Security professionals trappen in social network scam
Niet alleen thuisgebruikers zijn via nepprofielen op sociale netwerksites te misleiden, ook mensen die als IT-beveiliger werkzaam zijn lopen risico. Onderzoekers demonstreerden tijdens de Black Hat conferentie in Las Vegas hoe ze met een zelf gemaakt profiel van firewall expert Marcus Ranum, het vertrouwen van talloze mensen wisten te krijgen, waaronder de zus van Ranum. Het profiel werd eerst gevuld met publiekelijk beschikbare informatie. De tweede stap bestond uit het vinden van mensen die iedereen aan hun vriendenlijst toevoegen. Op deze manier lijkt het nepprofiel toch legitiem. Als laatste zochten de onderzoekers een groep van security professionals.
Binnen een dag wisten ze meer dan 50 nieuwe vrienden te maken, waaronder chief security officers van grote ondernemingen en mensen die voor het Amerikaanse leger werken. "We waren verrast door het niveau van vertrouwen dat we aantroffen. We hadden niet verwacht zo succesvol te zijn," aldus Shawn Moyer. "Iedereen van deze mensen zou zonder problemen op een malware site hebben geklikt of ons profiel met een Trojaans paard hebben bekeken."
Volgens Nathan Hamiel, die ook aan het onderzoek meewerkte, is dit vertrouwen handig om mensen onbetrouwbare applicaties uit te laten voeren. In plaats van het misbruiken van lekken in applicaties, kunnen aanvallers zich als een betrouwbare bron voordoen en programma's aanbevelen die in werkelijkheid kwaadaardig zijn. "In plaats van uren, dagen of maanden te besteden om Javascript op computers uit te voeren, vroegen wij het gewoon."
Het probleem speelt in principe bij alle sociale netwerksites. Gebruikers wordt daarom geadviseerd om op te letten bij het verifieren van de mensen die ze als vriend toevoegen.
network terecht zou komen ? Het is niet alsof je iedereen in zo'n netwerk
per definitie vertrouwd ofzo. Wat dat betreft is het niet veel boeiender als
iemand die ten onrechte in mijn Outlook address book terecht komt, of in
een IM contact lijst, zolang het niet iemand betreft waarvan je veronderstelt
deze persoonlijk te kennen, en waar je verder vertrouwelijke informatie mee
uitwisselt.
herleiden zouden zijn. Dit verkomt dat mensen het kapen en zich voor jou uit
geven.
Het besturingssysteem komt op de tweede plaats.
schakel. Internet awareness training zou ook in Nederland net zoals in de VS
op veel plaatsen het geval is een verplichte training moet zijn die deel uitmaakt
van het Internet en email protocol. We leren onze kinderen op MSN toch ook
dat ze iemand pas mogen toevoegen als ze deze persoon in de " echte"
wereld ook kennen.
Zo zie je maar, de zwakste schakel is nog altijd de mens.
Het besturingssysteem komt op de tweede plaats.
idd, duidelijk PICNIC's (Problem in Chair, Not in Computer)
besturingsysteem. Als ik in de echte wereld iemand tegenkom die ik denk te
vertrouwen geef ik toch echt niet gelijk de sleutel van mijn huis zodat hij er in
rond mag snuffelen. Dus als er door zoiets simpels als rondbrowsen op het
internet een Trojan op je pc kan komen vind ik dat toch echt een probleem van
de browser/besturingssysteem
Security professionals met een profiel op een sociale
netwerk site zijn geen professionals!
Hier kan en moet ik me bij aansluiten, als je echt iets
betekent in die wereld wil je natuurlijk het liefst
'anoniem' zijn, er is namelijk een aannemelijk risico dat
b.v. je kinderen worden ontvoert om jouw te chanteren.....
Een echte security pro. zal zich dus inderdaad nooit
dusdanig profileren.
Dat hij een account als gekke-gerrit53 op een tuiniers site
heeft is daarentegen wel weer goed mogelijk... ;)
de 'mens-als-gebruiker-mantra'. Het is nog steeds een balans tussen mens
en machine. De ene keer iets meer richting mens de andere keer naar
machine.
Security professionals met een profiel op een sociale
netwerk site zijn geen professionals!
oh nee, helemaal vergeten, IT professionals zijn niet sociaal :D
Security professionals met een profiel op een sociale
netwerk site zijn geen professionals!
oh nee, helemaal vergeten, IT professionals zijn niet
sociaal :D
Die sociale netwerken voor professionals zijn een twijfel
geval, maar toch is het beter om daar ook weg te blijven,
want hoe minder je gevonden wordt op internet hoe meer
credits je krijgt tijdens een sollicitatie.
het wel goed om ongezien te blijven, net zoals ik nooit mijn
eigen naam gebruik op het net, zelfs het hebben van een
mening werkt je tegen bij sollicitaties...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.