目次:
- Googleや他の検索エンジンで検索する場合、会社名や特定の従業員の名前などの単純なキーワードを使用して検索すると、多くの情報が得られることがあります。 SECの提出書類には、Hoover'sやYahoo Financeなどのサイトでさらに多くの情報が掲載されています。この検索エンジン情報を使用して会社のWebサイトを参照することで、攻撃者はソーシャルエンジニアリング攻撃を開始するのに十分な情報を得られることがよくあります。
- ダンプスターダイビングは少し危険です。それは確かに面倒です。しかし、それは情報を得る非常に効果的な方法です。この方法は、文字通り、会社についての情報のためにごみ箱を捜索します。
- 住宅の電話番号
- ユーザーがこのトリックに本当に敏感であることに驚くでしょう。ほとんどのフィッシングテストの成功率は10〜15%です。 80%もの高い可能性があります。これらの料金は、セキュリティやビジネスには向いていません!
ソーシャルエンジニアが目標を念頭に置くと、通常、被害者に関する公開情報を収集することによって攻撃を開始します。多くのソーシャルエンジニアは時間の経過とともに情報をゆっくりと取得するため、疑惑は生じません。ソーシャルエンジニアリングを擁護している場合、明白な情報収集はヒントです。最初の調査方法にかかわらず、ハッカーはすべて従業員リスト、主要な社内電話番号、ソーシャルメディアWebサイトの最新ニュース、または社内カレンダーなど、組織に浸透する必要があります。
Googleや他の検索エンジンで検索する場合、会社名や特定の従業員の名前などの単純なキーワードを使用して検索すると、多くの情報が得られることがあります。 SECの提出書類には、Hoover'sやYahoo Financeなどのサイトでさらに多くの情報が掲載されています。この検索エンジン情報を使用して会社のWebサイトを参照することで、攻撃者はソーシャルエンジニアリング攻撃を開始するのに十分な情報を得られることがよくあります。
<! - 2 - >
悪質な人は、個人に関する総合的なバックグラウンドチェックのためにわずか数ドルを支払うことができます。これらの検索は、実際に何人かの人に関する公開情報(場合によっては非公開情報)を数分で表示することができます。ダンプスターダイバー
ダンプスターダイビングは少し危険です。それは確かに面倒です。しかし、それは情報を得る非常に効果的な方法です。この方法は、文字通り、会社についての情報のためにごみ箱を捜索します。
<! - 3 - >
ダンプスターダイビングは、多くの従業員がごみ箱に入ってから情報が安全であることを前提にしているため、最も機密性の高い情報を得ることができます。ほとんどの人は、捨てる紙の潜在的価値を考えません。これらの文書には、組織に浸透するために必要な情報をソーシャルエンジニアに伝える豊富な情報が含まれていることがよくあります。内部電話リスト
-
組織図
-
セキュリティポリシーを含むことが多い従業員ハンドブック
-
ネットワーク図
-
パスワード一覧
-
会議メモ >スプレッドシートとレポート
-
機密情報を含む電子メールの印刷
-
細断文書は、紙が
-
細断紙に細断されている場合にのみ有効です。長いストリップのみで文書を細断した安価なシュレッダーは、決定されたソーシャルエンジニアに対して基本的に価値がありません。ちょっとした時間とテープで、ソーシャルエンジニアは、彼がやると決心していれば、文書をまとめ直すことができます。
悪意のある人達はゴミ箱でCD-ROMやDVD、古いコンピュータケース(特にハードドライブはそのまま)、バックアップテープを探しています。 電話システム 攻撃者は、ほとんどのボイスメールシステムに組み込まれている名前によるダイヤル機能を使用して情報を取得できます。この機能にアクセスするには、通常、会社のメイン番号に電話した後、または他人のボイスメールボックスに入った後に0を押すだけです。このトリックは時間がたっても誰も答えないように最善を尽くします。
攻撃者はどこから電話をかけることができれば、自分の身元を守ることができます。
住宅の電話番号
は、電話番号の前に* 67をダイヤルすることで、発信者IDから電話番号を非表示にすることがあります。
フリーダイヤル番号(800,888,887,866)または911に電話をかけるときは、この機能は無効です。電話スイッチを使用しているオフィスでは、ビジネス電話
-
は偽装するのが難しくなります。しかし、攻撃者は通常、電話スイッチソフトウェアのユーザーガイドと管理者パスワードが必要です。多くのスイッチでは、攻撃者は犠牲者の自宅の電話番号などの改ざんされた番号を含むソース番号を入力できます。しかし、VoIP(Voice over Internet Protocol)電話システムではこれが問題になりません。オープンソースアスタリスクなどの VoIPサーバー
は、任意の番号を送信できるように使用および設定できます。
-
フィッシングメール 最新の犯罪ハッキングの流行は、フィッシング999です。犯罪者は、犠牲者に機密情報を漏らしたり悪意のあるリンクをクリックさせようとして偽の電子メールを送信します。フィッシングは実際には長年にわたり行われてきましたが、見た目には浸透しない組織に対する注目度の高い攻撃を受けて、
-
フィッシングの有効性はすばらしく、その結果はしばしば醜いです。犯罪者がパスワードを収集したり、機密情報を盗んだり、マルウェアを標的とするコンピュータに侵入させたりするために必要な電子メールがいくつかあります。 あなた自身のフィッシング練習をすることができます。基本的な方法は、偽の電子メールアカウントを設定して情報を要求したり、悪意のあるサイトにリンクしたり、テストする従業員や他のユーザーに電子メールを送信したり、何が起こるかを見ることです。それは本当に簡単です。
ユーザーがこのトリックに本当に敏感であることに驚くでしょう。ほとんどのフィッシングテストの成功率は10〜15%です。 80%もの高い可能性があります。これらの料金は、セキュリティやビジネスには向いていません!
フィッシングテストを実施するためのより公式な手段は、仕事に特化したツールを使用することです。商用ベンダーとの良好な経験を持っていても、直接的または間違ってオフサイトに送信される可能性のある機密情報を放棄し、再度制御されることは決してないと考えておく必要があります。 このような状況に陥った場合は、クラウドサービスプロバイダと同様に、サードパーティのフィッシングベンダーに何が漏洩しているのかを十分に理解してください。信頼するが、確認する。 商用フィッシングツールのオープンソースの代替手段は、Simple Phishing Toolkit(sptとも呼ばれます)です。sptプロジェクト環境を設定することは必ずしも簡単ではありませんが、それを実施した後は、フィッシング対策のためにすばらしいことができます。
あらかじめ電子メールテンプレートがインストールされており、ライブウェブサイトをスクラップして(999ページ)(ページをコピーして自分のキャンペーンをカスタマイズすることができる)、さまざまなレポート機能があるので、 -mailユーザーは餌を取ってテストに失敗しています。
ソーシャルエンジニアは、ボイスメールメッセージを聞くだけで、犠牲者が居なくなったときなど、興味深い情報を見つけることができます。ボイスメールのメッセージ、ポッドキャスト、またはウェブキャストを聞いて、犠牲者の声を勉強することもできます。そのため、これらの人々を偽装する方法を学ぶことができます。
