Sociální sítě
The attacker will reach out to you under a pretext, which can be very believable depending on how much effort they put into researching you. This pretext can then be used as a hook to verify information they already have, or gain new information. The attackers might also leverage information they previously acquired to give the impression that since they are authorized to know what they already know, they are authorized to know more.For example, knowing about a recent Internet outage at your office, a clever attacker might call you for a follow-up or even show up in person to gain valuable insights into how your network is secured—and where it’s vulnerable.
In this tactic, the social hackers will try to intercept data or even money by routing it along routes that they control. These requests could come in the form of a call from the “suppliers,” which will inform you of a change in their bank or email accounts. But it could also be as simple as adding somebody in cc of an email chain. You could for example get an email from a private account with the name of your business partner. Your “business partner” claims they currently can’t access their work email, asking you to resend the budget forecasts or blueprints.
The most common version of this tactic can come in the form of a USB stick you find near your car, or a free music in your mailbox. These come pre-filled with malware that infect your computer as soon as you insert the drives. In a well targeted attack, they are custom made for your computer and likely evade common anti-virus software. But baiting can also be much less technical. It could take the form of a free tour during which you are befriended and tricked into revealing sensitive information, or you have your equipment bugged.
Especially in large organizations, it can be difficult for each employee to at all times know who they are accountable to. Hackers exploit this by asserting their authority over people and pressuring them into revealing information, making changes to data structures, or giving up access to systems. In security-relevant departments, it is important to develop a clear chain of command, including a limited set of authentication methods (PGP works great for that). The people in that command have to learn to deny requests when they do not come from the appropriate channels or lack proper authentication. Imagine getting a request from someone in an overseas department who claims to have superiority over your boss, asking you for their travel details. Would you give it to them?
It’s great when people are helpful, and we usually assume that those around us have good intentions. But from a security standpoint, giving strangers the benefit of the doubt can be devastating. An attacker might appeal to your kindness. Often enough, asking for compromising information is all that it takes. Some rare compliments from a contractor can brighten up anybody’s day. So is it too much when they ask for a heads-up on the budget planning? Most likely it is.
The human mind quickly jumps to conclusions and sides with what is familiar to us. This is why we see the Virgin Mary on toast and that woman standing on Mars. Attackers can exploit that by playing with your associations, making it unclear who is calling you and being vague about what they are talking about. Often enough the attacker doesn’t know themselves who they supposed to impersonate, but the person being hacked fills the gaps for them. Who was that just now on the phone talking about some security audit? Must have been Adam. He always bugs people about that stuff. But if it wasn’t Adam, who did you just gave that password to?
Likejacking je škodlivý technika z podvádět uživatelům webových stránek na vyslání Facebook aktualizace stavu na místě neměli záměrně znamená " jako ". Pojem "likejacking" pochází z komentáře vyslán Corey Ballou v článku Jak na "Like" Cokoliv na webu (bezpečně) , který je jedním z prvních zdokumentovaných účtování, které vysvětlují možnost nebezpečné činnosti, pokud jde o Facebook je "jako" tlačítko. Podle článku v IEEE Spectrum , řešení likejacking byl vyvinut v jedné z Facebooku je hackathons ."Like" bookmarklet je k dispozici, že se vyhýbá možnost likejacking přítomny v tlačítko Facebook Like .
Cursorjacking je UI napravit technika změnit kurzor z místa, uživatel vnímá, objevil v roce 2010 Eddy Bordi, vědecký pracovník v Vulnerability.fr, pochvalná zmínka potřebovaný Marcus Niemietz prokázal to s ikonou vlastní kurzor, a v roce 2012 Mario Heiderich tím, že skryje kurzor. Jordi kněžiště objevil cursorjacking zranitelnost použitím blesku, HTML a JavaScript kód v prohlížeči Mozilla Firefox na Mac OS X systému (pevný ve Firefoxu 30,0), které vedou ke spuštění nežádoucího kódu a webcam špionáže (Ref: http://www.mozilla.org/security / announce/2014/mfsa2014-50.html ), závažnost této chyby je definována jako vysoká.
Ruční podvody sdílení
Tyto podvody byly po dlouhá léta. Opírají se o oběti, aby skutečně dělat těžkou práci sdílení podvod tím, že předloží jim zajímavých videí, podvodných nabídek a zpráv, které sdílejí se svými přáteli, řekl Symantec. V minulosti, podvod často pracoval tím, že uživateli "jako" položky na Facebooku účet svého přítele na výhru. Přístup click-zvedání pokračuje v práci dnes, ačkoli to je méně úspěšná, nutit útočníky použít i jiné způsoby, jak šířit podvod. Způsob rozdělení je mnohem obtížnější provádět, ale v případě, že útočník používá jméno celebrity nebo šokující název, mohou získat nějakou trakci od uživatelů, kteří prostě nikde jinde na položku svými následovníky, řekl Haley.
Falešné Apps
Falešná aplikace vzrostly celkově v roce 2013, uvedl Symantec. Mezi aplikace se zdají být oprávněné, ale často obsahují škodlivý náklad. Stále častěji jsou falešné aplikace jsou určeny pro mobilní zařízení, a vydávat za rereleased volné verze populárních legitimních aplikací, řekl Haley. Haley řekl jeden falešný aplikace, podvod, který se rychle rozšířil do japonských uživatelů chytrých telefonů údajně se je přesvědčit, že by to mohlo obrátit svou obrazovku telefonu do solárního panelu pro rychlé nabití baterie zařízení. Aplikace byla navržena jako vtip, ale to by byly použity na sklizeň dat. Ostatní aplikace nepoužívejte agresivní reklamní taktiky prodat uživatelská data a procházení návyky s třetí stranou reklamní síti.
Like-jacking
Použití falešný "Like" tlačítka útočníci uživatelů trik na webové stránky kliknutím na tlačítka, která nainstalovat malware a zveřejnit aktuální informace o diskusních příspěvků uživatele, šíření útoku, uvedl Symantec. Bezpečnostní dodavatelé dostali lepší špinění škodlivý kód, který umožňuje útok do práce, řekl Haley. Společný podvod, který se snaží dostat uživatele k tomu, aby se falešný Facebook "Dislike" tlačítka pokračuje nadetekovat čas od času, řekl Haley. Veškeré služby, které se snaží dostat uživatele zkopírovat a vložit JavaScript, nebo odkaz do svého prohlížeče je velký podvod-výstražné znamení.
Falešná Plug-In podvody
Uživatelé jsou stále více napálil do stahování rozšíření falešné prohlížeče na svých počítačích, podle společnosti Symantec. Rozšíření Rogue prohlížeče mohou představovat jako legitimní rozšíření, ale při instalaci se krást data, včetně hesel a dalších citlivých informací z infikovaného systému. Plug-in podvody může být spatřen v případě, že nabídnou další funkce na sociální síti, řekl Haley. Facebook Black plug-in podvod se rychle rozšířila na Facebooku března. Útočníci láká uživatele tím, že napálí je do instalace rozšíření prohlížeče přidat temný pohled na stránku na Facebooku. Namísto toho nařídil oběti na sadu průzkumů na sklizeň své osobní údaje. Fake plug-in rozšíření automaticky vytvoří novou stránku na Facebooku na účet oběti. Podvod byl umístěn na skladování S3 cloud služby Amazon před tím, než byl nakonec vypnut.
Fake Nabídka
Falešná nabídka útoky používat zdarma dárkové karty a další nabídky se oklamat uživatele sociálních sítí se připojit falešné události nebo skupiny. Symantec uvedl, že podvod se výrazně zvýšil v posledních měsících a v současné době tvoří 82 procent všech sociálních médií útoků v roce 2013. Pokud nabídku vyžaduje, aby uživatel sdílet pověření nebo poslat text na telefonní číslo, je to pravděpodobně znamení, že nabídka je příliš dobré, aby to byla pravda, řekl Symantec Haley. "Často se tyto nabídky mohou pocházet od přítele," řekl Haley. "Účet přítel dostane unesen a je to jejich přítel naznačuje, že kliknete na odkaz, ne jen nějaký náhodný cizinec nebo pop-up."