ソーシャルエンジニアリングとは

ソーシャルエンジニアリングまたは人々のハッキングは、詐欺行為によって人をだましていく行為を説明するために使用される用語です。 たとえば、誰かがビジネスに電話をかけ、従業員をだまして自分がITの出身であると考えさせることができます。 それから、彼らは彼らが情報を盗むことができるように彼らがネットワークにアクセスするか、またはウェブページを訪問することができるように彼らのパスワードを確認するように個人に頼むことができます。

最も有名なハッカーの一人であるKevin Mitnickは、著書 『The Ghost in the Wires:世界で最も望まれるハッカーとしての私の冒険』で、彼がネットワークや電話システムへの不正アクセスに社会的利益を使った方法を説明しました。

ソーシャルネットワーキングの例

以下は、誰かがソーシャルエンジニアリングを使用してネットワークにアクセスしたり、機密情報を盗んだり、無料で何かを入手したりする方法の例です。

  • 同僚 - 自分のアカウントへのアクセスに問題があり、セキュリティ、ログイン、またはその他のアカウント詳細が必要な同僚になりすましている。
  • 偽のIT - 偽の問題またはセキュリティの脅威により、偽のITサポートがコンピュータへのリモートアクセスを要求します。
  • 配偶者のふりをする - 配偶者の配偶者の口座へのアクセスおよび口座の詳細が必要な問題について会社に電話をかける配偶者のふりをします。
  • 偽の学生 - ウェブサイトが機能していないことを示すサポートスタッフを呼び出す偽の学生。 スタッフが想定される問題ページにアクセスすると、コンピュータとネットワークの情報を収集したり、そのコンピュータにトロイの木馬やその他のマルウェアを感染させようとします。
  • 偽の顧客 - 偽の顧客は、購入したことを証明することなく払い戻しまたは補償を要求する、購入しなかった製品について不満を抱いていました。
  • メンテナンスマンのふりをする - 誰かが、コンピュータ、プリンタ、電話、または他のシステムを修理するために訪れている修理人であるような外観を与えるふりバッジを印刷する。 建物へのアクセスを取得した後、彼らは彼らがネットワークへのアクセスを許可する機密文書やコンピュータへのアクセスを取得します。
  • 偽のクライアント - ネットワークに感染してリモートアクセスを可能にするトロイの木馬またはその他のマルウェアである添付ファイル付きのビジネス提案を含む偽のクライアントからの電子メール。

ソーシャルネットワーキング攻撃の防止

教育

同じネットワーク上のすべての従業員、スタッフ、学生、または家族は、直面する可能性のあるすべての脅威について知っておく必要があります。 また、サードパーティのIT企業や請負業者など、リモートアクセスを持つ可能性のある他の人も教育を受けることが重要です。

セキュリティ対策

ほとんどの企業は、アカウントの詳細にアクセスするために必要なコードなどのセキュリティ対策を講じています。 顧客または自分が顧客であると言っている人がその情報を提供できない場合は、アカウントの詳細を電話で彼らに知らせるべきではありません。 また、顧客との衝突を避けるために情報を提供すると、従業員がすぐに自分の仕事を失うことになることを明確にする必要があります。

見えないものには常に用心してください

ソーシャルエンジニアリング攻撃のほとんどは、電話、電子メール、または対面コミュニケーションを必要としないその他の形式のコミュニケーションを介して行われます。 あなたが誰と話しているのかわからない場合は、あなたが話している人は彼らが誰であると言っているのではないということが常に可能であると仮定するべきです。

セキュリティまたはフロントデスク

すべてのソーシャルエンジニアリング攻撃が電話またはインターネットを介して起こるわけではありません。 攻撃者は、ふりをするバッジまたは身分証明書を使って会社を訪問する可能性もあります。 すべてのビジネスには、すべてのセキュリティ上の脅威を認識し、適切な許可がないと誰も通行できないことを認識しているフロントデスクまたはセキュリティガードを配置する必要があります。 また、これらの予防措置を無視した場合(例:誰かがバッジを忘れたと言った場合)、仕事を失うことになることを認識しておく必要があります。

サーバールームのような機密性の高い領域で、承認された従業員のみがその部屋にアクセスできるようにするバッジリーダーなどの追加のセキュリティが必要な場合もあります。 また、バッジを使用して建物や部屋にアクセスする従業員も、自分と同じ時間に他の人がドアを通過することを許可しないようにする必要があります。

細断処理

会社の機密情報やネットワークへのアクセスを許可するその他の情報を見つけるためにゴミ捨てることを恐れていない人もいます。 あなたの従業員が捨てるどんな紙も細断されるべきです。

会社の機器を適切に廃棄する

機器が適切に破壊または廃棄されていることを確認してください。 ほとんどの人は、コンピュータのハードドライブ(消去した場合でも)には、回復可能な機密データがある可能性があることに気付くかもしれません。 しかし、コピー機、プリンタ、ファックス機などのデバイスにもストレージがあり、これらのデバイスから機密データも復元できることを知っている人はあまりいません。 誰かがあなたが今までに印刷、スキャン、またはファックス送信したことのあるものすべてを読むのが安全であると思わない限り(必ずそうではありません)、デバイスを破棄してください。

セキュリティに関する用語、ショルダーサーフィン