払い、利用可能な中で最もあいまいで微妙な質問を使用してください。忘れるのが心配な場合は、いつでもパスワード マネージャーに安全なメモを作成したり、回答を暗号化されたテキスト ファイルに保存したりできます。
秘密の質問に嘘をついても、自分の嘘は忘れないでください。真っ赤な嘘をついて、実際はリトルロックで生まれたのにシンシナティで生まれたと言う事もできますが、その嘘は覚えておかなければなりません。あるいは、次のこともできます。独自の質問を作成し、代わりにその回答を使用する, そのため、「あなたの親友の名前は何ですか?」と聞かれたら、代わりにペットの名前を書きましょう。繰り返しになりますが、記憶には厳しいですが、安全性は高く、あなたの正直さを狙う侵入者に負ける可能性は低いです。
すべてのパスワード リセット メールを懐疑的に見る。 「依頼していないなら何もしなくていいですよ」などと言うものでも。私のアカウントが自分のものだと思っているからではなく、最終的には別の種類のプロンプトが表示され、アカウントを乗っ取られることを期待して、私が以前持っていた古いアカウントにパスワード リセット リクエストを要求している人を見つけました。彼らはパスワードをリセットしようとするたびに私に通知が届くことを知っていますが、私が何もしないことに賭けているのです。問題のサービスのサポートに連絡し、その旨を伝えてください。最良のサービスでは、アカウントのリセット要求を凍結したり、攻撃元を調査できる不正行為チームやセキュリティ チームにあなたを送ったりすることができます。
自分のアカウントとアカウントのアクティビティを監視する。これはパスワード要求に注意するのと同じことですが、チェックすることに問題はありません。Google ダッシュボード自分のアカウントに何が接続されているか、どこにログインしているかを確認することができます (アクティビティを確認するための毎月のリマインダーを受け取ることもできます)。すべての機密性の高いアカウントに対しても同じことを行ってください。すべてのクラウド ストレージ サービス、ソーシャル ネットワーク、電子メール プロバイダーには、ダッシュボードでは、どこにログインしているか、どのアプリやツールが接続されているかを確認できます。金融口座にも注意してください。個別にログインすることも、次のようなサービスを利用することもできます。ミントとか個人資本すべてを鳥の目で見ること。あなたの信用に関して言えば、それを自分で無料で監視する方法を説明しました同じように。
パスワード、重要なサービス、秘密の質問を多様化する。これは常識であるはずですが、明らかにそうではありません。どこでも同じパスワードを使用しないでください。また、提供されるどこでも同じ秘密の質問を使用しないでください。悲しいことに、ほとんどの銀行やクラウド サービス アカウントは、同じ種類の一般的な秘密の質問を何度も再利用しており、「母親の旧姓は何ですか」を秘密の質問として含むサービスを 5 つも用意したくなるかもしれません。やめてください。母親の旧姓は公開情報を使えば驚くほど簡単に見つけられるという事実以上に、どこでも同じパスワードを使用するのと同じくらい悪いことです。同様に、クラウド ストレージ サービス、電子メール サービス、その他の重要な Web アプリや Web サービスを多様化します。ハッキングを許してはいけません。もしハッキングが起こったら、オンライン生活全体をシャットダウンしてください。ハッキングを迅速に特定し、ハッキングが発生した場合に対応するツールが必要です。
さらに詳しいヒントについては、これらの提案の多く (およびその他の提案) を次の記事で説明しています。ソーシャル エンジニアリングから身を守るための以前のガイド、またその方法オンラインでの詐欺や個人情報の盗難から身を守るそしてオフライン。
注目してください。ソーシャル エンジニアリングとこの種の「ソフト」ハッキングは特に新しいものではありませんが、訓練を受けていない、洗練されていないハッカーの間でも人気が高まっています。その主な理由は、それが簡単に実行でき、大量の情報、そしてもちろん人間のシステムをネットワーク化できるためです。私たちのテクノロジーを中心に構築されたものは、ほとんどの場合、セキュリティ チェーンの中で最も弱い部分になります。細部へのちょっとした注意と警戒は大いに役立ちます。
タイトル写真を使用して作成しましたvs148(シャッターストック)とBスタジオ(シャッターストック)。からのビデオハッカー。追加の写真パースペックシスの写真そしてコリー・ドクトロウ。
