6 способів захистити себе від хакі соціальної інженерії

Хтось може отримати доступ до ваших облікових записів в Інтернеті, видалити більшість ваших особистих даних, інакше зіпсує ваше цифрове життя без необхідності писати єдиний рядок коду. Все, що потрібно, - це трохи публічної інформації та здорової долі харизми. Вони називаються хакі соціальної інженерії, і вони навіть страшніше, ніж ви думаєте.

Найбільш відомим прикладом соціальної інженерії є перший Дротовий епічний хакер письменника Мата Хонана. Підлітки пробилися через його рахунки Amazon, Apple, Google і Twitter, видаляючи його дані по дорозі, як акт цифрового вандалізму.

Все почалося з кількох телефонних дзвінків до Amazon. Хакери додали до облікового запису Хонана фальшивий номер кредитної картки, а потім знову подзвонили, щоб отримати тимчасовий пароль, використовуючи номер, щоб "довести", що вони володіють рахунком. Це дало їм дані, необхідні для того, щоб обійти захист на своїх облікових записах Apple, Google і Twitter.

Ці хаки досить легкі для того, щоб їх виконання стало популярною грою на зустрічі хакерів Def Con. Ось як можна захистити себе від цих руйнівних простих атак:

6. Перестаньте розкривати факти про своє життя незнайомцям

Це легше, ніж будь-коли, дізнатися всілякі відомості про когось, не зустрічаючи їх. Навіть такі програми, як Tinder, тепер заохочують людей обмінюватися інформацією про те, куди вони пішли в школу або які їхні інтереси, щоб вони могли знайти когось з ким спати. Вибачте, я мав намір вивісити в абсолютно платонічний спосіб.

Цю інформацію можна використовувати для видавання себе за вас. Багато людей базують свої паролі на своїх хобі, відповідають на питання безпеки про те, де вони живуть, або розкривають своїх найближчих друзів будь-кому, хто переглядає їхні онлайн-профілі. Заблокуйте цей лайно і переконайтеся, що тільки ті люди, які можуть переглядати цю інформацію, є вашими друзями.

5. Не бійтеся бути грубим з підозрюваними аферистами

Нью-Йоркський університет попереджає, що хакі соціальної інженерії часто покладаються на наше вроджене бажання бути приємним. Ось чому він радить своїм співробітникам бути трохи грубим:

Якщо ви підозрюєте, що хтось намагається зробити вас жертвою нападу соціальної інженерії, припиніть спілкування з людиною. Якщо ви підозрюєте, що телефонний абонент є хакером, повісьте трубку. Якщо ви бачите ознаки того, що повідомлення онлайн-чату, як видається, є імператором, припиніть з'єднання. Нарешті, якщо ви отримаєте електронний лист від відправника, якого ви не знаєте і довіряєте, видаліть його.

Мінуси працюють тільки на людей, які готові слухати. Замість того, щоб дозволити комусь полювати на наше вбудоване бажання бути соціальним - і бути ввічливим - просто пам'ятайте, що грубість краще, ніж бути загвинченим.

Розумний BlackHat, щоб почати #firstsevenjobs. Просто потрібно отримати #mothersmadenname і #lastfourdigitsofcreditcard тенденції, і вони сортуються.

- Всі речі (@pwnallthethings) 7 серпня 2016 року

4. Довільно генерувати відповіді на питання безпеки

Компанії погано ставляться до питань безпеки. Або вони лише дозволяють людям вибирати запитання з випадаючих меню, або вони використовують ті ж фішки, які ми всі бачили раніше. Де ви народилися, вони запитують, або яке було дівоче прізвище вашої матері?

Проблема з усіма цими питаннями полягає в тому, що їм легко зрозуміти. Ваша мама могла б ділитися своїм дівочим прізвищем на Facebook, щоб полегшити чуваку, якої вона мала у школі, щоб знайти її. (На жаль.) Або розумні хакери можуть попросити вас перерахувати відповіді на свої питання безпеки, як видно вище, щоб змусити вас охоче публікувати конфіденційну інформацію, яку ви повинні зберігати приватною.

Довільно генерувати відповіді на ці питання безпеки. Яке було дівоче прізвище вашої матері? "DP (3 * dUsb4." Хто твій найкращий друг? ", - сказав закон. Alga whelp.) Знайди спосіб випадкових відповідей і записує результати де-небудь, де можна зберегти їх безпечно.

3. Серйозно, просто припиніть повторне використання паролів

Ви тільки придумали найкращий пароль: "Pleas3robme!" Замість того, щоб відтворити подвиг - який пароль може бути більш запам'ятовується і безпечнішим? - Ви вирішили використовувати його скрізь. Netflix? “Pleas3robme!” Facebook? "Pleas3robme!" Кожне текстове поле, яке говорить "пароль" поруч з ним? "Pleas3robme!"

Зупини це. Використання одного і того ж пароля на декількох сайтах подібне до того, як покласти всі яйця в один кошик, розрізаючи велику дірку в кошику, і розгойдуючи її над головою. Змініть паролі, щоб хакери, які крадуть вашу реєстраційну інформацію Netflix, не можуть увійти до вашого облікового запису Facebook або будь-якого іншого облікового запису. Просто. Стій. Повторне використання. Паролі.

2. Пам'ятайте, що всі ваші дані можуть бути використані проти вас

Якщо щось звучить занадто добре, щоб бути правдою, це, ймовірно, є. Ніхто насправді не ввійде до вас в лотерею для iPhone 9, якщо ви надасте їм доступ до вашого облікового запису Facebook. Ви не зможете виграти $ 1000, якщо ввести своє ім'я та адресу. Це популярна тактика соціальної інженерії.

Немає значення, якщо ці шахраї просять начебто нешкідливу інформацію. Все, що використовується для перевірки вашої особистості на різних платформах - де ви виросли, ім'я вашого вихованця, ваша поточна адреса - можна використовувати для отримання доступу до ваших даних.

1. Використовуйте передплачені карти для покупок в Інтернеті

Отже, ви зробили все можливе, щоб зробити життя соціальним інженером складним. Ви користуєтеся унікальними паролями, генеруєте випадкові відповіді на питання безпеки, не даєте особистих даних кожному, хто має підключення до Інтернету, відкладайте слухачів, які здаються підозрілими, і не заповнюйте онлайн-опитування. Чудово! Але чи є одна кредитна картка, яка пов'язує всі ваші онлайн-рахунки один з одним?

Передплачені карти пропонують більш безпечну альтернативу. На жаль, вони також є найменш зручним виправленням для цього списку. Але якщо ви хочете переконатися, що номер кредитної картки не може бути використаний для отримання доступу до ваших облікових записів, варто розглянути картки "пальники", які використовуються для обмеженої кількості транзакцій. Це додасть ще один рівень мінливості, щоб зберегти вашу безпеку.