Nel suo libro "Ghost in the Wires: Le mie avventure come l'hacker più ricercato del mondo", Kevin Mitnick, uno degli hacker più noti, ha descritto come ha utilizzato il guadagno sociale per accedere non autorizzato a reti e sistemi telefonici.
Esempi di social networking
Di seguito sono riportati esempi di come qualcuno potrebbe utilizzare l'ingegneria sociale per accedere alla rete, rubare informazioni riservate o ottenere qualcosa gratuitamente.
- Compagno di lavoro - Fingendo di essere un collega che ha problemi ad accedere al proprio account e necessita di sicurezza, accesso o altri dettagli dell'account.
- Fake IT - Supporto IT falso che richiede l'accesso remoto a un computer a causa di un falso problema o di una minaccia alla sicurezza.
- Fai finta di sposare - Fai finta di essere un coniuge che chiama una società per problemi di accesso al conto del suo coniuge e che necessitano di dettagli dell'account.
- Studente Bogus - Il personale di supporto per gli studenti Bogus che indica un sito Web non funziona. Quando un membro dello staff visita la presunta pagina dei problemi, raccoglie informazioni sul computer e sulla rete o tenta di infettare quel computer con un trojan o altro malware.
- Cliente falso - Cliente falso e scontento che lamenta prodotti non acquistati che chiedono un rimborso o una compensazione senza prova di acquisto.
- Fing manutentore - Qualcuno stampa un distintivo fittizio che dà l'impressione di essere un riparatore che sta visitando per riparare un computer, una stampante, un telefono o un altro sistema. Dopo aver ottenuto l'accesso all'edificio, ottengono l'accesso a documenti o computer riservati che consentirebbero loro l'accesso alla rete.
- Client falso - Un'e-mail da un client falso con una proposta commerciale con un allegato che è un trojan o altro malware per infettare una rete e fornire accesso remoto.
Prevenire gli attacchi dei social network
Formazione scolastica
Tutti i dipendenti, il personale, gli studenti oi membri della famiglia sulla stessa rete devono conoscere tutte le potenziali minacce che possono incontrare. È inoltre importante che chiunque sia in possesso di accesso remoto come un'azienda o un appaltatore IT di terze parti venga istruito.
Misure di sicurezza
La maggior parte delle aziende ha (o dovrebbe avere) misure di sicurezza come un codice necessario per accedere ai dettagli dell'account. Se un cliente o qualcuno che chiama dicendo che il cliente non è in grado di fornire tali informazioni, i dettagli dell'account non devono essere comunicati a loro tramite telefono. Va inoltre chiarito che fornire le informazioni per evitare conflitti con il cliente comporterebbe la perdita immediata del posto di lavoro da parte del dipendente.
Siate sempre cauti su ciò che non potete vedere
La maggior parte degli attacchi di social engineering avviene per telefono, e-mail o altre forme di comunicazione che non richiedono comunicazione faccia a faccia. Se non riesci a vedere con chi stai parlando, dovresti sempre presumere che è possibile che la persona con cui stai parlando non sia quella che dicono di essere.
Sicurezza o reception
Non tutti gli attacchi di social engineering avvengono per telefono o Internet. Un utente malintenzionato potrebbe anche visitare l'azienda con un badge fittizio o una forma di identificazione. Ogni azienda dovrebbe avere una reception o un addetto alla sicurezza che è anche a conoscenza di tutte le minacce alla sicurezza e sa che nessuno può passare senza un'autorizzazione adeguata. Dovrebbero anche rendersi conto che se queste precauzioni vengono ignorate (ad esempio, qualcuno dice che hanno dimenticato il loro badge), ciò comporterebbe la perdita del posto di lavoro.
È anche una buona idea avere aree più sensibili come una sala server che richiedono ulteriore sicurezza, come un lettore di badge che consente solo ai dipendenti autorizzati di accedere alla stanza. Inoltre, i dipendenti che accedono a un edificio o a una stanza utilizzando un badge devono rendersi conto che anche loro non dovrebbero permettere a nessuno di entrare dalla porta nello stesso momento in cui li hanno.
Brandello
Alcune persone non hanno paura di immergere cassonetti per trovare informazioni aziendali riservate o altre informazioni che consentano loro l'accesso a una rete. Qualsiasi documento che i tuoi dipendenti buttano via dovrebbe essere distrutto.
Scartare correttamente l'attrezzatura aziendale
Assicurati che qualsiasi equipaggiamento sia distrutto o scartato correttamente. La maggior parte delle persone può rendersi conto che un disco rigido del computer (anche se cancellato) può avere dati sensibili che possono essere recuperati. Tuttavia, non molte persone sanno che dispositivi come fotocopiatrici, stampanti e fax contengono anche storage e che i dati sensibili possono essere recuperati da questi dispositivi. A meno che tu non senta che è sicuro che qualcuno legga tutto ciò che hai mai stampato, scansionato o inviato via fax (non probabile) assicurati di scartare il dispositivo.
Termini di sicurezza, navigazione a spalla