WeChat sosyal mühendislikle buluştuğunda, açık silahların gizli oklardan saklanması kolaydır ve önlenmesi zordur.
Giriş
Bu resmi hayal edin:
Yine "canlılık dolu" Pazartesi oldu. Sıkıntılı gözlerinizi ovuşturdunuz, şirketin kapısına yürüdünüz, cebinizdeki çalışma kartına uzun süre dokundunuz ve ardından erişim kontrolünün kilidini açmak için kart okuyucunun üzerine koydunuz. Yavaşça kapıyı açtınız ve içeri girdiniz. Tam gitmek üzereyken, güzel ve çekici bir kadın arkasından koştu. Elleri çantalarla doluydu ve "Lütfen bir dakika" diye bağırdı. Bu kişinin daha önce hiç görülmediğini düşünüyorsunuz ve zihninizde bir tereddüt var, ancak diğer kişi saf, zararsız ve bitkin görünüyor. Şu anda, kalbinizde yükselen koruyucu arzu ve sempati, kapı kolunu sıkmanıza, kapanmak üzere olan kapıyı açmanıza ve içeri girmesine izin vermenize neden oldu ...
Kendi kendinize, eğer şirket bu kadar büyükse, bunun çok sık tanışmadığınız bir meslektaş olabileceğini ya da bugün Pazartesi yeni bir meslektaşın katıldığını düşünüyorsunuz. Birkaç düşünce zihninizde dolaştıktan sonra iş istasyonuna ulaştınız. Yani artık bunu düşünmüyorsunuz, bilgisayarı açıp tuğlaları hareket ettirerek bir güne başlayın. Ancak ertesi gün şirket bilgilerinin çalınması haberinin gelmesini beklemiyordunuz ...
İnsanların kapıyı açmalarına yardımcı olmak, aslında günümüz toplumunda çok yaygın olan bir nezaket eylemiydi. Ancak belirli durumlarda, bu davranış büyük olasılıkla felaket getirebilir. Gizli güdülere sahip bazı insanlar, yardıma muhtaç zayıf bir kişi gibi davranmak, sempati kazanmak, girmelerine izin vermedikleri yere sorunsuzca girmek ve nihayetinde zarara neden olmak için bu tür kibar davranışları kullanırlar. Bu, "sosyal mühendisliğin" popüler bir ifadesidir.
Dünyanın bir numaralı hacker'ı Kevin Mitnick, "The Art of Deception" da bahsetti: "İnsan faktörü, güvenliğin zayıflığıdır." Ve sosyal mühendislik, insanların korkusu ve merakı gibi bir dizi psikoloji kullanır veya kişisel bilgileri elde etmek veya dolandırıcılığı çeşitli şekillerde uygulamak için insanların ortak zayıflıklarını kullanır. Kimlik avı, yaygın sosyal mühendislik saldırılarından biridir.
Sosyal mühendislik saldırılarının başarı oranı her zaman yüksek olmuştur.İnsanlar siber dolandırıcılık konusundaki farkındalıklarını artırmış olsalar da, çeşitli duygusal veya psikolojik faktörlerin etkisiyle hala kaçınılmazdır. Özellikle sosyal mühendislik, bugün insanlardan neredeyse ayrılmaz olan WeChat ile karşılaştığında, çarpışan her türlü yeni dolandırıcılığın önlenmesi daha da zorlaşıyor.
Sosyal mühendisliğin genellikle istismar ettiği psikoloji
Yukarıda bahsedilen sempatiye ek olarak, saldırganlar tarafından sosyal mühendislik saldırıları başlatmak için kullanılabilecek birçok psikoloji vardır.
dikkatsiz
Paylaşımı kolay bir ağ ortamında, e-posta, WeChat veya QQ iletişim kutusu olup olmadığına bakılmaksızın her tür bağlantı gönderilebilir. Bilgi bombardımanı çağında, belki herkes her gün SMS, WeChat veya QQ gibi çeşitli kanallar aracılığıyla bağlantılar açacak veya yanlışlıkla bilmediğiniz e-postaların eklerine tıklayacaktır. Tıklamadan önce daha yakından bakmak için zamanları bile yoktu.
Dikkatsizlik kullanılarak gerçekleştirilen sosyal mühendislik saldırıları şunları içerir:
Yaklaşık alan adını kaydedin (Typosquatting)
Homomorfik saldırı
Siyah şapka SEO / SEO zehirlenmesi
Clickjacking
Kuyruk veya bindirme doğrulama saldırısı
dokunma
Bu kategoride en yaygın olanı, son zamanlarda çok fazla gürültü çıkaran "Fighting Xixi" yöntemidir. Pinduoduo halka açıldıktan sonra, sahte ürünleri satma platformu birçok kişi tarafından eleştirildi. Diğerleri dikkatsizlik ya da cehalet yüzünden kandırılır.
Yanlışlıkla bir bağlantıya tıklamak ve virüs kapmak korkunç ve yanlışlıkla sahte ürünler satın almak da çok kötü. WeChat sohbetinde veya WeChat Moments'ta, bazı bağlantılar büyük markalı alışveriş sayfalarını taklit eder. Yanlışlıkla onlara tıklayan kullanıcılar kişisel bilgiler alacak ve hatta mülklerini aldatacaktır.
merak
Bu psikolojiyi kullanan sosyal mühendislik saldırıları, genellikle yanlışlıkla e-postalar veya sıkıştırılmış paketler veya bağlantılar olarak gizlenir, bireylerle ilgili son seyahat fotoğraflarını ve ürün tanıtımıyla ilgili yeni indirim bilgilerini adlandırır. Bazı insanlar bu içeriği gördüklerinde, genellikle meraktan tıklarlar ve sonunda vurulurlar.
Merak kullanan sosyal mühendislik saldırıları şunları içerir:
Sosyal ağ sitelerinde kötü amaçlı yazılım etkinliği ("sıcak video" dolandırıcılığı, ünlü skandalları vb.)
Sizi kandıran diğer özel içerikler (kaza veya afetlerle ilgili videolar veya resimler, vb.)
Sosyal medya dolandırıcılığı: "kişisel verilerinize kimin eriştiğini kontrol edin", "bu yıl şansınızı test edin", vb .;
USB saldırısı
Posta CD saldırısı
Haber soygunu
WeChat Anlarında, ister serveti test etmek ister değişiklik yapmak için fotoğraf yüklemek olsun, çeşitli testleri sıklıkla görebiliriz, kodu taradığınızda veya test etmek için bağlantıya tıkladığınızda, kişisel bilgilerinizi vereceksiniz.
Kısa bir süre önce yabancı basında, ABD'nin Çinli bilgisayar korsanlarının eski ama zor olan saldırıları "CD postalayarak" istihbarat casusluğu için kullandığına inandığını bildirdi. Sonunda kesin bir kanıt olmamasına rağmen, ilgili raporların çerçevelenmesi muhtemeldir. Ama bu aynı zamanda benzer yöntemlerin geçmişte gerçekten işe yarayacağını da gösteriyor.
Korku
"Psikoloji Temelli Sosyal Mühendislik" araştırma makalesinde yazar Charles E. Lively, Jr., sosyal mühendislik saldırılarını uygulamak için insan korkusunun kullanılmasının en radikal olduğuna inanıyor, çünkü bu yöntem mağdurları hedef alacak Onlara baskı yapmak onları endişeli, endişeli ve korkmuş hissettirir.
Saldırı başarılı olduğunda, mağdur saldırgana itaat edecek ve mülkiyetini, fikri mülkiyetini veya diğer özel bilgilerini kolayca teslim edecektir. Mağdur kıdemli bir yöneticiyse veya önemli bilgilere sahipse, bu yöntemle saldırıya uğramanın sonuçları daha ciddidir. Bu yöntem genellikle bir son tarih belirler ve tipik temsilcisi şantajdır. İster virüslerin kullanılması, ister tehdit etmek için cihazları kilitlemek için Truva atları olsun, isterse mağdurların ifşa etmek istemediği mahremiyetin kullanılması olsun, hepsi bu kategoriye girer.
Korku kullanan sosyal mühendislik saldırıları şunları içerir:
CEO veya CFO'ya karşı ticari e-posta kimlik avı / dolandırıcılığı
Şantaj / Şantaj (pornografik şantaj veya fidye yazılımı vb.)
Taciz edici telefon dolandırıcılığı
Kötü amaçlı yazılım (sahte porno video oynatıcıları vb.)
Voice Fishing (Voice Fishing)
Yazılım yaması olarak gizlenmiş kötü amaçlı yazılım
WeChat gibi sosyal platformlarda, tıkladıktan sonra doğrudan virüsler veya Truva atları tarafından istila edilen veya yalnızca birkaç saniye oynanan çeşitli pornografik video bağlantılarının yayınlanması ve ardından kurbanın dolandırıcılık için ödeme yapması gerekir. Dolandırıcıların resmi görevli gibi davrandıkları, kullanıcının ödeme hesabının dondurulduğunu iddia ettiği ve kullanıcıdan hemen çözülmesi için bağlantıya tıklamasını istediği bir durum da vardır. Buna dikkat etmeyen veya daha yaşlı olan ve ilgili kuralları anlamayan bazı kullanıcılar, kolayca kandırılabilirler.
Açgözlülük
İnsanlar, ister lezzetli yemekler olsun ister tembellik olsun, farkına varmak veya yararlanmak için olsun, çeşitli arzularla doğar, herkesin zayıflıkları vardır. Bazı insanlar gerçek aşkı bulmak istiyor, bazıları para kazanmak istiyor ve bazıları sadece yeni bir cep telefonu istiyor. Bu insanların hepsi hedefli sosyal mühendislik saldırılarına karşı savunmasız.
Açgözlülüğü kullanan sosyal mühendislik saldırıları şunları içerir:
Kedi Balıkçılığı / Romantik Dolandırıcılık (LGBTQ topluluğunun üyeleri de bağışık değildir)
Belirli kimlik avı etkinlikleri
Para veya cep telefonu ile dolandırıcılık
Piyango ve kumarla ilgili dolandırıcılıklar
Ağustos 2018'in başlarında, Gansu polisi "WeChat çay satan" yeni bir tür çevrimiçi dolandırıcılığı çözdü. Suçlu zanlı, kurbanın WeChat'ini çeşitli kanallardan ekledi ve ardından kurbanın güvenini ve duygularını dolandırmak için güzel ve şefkatli bir kadın gibi davrandı ve ardından çay satarak kurbanın malını dolandırdı.
Buna ek olarak, 2018'in ilk yarısında WeChat'te "sıfır yuan satın alma için indirimli fiyat" etkinliği de popüler oldu ve birden fazla kişinin iPhone veya yüksek kaliteli kozmetikler almak için 0 yuan pazarlık yapabileceğini iddia etti. Yeniden yayınladıktan veya pazarlık yaptıktan sonra, birçok kişi önceden ayarlanmış ürünü almadı veya virüs bulaştı veya WeChat kimliği ve ödeme kartı bilgilerini aldı, bu da sonunda manuel bir yönlendirme aracı haline geldi ve hatta malını kaybetti.
Bu tür bir "0 yuan satın alma", büyük olasılıkla orta yaşlı ve yaşlı WeChat kullanıcılarının kafasını karıştıracaktır. Benzer etkinlikler arasında "kırmızı zarfları yakala" ve "trafiği ücretsiz olarak yakala" yer alır. Bu faaliyetlerin hepsi sahte olmasa da, çoğu durumda iyi niyetli değildir.
Sempati
Ne zaman bir doğal afet meydana gelirse, her zaman çevrimiçi olarak sahte bağışlar başlatmak için insanların sempatisini kullanan kötü niyetli insanlar vardır. Kişiler bu tür web sitelerine para aktarmak veya bağışlamak için ödeme bilgilerini girerlerse, transfer edilmeden önce hayal kırıklığına uğrayacaklar ve hatta kimlik bilgilerinden ve banka kartı bilgilerinden çıkarılacak ve sonuçta daha büyük kayıplara neden olacak.
Merhamet kullanan sosyal mühendislik saldırıları şunları içerir:
Sahte yetimhane (Kamboçya'da popüler)
Afet dolandırıcılığı: yardım için para toplama, yüklenici ve tedarikçi dolandırıcılığı, sahtecilik, fiyat dolandırıcılığı ve mülk sigortası dolandırıcılığı
Kanser dolandırıcılığı
Bu seferki gibi belirli sosyal mühendislik saldırıları
Kitle fonlaması sitelerini kullanan dolandırıcılıklar
WeChat Moments veya diğer sosyal medya kanallarında bu türden en yaygın durumlar "Drip Chip" ve "Easy Chip" dir. İnceleme mekanizması katı olmadığından, birçok kişi yanlış bir şekilde kendilerinin veya aile üyelerinin ciddi şekilde hasta olduklarını ve çevrimiçi vaka veya sertifika gibi kanallar aracılığıyla dolandırıcılık yapmak için acilen paraya ihtiyaç duyduklarını iddia eder. Belirli bir noktada "XX bağış toplama dolandırıcılığı" araması, birçok ilgili vakayı bulabilir.
özet
Genel olarak, WeChat'e sosyal mühendislik uygulandığında en yaygın bağlantı aldatmacasıdır. Mayıs ayının sonunda WeChat Moments, özel kimlik kodlarının ve şifre bilgilerinin yayılmasını düzenlemek, görsel-işitsel içeriğin yayılmasını düzenlemek gibi harici paylaşıma bazı kısıtlamalar getirmiş olsa da, etkilenen başlıca şirketler Taobao gibi e-ticaret şirketleridir. Ve bu kısıtlamalar entrikacı sahtekarlar için hiç etkili değil.
WeChat'teki sosyal hizmet uzmanları hemen kayıplara neden olmasalar da, arkadaş çevrenize adınızı, doğum gününüzü, cep telefonu numaranızı, kimlik numaranızı, banka kartı numaranızı ve özçekimlerinizi kişisel olarak girdiğinizde, yakalanmaktan kaçamayacaklardır. Siyah mülk kullanımının kaderi. Bilgi edinme yasadışı üretimin sadece ilk adımıdır.Bilgi ticareti, reklam ve pazarlama ve dolandırıcılık birbiri ardına gelecektir. Daha farkına bile varmadan, yüksek bir kredi alırsınız. Ve bu, suçluların sosyal mühendislik saldırılarının nihai amacıdır.
Sosyal medyaya karşı sosyal mühendislik dolandırıcılığını önlemek her zaman zordur.Güvenlik bilincini geliştirmek en temel ve etkili yöntemdir. Özellikle, önlemek için aşağıdaki noktalara dikkat edebilirsiniz:
Bir operatörden veya servis sağlayıcıdan bir mesaj aldığınızda, onaylamak için resmi telefonu doğrudan çevirmeniz en iyisidir;
Soru formlarını doldururken veya oyun oynarken, sosyal medya hesabına giriş yapmanız gerekiyorsa veya ilgili bilgilere erişim talep ediyorsanız, dikkatli olun; tanınmış markaların bile sahte yazılımları veya sayfaları olabilir, bu nedenle hiçbir zaman hafife almamalısınız;
"Pazarlık" gibi alışılmadık kişilerden bağlantılar veya kırmızı zarf almak için bağlantılar alıyorsanız, en iyisi bunları açmamaktır.Diğer taraf saldırıya uğrayabilir veya bağlantı açılmış ve daha fazla kişiye yayılmış olabilir;
Kendinizin ve çevrenizdeki arkadaşlarınızın güvenlik bilincini artırmak için düzenli olarak popüler bilim makalelerini akrabalarınıza ve arkadaşlarınıza tanıtın;
Elbette, sosyal mühendislikle ilgili korkutucu olan şey, WeChat'i kullanmasanız ve çevrimiçi olmasanız bile, yine de fiziksel temas yoluyla sizi rutin hale getirebilirler. Tıpkı başta anlattığımız hikaye gibi ...
Referans kaynağı:
1. https://blog.malwarebytes.com/cybercrime/social-engineering-cybercrime/2018/08/social-engineering-attacks-what-makes-you-susceptible/
2. https://mp.weixin.qq.com/s/IXkWm_H-kHzmMvZYII8lrA
3.
* Bu makaledeki resimler İnternet'ten alınmıştır
* Yazar AdlerI, lütfen yeniden baskının FreeBuf.COM'dan geldiğini belirtin
