UZI
SOCIAL ENGINEERING
[ utumiaji wa madhaifu ya Mwanadamu kufanya wizi]
◾️Social engineering huchukua faida ya kitu dhaifu kabisa katika ulinzi wa taarifa za kila aina ya taasisi ambacho ni MTU
Social engineering ni "PEOPLE HACKING" na inahusisha 👇
#ElimikaWikiendi
SOCIAL ENGINEERING
[ utumiaji wa madhaifu ya Mwanadamu kufanya wizi]
◾️Social engineering huchukua faida ya kitu dhaifu kabisa katika ulinzi wa taarifa za kila aina ya taasisi ambacho ni MTU
Social engineering ni "PEOPLE HACKING" na inahusisha 👇
#ElimikaWikiendi
Madhaifu ambayo binadamu tunayajenga sisi kwa sisi na kuweza kuyatumia hayo madhaifu kupata taarifa ambazo hutumika kwa faida binafsi
◾️Social engineering ni moja ya wizi mgumu kufanyika, kwa Dunia ya sasa imekuwa ni vigumu sana mtu kumwamini mtu mgeni kwake
#ElimikaWikiendi
◾️Social engineering ni moja ya wizi mgumu kufanyika, kwa Dunia ya sasa imekuwa ni vigumu sana mtu kumwamini mtu mgeni kwake
#ElimikaWikiendi
Kutokana na hali halisi ilivyo hata hivyo hii imekuwa hacking ngumu sana kuizuia kutokana na uaminifu tunaoujenga baina yetu
◾️Social engineering, typically yule malicious attacker/mwizi hujiweka kama mtu mwema sana ili kupata taarifa anazotaka
#ElimikaWikiendi
◾️Social engineering, typically yule malicious attacker/mwizi hujiweka kama mtu mwema sana ili kupata taarifa anazotaka
#ElimikaWikiendi
na akishapata taarifa anazotaka huzitumia kufanya mambo mbalimbali kwenye mifumo au network ya taasisi husika au mtu husika
◾️Social engineering ni tofauti kabisa na uvamiaji wa physical security, Mara mtu anakabwa au Mlinzi anapigwa risasi au mapanga
#ElimikaWikiendi
◾️Social engineering ni tofauti kabisa na uvamiaji wa physical security, Mara mtu anakabwa au Mlinzi anapigwa risasi au mapanga
#ElimikaWikiendi
◾️Mifano ya social engineering ni kama hii
👉 kudanganya kuwa wewe ni mtu wa support hivyo unahitaji ku-update vitu kwenye Computer au kumfanya user adownload software ambayo itampa remote access ya mtumiaji.
👉 Kudanganya kuwa wewe ni vendor
#ElimikaWikiendi
👉 kudanganya kuwa wewe ni mtu wa support hivyo unahitaji ku-update vitu kwenye Computer au kumfanya user adownload software ambayo itampa remote access ya mtumiaji.
👉 Kudanganya kuwa wewe ni vendor
#ElimikaWikiendi
Unadanganya kuwa wewe ni vendor wa bidhaa flani na unahitaji ku-update mifumo ya computer au simu kwa kuomba admn password kuweza kupata full access
👉 Phishing email - wezi hutumia emails ambazo huiba password na username ambazo hutumika kwenye bank account
#ElimikaWikiendi
👉 Phishing email - wezi hutumia emails ambazo huiba password na username ambazo hutumika kwenye bank account
#ElimikaWikiendi
Kwa ajili ya kuiba hela au kuzituma kwenye accounts mbalimbali
👉 Kuigiza kuwa Mfayakazi - unaweza kuigiza kuwa wewe ni mfanyakazi wa taasisi husika katika kitengo cha IT security na kutoa taarifa kwa security desk kuwa umepoteza funguo ya computer room hivyo akusaidie
👉 Kuigiza kuwa Mfayakazi - unaweza kuigiza kuwa wewe ni mfanyakazi wa taasisi husika katika kitengo cha IT security na kutoa taarifa kwa security desk kuwa umepoteza funguo ya computer room hivyo akusaidie
Uingie na hapo umeweza kupata physical access ya computer husika
◾️Social engineers ni watu wa kulazimisha na wenye maarifa sana na hufanya kazi kama vile managers na mda mwingine kama watu wa maintenance au wahusika wa mambo ya IT kutoka nje ya ofisi
#ElimikaWikiendi
◾️Social engineers ni watu wa kulazimisha na wenye maarifa sana na hufanya kazi kama vile managers na mda mwingine kama watu wa maintenance au wahusika wa mambo ya IT kutoka nje ya ofisi
#ElimikaWikiendi
◾️Social engineering ni art na pia ni sayansi, social engineering inahitaji skills kubwa sana
◾️Social engineering imeweza kuharibu kazi za watu na kuleta maafa makubwa.
Mfano: Mwezi wa saba account nyingi za watu maarufu akiwemo Bill Gates na Elon musk ziliingiliwa
◾️Social engineering imeweza kuharibu kazi za watu na kuleta maafa makubwa.
Mfano: Mwezi wa saba account nyingi za watu maarufu akiwemo Bill Gates na Elon musk ziliingiliwa
Na Inasemekana ni "Social engineering" ilitumika kupata taarifa za kuingilia
◾️Kuna zaidi ya njia million za kufanya hii social engineering ntaeleza kwa uchache
◾️Mtu wa nje ya ofisi anaweza kufanya kazi hii ya social engineering vizuri ila kama wewe
#ElimikaWikiendi
◾️Kuna zaidi ya njia million za kufanya hii social engineering ntaeleza kwa uchache
◾️Mtu wa nje ya ofisi anaweza kufanya kazi hii ya social engineering vizuri ila kama wewe
#ElimikaWikiendi
Unataka kufanya kazi hii kwenye taasisi yako Basi itakupasa uagize kama ni mtu wa nje ila itakuwa ngumu kwako kwa maana tayari wafanyakazi wenzako wanakuja
◾️KWANINI ATTACKERS WANATUMIA SOCIAL ENGINEERING
Attackers wengi wanapenda kutumia social engineering kuvunja
◾️KWANINI ATTACKERS WANATUMIA SOCIAL ENGINEERING
Attackers wengi wanapenda kutumia social engineering kuvunja
Mifumo mbalimbali kwa kuwa tu wanaweza, na wanahitaji mtu awaruhusu waingie ndani ya taasisi ili kuweza kufanya kazi waliyoikusudia, Tambua Firewalls, IDS/IPS, au access control haziwezi kuzuia social engineering
◾️Social engineers wengi hufanya kazi zao taratibu
◾️Social engineers wengi hufanya kazi zao taratibu
Na hutumia mda mwingi zaidi kukusanya taarifa kidogo kidogo na kufikia malengo yake.
◾️Social engineering attacks zinaweza kufanyika kupitia simu au emails hivyo ni uchaguzi wa attacker atumie njia ipi, kadri social engineer anavyozidi kupata taarifa za taasisi ndiyo anazidi
◾️Social engineering attacks zinaweza kufanyika kupitia simu au emails hivyo ni uchaguzi wa attacker atumie njia ipi, kadri social engineer anavyozidi kupata taarifa za taasisi ndiyo anazidi
Kupata urahisi wa kazi yake
UFANYAJI KAZI WAKE
◾️ Taasisi nyingi za sasa zina maadui wengi ambao wanahitaji kuvuruga vitu vya taasisi hiyo, haijalishi ni nani Audi ila ukweli ni kwamba kila mtu au taasisi ipo kwenye risk hasa kwenye upande wa WEB ambayo hurahisisha
UFANYAJI KAZI WAKE
◾️ Taasisi nyingi za sasa zina maadui wengi ambao wanahitaji kuvuruga vitu vya taasisi hiyo, haijalishi ni nani Audi ila ukweli ni kwamba kila mtu au taasisi ipo kwenye risk hasa kwenye upande wa WEB ambayo hurahisisha
Zaidi kwenye ukusanyaji wa taarifa, taasisi kubwa ndiyo huwa kwenye hatari zaidi tofauti na taasisi ndogo, watu wote kwenye taasisi kuanzia Mapokezi, walinzi na IT Expert ni watu wanaoangaliwa zaidi na attackers
Pia watu wa help desk na call center hawa ndiyo dhaifu
Pia watu wa help desk na call center hawa ndiyo dhaifu
Zaidi kwa kuwa nao wamejifunza Namna ya kusaidia tu
◾️Kupitia social engineering attacks, taarifa mbalimbali zinaweza kupatikana ikiwemo
👉 User/ Administrator password
👉 Security badges au keys
👉 Intellectual property
👉 Financial reports za siri
👉 Taarifa binafsi
◾️Kupitia social engineering attacks, taarifa mbalimbali zinaweza kupatikana ikiwemo
👉 User/ Administrator password
👉 Security badges au keys
👉 Intellectual property
👉 Financial reports za siri
👉 Taarifa binafsi
Aina hii ya attack ni ngumu sana kujua ni njia ipi itatumika na mtu ili kuweza kufanikisha mambo yake hivyo ni vyema kuwa msiri na mambo na pia jifunze njia common ambazo zinatumiwa zaidi na watu kuhusu social engineering na ujue namna ya kujiepusha
◾️HOW TO PERFORM SOCIAL ENGINEERING ATTACK:
Mchakato wa social engineering ni wa kawaida tu, ambapo social engineer huanza kutambua mchakato wa taasisi na mfumo wake ili kuanza kuattack. Social engineers hufanya attack kwa kufuata hizi steps 4:
Mchakato wa social engineering ni wa kawaida tu, ambapo social engineer huanza kutambua mchakato wa taasisi na mfumo wake ili kuanza kuattack. Social engineers hufanya attack kwa kufuata hizi steps 4:
1.Kufanya tafiti
2.Kujenga uaminifu
3.Kunyonya(Exploit) mahusiano kwa taarifa kwa kutumia maneno, vitendo au technology.
4.Kutumia taarifa alizopata kufanya tukio.
Hizo hatua ndani yake kuna hatua ndogo ndogo ambazo hutegemeana na namna ambavyo attacker
2.Kujenga uaminifu
3.Kunyonya(Exploit) mahusiano kwa taarifa kwa kutumia maneno, vitendo au technology.
4.Kutumia taarifa alizopata kufanya tukio.
Hizo hatua ndani yake kuna hatua ndogo ndogo ambazo hutegemeana na namna ambavyo attacker
Ameamua kulifanyia tukio lake
Kabla ya kuanza na lolote kwanza attacker anahitaji awe na lengo na ndio jambo la kwanza ambalo anapaswa kulifanyia utafiti na lengo hilo hua linaanzia kwenye akili ya attacker.
#ElimikaWikiendi
Kabla ya kuanza na lolote kwanza attacker anahitaji awe na lengo na ndio jambo la kwanza ambalo anapaswa kulifanyia utafiti na lengo hilo hua linaanzia kwenye akili ya attacker.
#ElimikaWikiendi
SOCIAL ENGINEERING COUNTERMEASURES:
Japo ni ngumu sana kujilinda kutoka kwenye hili janga la social engineering ila pia kuna vitu ukivifahamu unaweza kuepukana na hili janga zito
1. Sera: Kuna sera ambazo ukiweka vizuri kwenye taasisi yako au kwako binafsi zinaweza kukusaidia
Japo ni ngumu sana kujilinda kutoka kwenye hili janga la social engineering ila pia kuna vitu ukivifahamu unaweza kuepukana na hili janga zito
1. Sera: Kuna sera ambazo ukiweka vizuri kwenye taasisi yako au kwako binafsi zinaweza kukusaidia
Kuondoa au kupunguza hili janga
◾️Weka matumizi ya computer ambayo utayaruhusu na kuna mengine ambayo hutayaruhusu.
◾️Weka utaratibu mzuri kuhusu ID za wafanyakazi.
◾️ Weka utaratibu mzuri kuhusu wageni.
◾️Hakikisha vitu vya siri vinabaki kua siri tu. n.k
#ElimikaWikiendi
◾️Weka matumizi ya computer ambayo utayaruhusu na kuna mengine ambayo hutayaruhusu.
◾️Weka utaratibu mzuri kuhusu ID za wafanyakazi.
◾️ Weka utaratibu mzuri kuhusu wageni.
◾️Hakikisha vitu vya siri vinabaki kua siri tu. n.k
#ElimikaWikiendi
2. User awareness and training: Namna nzuri ya kulinda taasisi kutoka kwenye haya majanga ni kwa kuwaongezea uelewa wafanyakazi wa taasisi na kuwapa mafunzo mbalimbali ya namna gani social engineering ilivyo na namna ya kuiepuka
#ElimikaWikiendi
#ElimikaWikiendi
mafunzo hayo yafanyike kufuatiwa na sera za ulinzi wa taasisi na kila mfanyakazi aziweke kichwani mwake. Pia wanaweza kuja watu kutoka nje ya ofisi ambao wamebobea kwenye kutoa mafunzo kuhusu ulinzi na hivyo kuleta chachu ya watu kujifunza
MAMBO MUHIMU
◾️Usitoe taarifa yoyote kwa mtu mpaka utambue unaongea nae ni mtu sahihi
◾️Usifungue link yoyote ile inayokutaka utoe taarifa zako za siri.
◾️Usifungue email inayokuja na attachments kutoka kwa mtu usiemjua
AHSANTENI SANA 🙏
powered by #ElimikaWikiendi
◾️Usitoe taarifa yoyote kwa mtu mpaka utambue unaongea nae ni mtu sahihi
◾️Usifungue link yoyote ile inayokutaka utoe taarifa zako za siri.
◾️Usifungue email inayokuja na attachments kutoka kwa mtu usiemjua
AHSANTENI SANA 🙏
powered by #ElimikaWikiendi
• • •
Missing some Tweet in this thread? You can try to
force a refresh
