目次:
ビデオ: 自社製品・サービスの良さがわからない人へのFAB分析【製品分析テクニック】 2024
ソーシャルエンジニアは疑いのない犠牲者の信頼を得た後、犠牲者たちは、必要以上に情報を漏らしてしまう。 Whammo - ソーシャルエンジニアは殺人のために行くことができます。ソーシャルエンジニアは、犠牲者が快適に感じる対面式や電子的なコミュニケーションを通じて、あるいは技術を使って犠牲者に情報を漏らすようにします。
言葉と行動を欺く
<! - 1 - >賢いソーシャルエンジニアは、さまざまな形で犠牲者の情報を内部に取り込むことができます。彼らはしばしば明確に話し合っており、犠牲者に何を言っているか考える時間を与えずに会話を動かすことに集中しています。しかし、ソーシャルエンジニアリングの攻撃中に不注意や過度に不安を感じる場合は、次のようなヒントを付けると、それらを放棄する可能性があります。
-
過度にやりがいのある行動
<!組織内の著名人の名前の表記 -
組織内の権威に対する自慢
-
要求が尊重されない場合の叱責の脅威
-
疑問視されると緊張する(唇を撫でて、特に顔から離れた身体の部分をコントロールすることが意識的な努力を必要とするため、特に手と足がある)
-
<! - 拡張された生徒または音声ピッチの変化などの生理学的変化を経験する
急いで出現 -
情報を提供することを拒否する
-
ボランティア情報とアンサスクされない質問に回答
-
>外部者が持ってはならない情報の把握
-
インサイダースピーチや知られている外部者としてのスラングの使用
-
奇妙な質問の依頼
-
書面による通信の誤字脱字
-
優れたソーシャルエンジニアは、しかし、これは悪意のある行為が働いているという兆候の一部です。もちろん、その人が社会病者または精神病者である場合、あなたの経験は異なる場合があります。
-
ソーシャルエンジニアは、しばしば誰かのために好意を持って回り、その人に助けてくれるかどうか尋ねます。この共通のソーシャルエンジニアリングのトリックはかなりうまくいく。ソーシャルエンジニアは、逆ソーシャルエンジニアリングと呼ばれるものをよく使用します。
-
これは、特定の問題が発生した場合にヘルプを提供するところです。時間がたつと、問題は(しばしば彼らのやり方によって)発生し、問題を解決するのに役立ちます。彼らは英雄として遭遇する可能性があります。ソーシャルエンジニアは疑いのない従業員に賛成を求めるかもしれません。そうです、彼らはただ肯定的に賛成を求めます。多くの人がこの罠に陥る。
従業員を偽装するのは簡単です。ソーシャルエンジニアは、同様の見た目のユニフォームを着用したり、偽のIDバッジを作成したり、単に実際の従業員のように服を着ることができます。人々は、「ねえ、彼は私のように見え、行動するので、彼は私たちの一人でなければなりません。 "
ソーシャルエンジニアは、社外の電話回線からの従業員の声でもあるようです。このトリックは、ヘルプデスクやコールセンターの人員を搾取するために特に一般的な方法です。ソーシャルエンジニアは、「こんにちは、あなたの顧客番号を教えてもらえますか? " 技術による詐欺
技術は、ソーシャルエンジニアにとって、物事を楽にして楽しくすることができます。多くの場合、情報の悪意のある要求は、犠牲者が識別できると思うコンピュータまたは他の電子エンティティからもたらされます。しかし、コンピュータ名、電子メールアドレス、ファックス番号、またはネットワークアドレスを偽装するのは簡単です。ハッカーは、犠牲者に重要な情報を求める電子メールを送信することにより、技術を欺くことができます。このような電子メールは通常、ユーザーID、パスワード、社会保障番号などのアカウント情報を「更新」する、プロフェッショナルかつ合法的な外観のWebサイトに犠牲者を誘導するリンクを提供します。 FacebookやMyspaceなどのソーシャルネットワーキングサイトでも同様のことが起こるかもしれません。
多くの迷惑メールやフィッシングメッセージでもこのトリックが使用されます。ほとんどのユーザーは、迷惑メールや他の不要な電子メールを氾濫させて、しばしば警戒してはならない電子メールや添付ファイルを開こうとします。これらの電子メールは、通常、プロフェッショナルで信憑性があります。彼らはしばしば、人々が贈り物と引き換えに決して提供すべきではない情報を開示することを欺く。これらのソーシャルエンジニアリングのトリックは、すでにネットワークに侵入したハッカーがメッセージを送信したり、偽のインターネットポップアップウィンドウを作成した場合にも発生します。インスタントメッセージと携帯電話のメッセージングでも同じトリックが発生しています。
よく知られた事件の中には、ハッカーたちが犠牲者に電子メールでMicrosoftや他の有名ベンダーからのパッチを電子メールで送ったものもあります。ユーザーはそれがアヒルのように見え、それはアヒルのように突き刺さるが、それは正しいアヒルではない!このメッセージは実際には、ユーザがトロイの木馬のキーロガーをインストールするか、コンピュータやネットワークにバックドアを作成する「パッチ」をインストールすることを望むハッカーのメッセージです。
ハッカーはこれらのバックドアを使用して組織のシステムをハックしたり、被害者のコンピュータ(
ゾンビ
)を別のシステムを攻撃するためのパッドとして使用します。ウィルスやワームでさえ、ソーシャルエンジニアリングを使うことができます。例えば、LoveBugのワームは、彼らに秘密の崇拝者がいることを伝えました。犠牲者が電子メールを開いたとき、それは遅すぎた。彼らのコンピュータは感染していました(そして恐らく、彼らは秘密の崇拝者を持っていませんでした)。
ナイジェリアの
419
電子メール詐欺対策は、疑いのない人々の銀行口座とお金にアクセスしようとします。これらのソーシャルエンジニアは、死亡した顧客の資金を米国に送還するために、被害者に何百万ドルも譲渡することを提案しています。すべての被害者は、個人的な銀行口座の情報であり、譲渡費用をカバーするための少しの資金を提供する必要があります。被害者は銀行口座を空にします。
多くのコンピュータ化されたソーシャルエンジニアリング戦略は、インターネットプロキシサーバー、アノニマイザ、リメーラ、オープンリレーを備えた基本的なSMTPサーバーを通じて匿名で実行できます。個人情報や企業情報を機密情報として要求した場合、これらのソーシャルエンジニアリング攻撃の原因は追跡できないことがよくあります。
