Social Engineering – den rigtige E-terrorisme?

En aften, under natskiftets tog luftfartsforetagendet AOL teknisk support et opkald fra en hacker. I løbet af timen nævnte lang samtale hacker han havde en bil til salg. Teknisk support operatør udtrykt interesse så hacker sendte ham en e-mail med et foto af bilen knyttet. Når operatøren åbnes den vedhæftede fil det skabt en bagdør, der åbnet en forbindelse AOLS netværk, gennem firewallen, så hackeren fuld adgang til det hele indre netværk af AOL med meget lille indsats på den hacker del.

OvenstÃ¥ende er en sand historie og det er et glimrende eksempel pÃ¥ en af de største trusler mod en organisations sikkerhed – social engineering. Det er blevet beskrevet som folk hacking og generelt betyder det at overtale nogen inde i et selskab frivillige oplysninger eller bistand.

Eksempler på anvendte af banalisere teknikker:

Diskret observation over din skulder som du indtaster din adgangskode eller PIN-kode.

Ringer helpdeske med spørgsmål eller at være alt for venlige

Foregiver at være en myndighedsperson.

Social manipulation angreb kan have ødelæggende konsekvenser for de involverede virksomheder. Konti kan gå tabt, følsomme oplysninger kan blive kompromitteret, konkurrencemæssig fordel kan blive udslettet og omdømme kan blive ødelagt.

Ved at gennemføre nogle enkle teknikker kan du mindsker risikoen for din organisation at blive offer eller, i tilfælde af at du er målrettet, holde følger til et minimum.

Sørg for, at alle medarbejdere, især ikke-IT-medarbejdere, er opmærksomme på risikoen for social manipulation og hvad man skal gøre i tilfælde af et sådant angreb.

Adfærd regelmæssig sikkerhed bevidsthed uddannelse, så alle medarbejdere holdes ajour med sikkerhed-relaterede emner.

Gennemføre en formel hændelse rapporteringsmekanisme for alle sikkerhed relaterede hændelser til at sikre, at der er en hurtig reaktion på eventuelle overtrædelser.

Sikre, at virksomheden har politikker og procedurer på plads, at alle medarbejdere er opmærksomme på dem og at de følges.

Indført klassificering informationssystem til at beskytte følsomme oplysninger.

Gennemføre regelmæssige revisioner, ikke kun på IT-systemer, men også om politikker, procedurer og personale, så eventuelle potentielle svagheder kan rettes hurtigst muligt.




Skriv et svar

Din e-mailadresse vil ikke blive publiceret.