Kevin Mitnick, som er en af de mest kendte hackere, beskriver i sin bog, "Ghost in the Wires: Mine eventyr som verdens mest efterspurgte hackere", hvordan han brugte social gevinst for uautoriseret adgang til netværk og telefonsystemer.
Sociale netværk eksempler
Nedenfor er eksempler på hvordan nogen kan bruge socialteknik til at få adgang til dit netværk, stjæle fortrolige oplysninger eller få noget gratis.
- Medarbejder - Forsøger at være en medarbeider, der har problemer med at få adgang til hans eller hendes konto og har brug for sikkerhed, login eller andre kontooplysninger.
- Falsk IT - Falsk it-support, der kræver fjernadgang til en computer på grund af et falsk problem eller en sikkerhedstrussel.
- Pretend ægtefælle - Foregive sig for at være en ægtefælle, der ringer til et firma om problemer med adgang til hans eller hendes ægtefælles konto og brug for kontooplysninger.
- Bogus-student - Bogus-student, der kalder supportpersonale, der angiver et websted, virker ikke. Når en medarbejder besøger den angivne problemside, samler den computer- og netværksinformation eller forsøger at inficere den computer med en trojan eller anden malware.
- Falsk kunde - Falsk utilfreds kunde klager over produkter, de ikke købte, der kræver en refusion eller kompensation uden købsbevis.
- Forsøg vedligeholdelsesmand - Nogen udskriver et skuespil, der giver udseendet, at de er en reparatør, der besøger at reparere en computer, printer, telefon eller et andet system. Efter at have fået adgang til bygningen får de adgang til fortrolige dokumenter eller computere, der giver dem adgang til netværket.
- Falsk klient - En e-mail fra en falsk klient med et forretningsforslag med en vedhæftet fil, der er en trojan eller anden malware til at inficere et netværk og give fjernadgang.
Forebyggelse af sociale netværk angreb
Uddannelse
Alle medarbejdere, medarbejdere, studerende eller familiemedlemmer på samme netværk skal kende alle de potentielle trusler, de måtte have. Det er også vigtigt, at alle andre, der har fjernadgang som f.eks. En tredjeparts it-virksomhed eller entreprenører, også uddannes.
Sikkerhedsforanstaltninger
De fleste virksomheder har (eller skulle have) sikkerhedsforanstaltninger såsom en kode, der er nødvendig for at få adgang til kontooplysninger. Hvis en kunde eller en person, der kalder at sige, at de er kunden, ikke kan levere disse oplysninger, skal kontooplysningerne ikke gives til dem via telefonen. Det skal også gøres klart, at medarbejderne straks mister sit arbejde, hvis de giver oplysningerne for at undgå konflikt med kunden.
Vær altid forsigtig med hvad du ikke kan se
De fleste af de teknologiske anfald er over telefon, e-mail eller andre former for kommunikation, der ikke kræver kommunikation fra ansigt til ansigt. Hvis du ikke kan se hvem du snakker med, skal du altid antage, at det er muligt, at den person, du snakker med, ikke er, som de siger, at de er.
Sikkerhed eller reception
Ikke alle samfundstekniske angreb sker via telefon eller internet. En angriber kan også besøge virksomheden med et forældet badge eller en form for identifikation. Hver virksomhed skal have en reception eller sikkerhedsvagt, som også er opmærksom på alle sikkerhedstrusler og ved, at ingen kan passere uden ordentlig tilladelse. De skal også indse, at hvis disse forholdsregler ignoreres (fx siger nogen, at de har glemt deres badge), at det ville medføre, at de mister deres job.
Det er også en god idé at have mere følsomme områder som et serverrum kræver yderligere sikkerhed, såsom en badge-læser, der kun tillader autoriserede medarbejdere at få adgang til værelset. Også medarbejdere, der har adgang til en bygning eller et værelse med et badge, skal indse, at de også ikke må tillade nogen at komme gennem døren samtidig med dem.
Trevl
Nogle mennesker er ikke bange for at dumpster dykke for at finde fortrolige virksomhedsoplysninger eller andre oplysninger, der vil give dem adgang til et netværk. Eventuelle papirer, som dine medarbejdere smider væk, skal rives.
Ryd firmwareudstyret korrekt ud
Sørg for, at alt udstyr er ødelagt eller kasseret korrekt. De fleste mennesker kan indse, at en computerens harddisk (selv når den er slettet) kan have følsomme data, der kan inddrives. Men mange mennesker ved ikke, at enheder som kopimaskiner, printere og faxmaskiner også indeholder opbevaring, og at følsomme data også kan hentes fra disse enheder. Medmindre du føler, at det er sikkert, at nogen læser alt, hvad du nogensinde har skrevet, scannet eller faxet (ikke sandsynligt), skal du sørge for at kassere enheden.
Sikkerhedsbetingelser, Shoulder surfing