Социальная инженерия это что: Социальная инженерия. Основные типы социальной инженерии и методы защиты от них

Содержание

Социальная инженерия. Основные типы социальной инженерии и методы защиты от них

Социальная инженерия – метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Хотя термин социальной инженерии появился не так давно, сам метод получения информации таким способом используется довольно долго. Сотрудники ЦРУ и КГБ, которые хотят заполучить некоторую государственную тайну, политики и кандидаты в депутаты, да и мы сами, при желании получить что-либо, часто даже не понимая этого, используем методы социальной инженерии.

Для того, чтобы обезопасить себя от воздействия социальной инженерии, необходимо понять, как она работает. Рассмотрим основные типы социальной инженерии и методы защиты от них.


Претекстинг — это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т.п.

Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника; должность; название проектов, с которыми он работает; дату рождения). Злоумышленник изначально использует реальные запросы с именем сотрудников компании и, после того как войдет в доверие, получает необходимую ему информацию.

Фишинг – техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей — авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу, где располагается такая форма. Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее.

Троянский конь – это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.

Кви про кво (услуга за услугу) – данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.

Дорожное яблоко – этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (CD, флэш-накопителей). Злоумышленник обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое.

Обратная социальная инженерия — данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.

Рисунок 1 – Основные типы социальной инженерии

Меры противодействия


Основным способом защиты от методов социальной инженерии является обучение сотрудников. Все работники компании должны быть предупреждены об опасности раскрытия персональной информации и конфиденциальной информации компании, а также о способах предотвращения утечки данных. Кроме того, у каждого сотрудника компании, в зависимости от подразделения и должности, должны быть инструкции о том, как и на какие темы можно общаться с собеседником, какую информацию можно предоставлять для службы технической поддержки, как и что должен сообщить сотрудник компании для получения той или иной информации от другого сотрудника.

Кроме этого, можно выделить следующие правила:



  • Пользовательские учетные данные являются собственностью компании.

  • Всем сотрудникам в день приема на работу должно быть разъяснено то, что те логины и пароли, которые им выдали, нельзя использовать в других целях (на web-сайтах, для личной почты и т.п), передавать третьим лицам или другим сотрудникам компании, которые не имеют на это право. Например, очень часто, уходя в отпуск, сотрудник может передать свои авторизационные данные своему коллеге для того, чтобы тот смог выполнить некоторую работу или посмотреть определенные данные в момент его отсутствия.



  • Необходимо проводить вступительные и регулярные обучения сотрудников компании, направленные на повышения знаний по информационной безопасности.

  • Проведение таких инструктажей позволит сотрудникам компании иметь актуальные данные о существующих методах социальной инженерии, а также не забывать основные правила по информационной безопасности.



  • Обязательным является наличие регламентов по безопасности, а также инструкций, к которым пользователь должен всегда иметь доступ. В инструкциях должны быть описаны действия сотрудников при возникновении той или иной ситуации.

  • Например, в регламенте можно прописать, что необходимо делать и куда обращаться при попытке третьего лица запросить конфиденциальную информацию или учетные данные сотрудников. Такие действия позволят вычислить злоумышленника и не допустить утечку информации.



  • На компьютерах сотрудников всегда должно быть актуальное антивирусное программное обеспечение.

  • На компьютерах сотрудников также необходимо установить брандмауэр.



  • В корпоративной сети компании необходимо использовать системы обнаружения и предотвращения атак.

  • Также необходимо использовать системы предотвращения утечек конфиденциальной информации. Все это позволит снизить риск возникновения фитиновых атак.



  • Все сотрудники должны быть проинструктированы, как вести себя с посетителями.

  • Необходимы четкие правила для установления личности посетителя и его сопровождения. Посетителей всегда должен сопровождать кто-то из сотрудников компании. Если сотрудник встречает неизвестного ему посетителя, он должен в корректной форме поинтересоваться, с какой целью посетитель находится в данном помещении и где его сопровождение. При необходимости сотрудник должен сообщить о неизвестном посетители в службу безопасности.



  • Необходимо максимально ограничить права пользователя в системе.

  • Например, можно ограничить доступ к web-сайтам и запретить использование съемных носителей. Ведь, если сотрудник не сможет попасть на фишинговый сайт или использовать на компьютере флеш-накопитель с «троянской программой», то и потерять личные данные он также не сможет.

Исходя из всего перечисленного, можно сделать вывод: основной способ защиты от социальной инженерии – это обучение сотрудников. Необходимо знать и помнить, что незнание не освобождает от ответственности. Каждый пользователь системы должен знать об опасности раскрытия конфиденциальной информации и знать способы, которые помогут предотвратить утечку. Предупрежден – значит вооружен!

Ещё одним методом защиты от утечки информации является решение «Сервер в Израиле», позволяющее обеспечить высокий уровень конфиденциальности информации.

EFSOL

Системная интеграция. Консалтинг

Что такое социальная инженерия? | Предотвращайте атаки

Что такое социальная инженерия

Самое слабое звено защиты любой системы — сами пользователи. Социальная инженерия пытается использовать присущие людям слабости, напр. торопливость, алчность, альтруизм или страх перед официальным учреждением, в целях получения конфиденциальной информации и последующего доступа в систему.

Источники социальной инженерии

Среди наиболее популярных методов социальной инженерии можно выделить следующие: Бейтинг или лов «на живца» (пользователь обманным путем заманивается на сайт злоумышленников, после чего на его компьютер устанавливается вредоносное ПО), фишинг (отправка мошеннических сообщений с целью получения конфиденциальных данных), вишинг (использование системы предварительно записанных голосовых сообщений для выманивания личных данных) или лже-антивирус (использование ложных сообщений о заражении системы ПК и его лечении программным обеспечением, которое заражает компьютер).

Как распознать приемы социальной инженерии

Необходимо остерегаться любых незапрошенных предложений помощи, в особенности предлагающих переход по сторонним ссылкам. Как правило, в подобных случаях речь идет об уловках социальной инженерии. Данное правило тем более актуально, если от пользователя требуется указать учетные или банковские данные. В таком случае без всяких сомнений речь идет о мошенничестве, так как уважающие себя финансовые организации ни при каких обстоятельствах не будут запрашивать учетные данные посредством сообщения эл. почты. Кроме того, настоятельно рекомендуем проверить адрес отправителя кажущегося вам подозрительным сообщения эл. почты и убедиться в его легитимности.

Как уберечься от социальной инженерии

Социальная инженерия нематериальна, ее невозможно физически устранить. Самый эффективный способ не стать жертвой социальной инженерии — не терять бдительности и не позволять злоумышленникам себя провести. Ввиду того, что методы социальной инженерии разработаны профессионалами своего дела, распознать обман порой не под силу даже специалистам. Именно поэтому наиболее эффективным способом защиты по-прежнему является использование современного антивирусного решения, которое распознает и отстранит все типы вредоносного ПО, а также надежного менеджера паролей, который поможет создать невзламываемые пароли и хранить их в безопасности.

Как не стать жертвой социальной инженерии
  • Не совершайте действий, если вы полностью не уверены в их правильности
  • Не реагируйте на незапрошенные предложения помощи
  • Не переходите по сомнительным ссылкам из подозрительных источников
  • Не сообщайте никому свои личные и банковские данные
Защититесь от социальной инженерии

Основным отличием социальной инженерии является стремление злоумышленников с её помощью обойти все технические средства защиты, избрав основным вектором атаки человека, а не систему вашего компьютера. Именно поэтому крайне важно использовать мощное антивирусное решение, например антивирус Avast, чтобы обеспечить надежную защиту от несанкционированной установки вредоносного ПО, обнаружить и обезвредить вирусы и иные типы вредоносного ПО, заблокировать спам и, тем самым, уберечься от фишингового мошенничества.

Социальная инженерия (Social engineering)

Социальная инженерия (social engineering, социнжиниринг) — это метод манипулирования мыслями и поступками людей. Он базируется на психологических особенностях личности и закономерностях человеческого мышления.

Иногда можно встретить трактовку социальной инженерии как метода несанкционированного получения доступа к секретным данным, что не вполне соответствует действительности: ряд техник психологического воздействия может применяться законно. Впрочем, в наши дни получение закрытой информации, имеющей ценность, все же является одной из основных сфер применения социнжиниринга.

В социальной инженерии есть несколько техник, используемых для достижения поставленных задач. Все они основаны на ошибках, допускаемых человеком в поведении. Например, фишинг применяется для сбора логинов и паролей пользователей путем рассылки писем и сообщений, побуждающих жертву сообщить интересующую злоумышленника информацию. Претекстинг состоит в выдаче себя за другого человека для получения желаемых данных. Такая атака выполняется по телефону или почте. К ней предварительно готовятся, чтобы вызвать доверие пользователя.

Получить информацию о человеке можно через источники с открытым доступом, в основном — из социальных сетей. Одной из техник социальной инженерии является «плечевой серфинг», который применяется в транспорте, в кафе и других общественных местах, позволяющих через плечо жертвы наблюдать за компьютерными устройствами и телефонами. Бывают ситуации, в которых пользователь сам предлагает мошеннику необходимую информацию, будучи уверенным в порядочности человека. В таком случае говорят об обратной социальной инженерии.

Классификация угроз социальной инженерии (social engineering)

Все угрозы, направленные на пользователя посредством социальной инженерии, можно разделить на несколько групп.

  • Угрозы, исходящие от использования телефона. Телефон является самым популярным средством общения, поэтому служит отличным инструментом для воздействия на человека. По телефону легко выдать себя за другого, поэтому, применяя актерское мастерство, злоумышленник легко убеждает жертву перевести определенную сумму на банковский счет или сообщить личные данные. Распространены способы выуживания денег посредством сообщений («смишинг») и телефонных звонков о выигрышах в конкурсах или лотереях, просьб о перечислении денег на неотложные нужды. Для безопасности рекомендуется скептически относиться к SMS-сообщениям сомнительного характера, игнорировать приходящие в них ссылки. Необходимо проверять личность абонента, использовать услугу определения номера.
  • Угрозы, исходящие от электронных писем (фишинг). По электронной почте могут приходить письма, содержащие ложную информацию от имени банков и других учреждений, вынуждающую переходить по ссылке и вводить свои личные данные. По почте, как и на телефон, могут приходить ложные просьбы о помощи близким людям, сообщения о подарках, выигрышах и прочих бесплатных бонусах, для получения которых необходимо перевести деньги. Обезопасить себя от злоумышленников можно игнорированием писем от неизвестных адресатов.
  • Угрозы при использовании службы мгновенного обмена сообщениями. Пользователи быстро оценили удобство мессенджеров. Доступность и быстрота такого способа общения делают его открытым для всевозможных атак. Для безопасности стоит игнорировать сообщения от неизвестных пользователей, не сообщать им личную информацию, не переходить по присланным ссылкам.

Объект воздействия

Социальная инженерия направлена не на компьютерную технику, а на ее пользователя. Интерес представляют все платежеспособные лица, а также пользователи, обладающие ценной информацией, сотрудники предприятий и государственных учреждений.

Метод применяется с целью выполнения финансовых операций, взлома, кражи сведений (например, клиентских баз, персональных данных) и другого несанкционированного доступа к информации. Социальная инженерия помогает конкурентам осуществлять разведку, выявлять слабые стороны организации, переманивать сотрудников.

Источник угрозы

Злоумышленники используют социальную инженерию для получения материальной выгоды или для добычи данных для перепродажи. Социальная инженерия может использоваться в качестве одного из инструментов сложных целевых кибератак.

Источником угрозы могут быть электронные письма, текстовые сообщения в любых мессенджерах, SMS-сообщения и телефонные звонки. Мошенники могут выдавать себя за сотрудников банков и других финансовых организаций, государственных служащих, сотрудников силовых ведомств, интернет-провайдеров, представителей почтовых сервисов и крупных веб-ресурсов и т. п.

Анализ риска 

Для защиты компании от мошенничества необходимо обучать персонал распознавать социальную инженерию и правильно на нее реагировать, запретить сотрудникам обмениваться паролями или иметь один общий, обеспечить защиту клиентских баз и другой конфиденциальной информации, применять особую процедуру подтверждения для лиц, запрашивающих доступ к каким-либо данным.

В браузерах появилась опция «антифишинг», предупреждающая посетителей сайта о ненадежности или опасности ресурса. Защититься от угроз, присылаемых в электронных письмах, помогут спам-фильтры. Существует услуга мониторинга, востребованная компаниями, которые наиболее часто подвергаются атакам злоумышленников. Снизят риски и более сложные методы авторизации.

 

Что такое социальная инженерия? Определение и предотвращение общих угроз

Защита конфиденциальных данных в цифровом мире зависит от умных технологий, которые позволяют использовать доступ в Интернет без каких-либо забот. Тем не менее, наблюдается постоянный рост числа успешных кибератак. Доказано, что 90% всех инцидентов безопасности связаны с человеческими ошибками. В большинстве случаев киберпреступники используют социальную инженерию (social engineering) для получения секретной информации от ничего не подозревающих пользователей.

Определение социальной инженерии

Social engineering – это термин, используемый для широкого спектра вредоносных действий, совершаемых с помощью обмана людей. Успех методов социальной инженерии зависит от способности злоумышленников манипулировать человеческими чувствами: страхом, любопытством, симпатией, тщеславием, жадностью.

Совершение атаки происходит постепенно. Преступник сначала изучает предполагаемую жертву, собирает необходимые справочные данные. Затем переходит к завоеванию доверия, вынуждая жертву неосознанно нарушить правила безопасности: раскрыть конфиденциальную информацию, предоставить доступ к компьютерным сетям или хранилищам данных.

Что делает социальную инженерию особенно опасной, так это то, что она использует человеческие ошибки, а не уязвимости ПО. Ошибки, допущенные самими пользователями, гораздо менее предсказуемы, чем угрозы вредоносных программ.

Техники социальной инженерии

Social engineering-атаки имеют разные формы и могут быть выполнены везде, где задействовано человеческое взаимодействие. Ниже приведены семь наиболее распространенных техник.

Baiting (приманка, «дорожное яблоко»). В основе метода лежит принцип троянского коня. Мошенники подбрасывают зараженное вредоносным ПО устройство на видное место (флэш-накопитель USB, компакт-диск). Атака рассчитана на то, что человек, нашедший устройство, загрузит его на свой компьютер и по незнанию установит ПО, которое приведет к краже личных данных или нанесет вред работе компьютерной системы.

Scareware (ложный ативирус). Техника заключается в обмане пользователей о ложном заражении их компьютерных систем. Такой обман побуждает жертв устанавливать программное обеспечение, которое не имеет реальной выгоды (кроме как для преступника) или само является вирусным.

Распространенным примером scareware являются законно выглядящие всплывающие баннеры с текстом о заражении вредоносными программами-шпионами. Одновременно с предупреждающими сообщениями предлагается установить ложный антивирус, уже содержащий вредоносное ПО либо направляющий на вредоносный сайт.

Кроме использования баннеров, Scareware может распространяться через спам, который выдает поддельные предупреждения или предлагает пользователям покупать бесполезные/вредные услуги.

Phishing (фишинг) заключается в распространении мошеннических сообщений, вызывающих чувства срочности, любопытства, страха у человека. Такие сообщения маскируются как законные, полученные из доверенного источника. В случае фишинг-атаки получатели обманывают себя, устанавливая вредоносное ПО, или обмениваясь личной, финансовой, деловой информацией.

Электронная почта является наиболее популярным способом связи для осуществления фишинга. Также могут использоваться приложения для чата, соцсети, телефонные звонки, поддельные веб-сайты. Некоторые из наихудших фишинговых атак создают благотворительные призывы после стихийных бедствий или трагедий, рассчитывая на доброжелательность людей и призывая их оказать помощь путем ввода личной или платежной информации.

Pretexting (претекстинг) состоит в получении злоумышленниками конфиденциальной информации с помощью хитроумной лжи. Обман готовится заранее и обычно начинается с установления доверия с жертвой. При этом мошенники могут выдавать себя за сотрудников полиции, работников банковских и налоговых органов, за коллег по работе.

С помощью претекстинга собирается такая информация, как номера соцстрахования, личные адреса, номера телефонов, банковские данные.

Quid pro quo (квид про кво) происходит, когда злоумышленники запрашивают у человека личную информацию в обмен на что-то желаемое или на какой-либо вид компенсации. Очень часто такой вид атак распространяется через электронные письма, в которых требуется указать учетные данные для получения наследства, подарка, приза.

Иногда мошенники притворяются специалистами по ИТ-поддержке. Они убеждают какого-либо человека в том, что на его компьютере существуют проблемы, и решить эти проблемы можно только с помощью установки новейшего ПО. Мошенники вынуждают жертву предоставить полный доступ к своему устройству, что позволяет установить на нем вредоносное программное обеспечение или украсть оттуда секретные ланные.

Spear phishing (целевой фищинг) – это целенаправленная атака, ориентированная на конкретного человека или организацию. Успех осуществления целевого фищинга зависит от того, насколько хорошо мошенник изучит личную информацию о своей жертве, чтобы завоевать ее доверие.

Чаще всего источниками такой информации становятся каналы соцсетей. Здесь можно найти практически любые данные о будущей жертве: адрес электронной почты, любимые бренды, увлечения, друзей и т. д. Как только исследование завершено, преступник на правах хорошего знакомого может отправить жертве электронное письмо с реалистичным предлогом и попытаться получить конфиденциальную информацию.

Vishing (голосовой фишинг) является преступной практикой использования социальной инженерии по телефонной сети для получения доступа к личной информации человека с целью финансового вознаграждения. Этот метод также используется злоумышленниками для сбора более подробных данных о целевой организации.Фишинг по телефону использует систему мошеннического интерактивного голосового ответа (IVR) для воссоздания законно звучащего сообщения банка или системы IVR другого учреждения. Жертва получает запрос на звонок в «банк» по номеру (чаще всего бесплатному), предоставленному для «проверки» информации. Типичная система «vishing» будет постоянно отклонять входы в систему, предлагая жертве несколько раз вводить PIN-коды или пароли, чтобы раскрыть несколько разных паролей.

Предотвращение угроз Social engineering

Социальные инженеры манипулируют человеческими чувствами, чтобы заманивать своих жертв в ловушки. Только бдительность может помочь защититься от большинства социальных атак, происходящих в цифровой сфере. Вот несколько советов, которые позволят избежать неприятных последствий направленных действий злоумышленников.

  • Проверьте личность того, с кем общаетесь. Особенно это касается электронных писем и телефонных звонков, которых вы не ожидали. Если не знаете отправителя, не нужно отвечать на сообщения электронной почты. Если же человек известен, позвоните ему. Помните, что адреса электронной почты могут быть подделаны, а сообщения, предположительно поступающие из надежного источника, могут быть инициированы злоумышленником.
  • Никогда не отвечайте на электронные письма с просьбой указать ваши финансовые данные. Банки и бухгалтерия никогда не попросят об этом!
  • Соблюдайте правила интернет-безопасности: используйте сложные пароли, двухфакторную аутентификацию, не проверяйте свой банковский счет с помощью общедоступного Wi-Fi.
  • Управляйте своей цифровой идентификацией: удалите свои данные с общедоступных сайтов и дважды подумайте, прежде чем публиковать что-либо в соцсетях. Все эти легкодоступные данные могут помочь собрать личную информацию, а затем использовать ее для social engineering.
  • Позаботьтесь о своем программном обеспечении – установите надежную антивирусную программу, спам-фильтры, необходимые расширения браузера.
  • Используйте VPN. VPN не оптимизированы, чтобы блокировать социальную инженерию, но они могут помочь предотвратить атаки, помогая замаскировать вашу личность в Интернете и предотвратить возможность перехвата конфиденциальных данных.
  • Опасайтесь заманчивых предложений. Поиск Google поможет быстро определить, имеете ли вы дело с законным предложением или ловушкой.

Заключение

Социальная инженерия является серьезной угрозой для многих организаций и отдельных потребителей. Знание основ безопасного поведения является первым шагом в предотвращении атак подкованных злоумышленников, использующих все более сложные методы социальной инженерии, чтобы получить доступ к конфиденциальным данным.

Социальная инженерия – защита и предотвращение

Что такое социальная инженерия?

При слове «кибербезопасность» большинство думает о том, как защититься от хакеров, использующих технические уязвимости сетей. Но есть и другой способ проникнуть в организации и сети – через человеческие слабости. Это и есть социальная инженерия: способ обманом заставить кого-то раскрыть информацию или предоставить доступ к сетям данных.

Например, некто, притворяясь сотрудником службы поддержки, может попросить пользователей сообщить их пароли. Удивительно, как часто люди добровольно выдают эти данные, особенно если им кажется, что запрос поступает от уполномоченного лица.

Проще говоря, в случае социальной инженерии мошенники манипулируют людьми, чтобы получить от них информацию или доступ к ней.

=»Как работает социальная инженерия»

w3.org/1999/xhtml»> 

Виды атак с использованием социальной инженерии

Атаки с использованием социальной инженерии бывают разными. Поэтому важно в целом понимать, что такое социальная инженерия и как она работает. Научившись распознавать основной механизм действия, вы сможете гораздо легче вычислять подобные атаки.

Ловля «на живца»

Ловец «на живца» оставляет приманку – например, флешку с вирусом. Нашедший из любопытства вставляет ее в свой компьютер, и вирус поражает систему. Существует даже флешка, повреждающая компьютеры, – она заряжается через USB-порт и затем высвобождает мощный заряд через устройство ввода. И стоит такая флешка всего 54 доллара США.

Претекстинг

Злоумышленник использует предлог, чтобы привлечь внимание жертвы и заставить ее сообщить информацию. Например, во время безобидного, казалось бы, интернет-опроса у вас могут попросить данные вашего банковского счета. Или к вам подойдет человек с папкой документов и скажет, что проверяет внутренние системы. Но он может оказаться мошенником, пытающимся похитить у вас ценные данные.

Фишинг

При фишинговой атаке вы получаете письмо или сообщение от кажущегося надежным источника с просьбой предоставить информацию. Хорошо известный пример – письмо якобы от банка, который просит клиентов «подтвердить» конфиденциальную информацию и направляет их на поддельный сайт, где их учетные данные будут зафиксированы. Целевой фишинг – это отправка письма определенному сотруднику якобы от высшего руководства компании, запрашивающего конфиденциальные сведения.

Вишинг и смишинг

Это две разновидности фишинга. Первая подразумевает «голосовой фишинг», то есть телефонное мошенничество. Злоумышленник может притвориться сослуживцем – например, сотрудником IT-отдела, которому нужны ваши учетные данные. Вторая – попытка получить данные посредством SMS-сообщений.

«Ты – мне, я – тебе»

Говорят, честный обмен – не грабеж, но не в этом случае. Многие социальные инженеры убеждают своих жертв в том, что те получат что-то в обмен на данные или доступ к ним. Так работает фальшивый антивирус, предлагающий пользователю устранить угрозу на его компьютере, хотя сам «антивирус» и есть угроза.

Взлом электронной почты и рассылка по контактам

Злоумышленник взламывает почту человека или его учетную запись в социальной сети, получая доступ к его контактам. Теперь от имени жертвы он может сообщить им, что его ограбили, и попросить перечислить ему денег или разослать ссылку на вредоносное ПО или клавиатурный шпион под видом интересного видео.

«Охота» и фарминг

И наконец, несколько более продвинутых методов социальной инженерии. Большинство простых методов, описанных выше, являются формой «охоты». Все просто: проникнуть, захватить информацию и убраться восвояси.

Однако некоторые социальные инженеры налаживают связь с жертвой, чтобы получить больше данных за более длительный период времени. Этот метод известен как фарминг и представляет для злоумышленника повышенный риск разоблачения. Но в случае успеха он также дает гораздо больший «урожай».

Как избежать атаки с использованием социальной инженерии

Социальным инженерам особенно сложно противодействовать, поскольку они используют особенности человеческой натуры – любопытство, уважение к властям, желание помочь другу. Но есть ряд советов о том, как обнаружить их атаки.

Проверяйте источник

Задумайтесь на минуту о том, откуда исходит сообщение, – не доверяйте ему слепо. На вашем столе неизвестно откуда появилась флешка? Вам внезапно позвонили и сообщили, что вы получили в наследство 5 миллионов долларов? Ваш руководитель просит в письме предоставить ему массу данных об отдельных сотрудниках? Все это выглядит очень подозрительно, поэтому и действовать следует с осторожностью.

Проверить источник нетрудно. Например, посмотреть на заголовок электронного письма и сравнить его с другими письмами того же отправителя. Проверьте, куда ведут ссылки, – поддельные гиперссылки легко выявить, просто наведя на них курсор (только не нажимайте!). Проверьте орфографию: в банках над перепиской с клиентами работают целые отделы квалифицированных специалистов. Письмо с явными ошибками, вероятно, подделка.

Если сомневаетесь, перейдите на официальный сайт, свяжитесь с представителем и попросите подтвердить или опровергнуть сообщение.

Что им известно?

Знает ли тот, кто вам звонит или пишет, всю соответствующую информацию – например, ваше полное имя? Сотрудник банка уж точно должен иметь перед глазами все ваши данные и обязательно спросит проверочное слово, прежде чем разрешит вам вносить изменения в свой счет. Если этого не произошло, с большой долей вероятности письмо, сообщение или звонок – фальшивка. Будьте осторожны!

Остановитесь и подумайте

Социальные инженеры часто используют иллюзию срочности в расчете на то, что жертва не будет особо задумываться о происходящем. Всего минута размышлений может помочь вам выявить и предотвратить атаку.

Не спешите сообщать данные по телефону или переходить по ссылке. Лучше перезвоните по официальному номеру или перейдите на официальный сайт. Используйте другой способ связи, чтобы проверить благонадежность источника. Например, если друг в электронном письме просит перечислить ему деньги, напишите или позвоните ему по телефону, чтобы убедиться, что письмо действительно от него.

Требуйте данные, удостоверяющие личность

Социальному инженеру проще всего проникнуть в охраняемое здание, неся в руках коробку или кипу папок. Кто-нибудь обязательно придержит для него дверь. Не попадайтесь на эту удочку: всегда требуйте удостоверение личности.

То же правило действует и в других ситуациях. Если у вас запрашивают информацию – уточните имя и номер звонящего или его непосредственного руководителя. Затем просто проверьте эту информацию в интернете или справочнике прежде, чем сообщать какие-либо персональные данные. Если вы не знаете человека, который запрашивает информацию, и все еще сомневаетесь – скажите, что уточните у кого-нибудь и потом перезвоните.

Используйте надежный спам-фильтр

w3.org/1999/xhtml»>Если ваш почтовый клиент недостаточно тщательно фильтрует спам или не помечает письма как подозрительные, попробуйте изменить настройки. Хорошие спам-фильтры используют разнообразную информацию для распознавания нежелательных писем. Они могут выявлять подозрительные файлы или ссылки, заносить в черный список ненадежные IP-адреса или сомнительных отправителей и анализировать содержимое писем, чтобы обнаруживать фальшивки.

Насколько это правдоподобно?

Некоторые социальные инженеры рассчитывают на то, что вы не станете вдумываться. Попробуйте оценить, насколько реалистична ситуация, – так вы можете избежать атаки. Например:

  • Если бы ваш друг действительно застрял в Китае, он бы вам скорее написал на почту, позвонил или написал SMS?
  • Насколько вероятно, что нигерийский принц оставил вам в наследство миллион долларов?
  • Стал бы банк по телефону узнавать данные вашего счета? Кстати, многие банки фиксируют все звонки клиентам и всю переписку с ними. Так что, если вы не уверены, – перепроверьте.

Не спешите

Будьте особенно осторожны, если вам внушают, что ситуация неотложная. Это стандартный способ злоумышленников помешать вам все обдумать. Если чувствуете, что на вас давят, – притормозите. Скажите, что вам нужно время, чтобы добыть информацию, вам нужно спросить своего начальника, у вас сейчас нет нужных данных, – что угодно, чтобы дать себе время на осмысление.

В большинстве случаев мошенник не станет рисковать, осознав, что эффект неожиданности пропал.

Защитите свои устройства

Важно защитить устройства, чтобы даже в случае успешной атаки социальный инженер не смог получить слишком много информации. Будь то смартфон, домашняя сеть или крупная корпоративная система, принцип действия одинаков.

    w3.org/1999/xhtml»>

  • Обновляйте защиту от вирусов и вредоносного ПО. Это поможет предотвратить установку вредоносных программ по ссылкам в фишинговых письмах. Антивирусное ПО, например Kaspersky Anti-Virus, защитит ваши сети и данные.
  • Регулярно обновляйте ПО и прошивки, обращая особое внимание на исправления безопасности.
  • Не запускайте смартфон с root-правами, а сеть или компьютер – в режиме администратора. Даже если социальный инженер получит пароль к вашей учетной записи пользователя, он не сможет изменить конфигурацию системы или что-либо на нее установить.
  • Не используйте один и тот же пароль для разных учетных записей. Вы ведь не хотите, чтобы злоумышленник, завладев одним паролем, смог войти во все ваши учетные записи.
  • Для самых важных учетных записей используйте двухфакторную аутентификацию, чтобы их нельзя было взломать с помощью одного лишь пароля. Можно использовать распознавание голоса, дополнительное устройство безопасности, отпечаток пальца или SMS-подтверждение.
  • Если вы только что сообщили пароль от своей учетной записи и подозреваете, что вас «провели», немедленно смените пароль.
  • Будьте в курсе новых угроз кибербезопасности– регулярно читайте публикации нашего Центра ресурсов, чтобы узнавать о новых методах атаки по мере их появления. Так у вас меньше шансов стать их жертвой.

Подумайте о своем цифровом следе

Задумайтесь о вашем присутствии в Сети. Публикуя много личной информации в интернете (например, в социальных сетях), вы помогаете злоумышленникам. Например, в качестве проверочного слова многие сервисы предлагают использовать кличку вашего первого питомца. Делились ли вы этими сведениями в Facebook? Если да, то вы подвергаетесь риску! Кроме того, некоторые социальные инженеры входят в доверие, упоминая недавние события, которыми человек поделился в социальных сетях.

Советуем сдержаннее рассказывать о себе и сделать ваши публикации доступными только для друзей. Не нужно паранойи, просто будьте аккуратны.

Задумайтесь, какими еще аспектами своей жизни вы делитесь онлайн. Если, например, вы разместили в Сети свое резюме, стоит удалить оттуда свой адрес, номер телефона, дату рождения – любую полезную информацию, которой может воспользоваться преступник. Некоторые социальные инженеры очень тщательно готовятся к атаке, собирая все возможные данные о жертве, чтобы поймать ее на крючок. Не давайте им такой возможности.

Атаки с использованием социальной инженерии крайне опасны, поскольку происходят в совершенно обыденных ситуациях. Однако, полностью понимая их механизм и принимая элементарные меры предосторожности, вы гораздо меньше рискуете стать их жертвой.

Ссылки по теме

Социальная инженерия – определение

Как вредоносное ПО проникает на компьютеры и в информационные системы

w3.org/1999/xhtml»>Мошенничество с техподдержкой

Что такое социальная инженерия? — НБРБ. Единый портал финансовой грамотности

Сегодня благодаря разнообразию социальных сетей собрать сведения о человеке очень легко. А опытные мошенники хорошо разбираются в психологии, и могут использовать в своих целях даже минимальные знания о пользователе.

Многие специалисты по информационной безопасности говорят, что, как не защищай программы и системы, но есть одно слабое звено – это сам пользователь. Люди зачастую оказываются очень доверчивыми и сами предоставляют мошенникам конфиденциальную  информацию. С помощью специальных практик мошенникам добыть необходимую информацию намного проще, нежели получить ее путем взлома системы безопасности. Этим они и пользуются.

Социальная инженерия – это способ получения конфиденциальной информации с помощью психологического воздействия на человека. Основной целью социальной инженерии является получение выгоды через доступ к паролям, банковским данным и другим защищенным системам.  

Социальная инжерерия может принимать разные виды. Вот самые распространенные.

Фишинг — это вид мошенничества, основная суть которого завладение логинами и паролями от важных сайтов, аккаунтов, счетов в банке и другой конфиденциальной информацией путем рассылки писем с ссылками на мошеннический сайт, внешне очень похожий на настоящий. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить его ввести на поддельной странице свои логин и пароль, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Фарминг — при фарминге на персональный компьютер жертвы устанавливается вредоносная программа, которая меняет информацию по IP-адресам, в результате чего обманутый пользователь перенаправляется на поддельные сайты без его ведома и согласия.

Вишинг — метод, который заключается в том, что злоумышленники, используя телефонную коммуникацию и, играя определенную роль (сотрудника банка, покупателя и т. д.), под разными предлогами выманивают у держателя платежной карточки конфиденциальную информацию или стимулируют его к совершению каких-то действий со своим счетом или банковской платежной карточкой. 

Взлом социальных сетей — взламывается страница пользователя и от его имени идут сообщения его друзьям, чаще всего с просьбой «скинь денег на карточку». Тот, кого взломали, может понять об этом, когда не сможет войти в свой аккаунт, ведь пароль уже изменен.

СМС-атаки — мошенник создает фейковый аккаунт в социальных сетях либо регистрируется, к примеру, в Viber, с симкарты, которая оформлена не на его. Далее высылает объявление: «Помогите на лечение ребенку», размещая фото и реквизиты. Если это действительно реальный человек, то реквизиты легко проверяются. Но, к сожалению, люди не часто проверяют такую информацию.

Претекстинг — набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон, электронная почта и т. п. Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника, должность, название проектов, с которыми он работает, дату рождения). Используя такую информацию, он входит в доверие и получает необходимые ему данные.

Кви про кво (в английском языке это выражение обычно используется в значении «услуга за услугу»)злоумышленник представляется, например, сотрудником технической поддержки и информирует о возникновении каких-то проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое вредоносное программное обеспечение на компьютере жертвы. Эта техника предполагает обращение злоумышленника к пользователю, как правило, по электронной почте или корпоративному телефону.

Обратная социальная инженерия — создается такая ситуация, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, мошенник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.

Методов мошенничества, которые используют социальную инженерию, – множество. Перечисленные – это всего лишь их часть. Самые распространенные для нашей страны – фишинг, взлом социальных сетей и вишинг.

Главный способ защиты от мошенников, использующих методы социальной инженерии, это проявление бдительности и осторожности. Поэтому предлагаем «на зубок» запомнить следующие правила безопасности:

  • Не открывайте вложения электронной почты, отправленные с неизвестных ресурсов.
  • При разговоре по телефону с незнакомым человеком следует быть внимательным и принимать какие-либо решения обдуманно.
  • Не используйте логины и пароли и другую конфиденциальную информацию, если вы подозреваете что ваш компьютер заражен.
  • Не соглашайтесь на загрузку, предлагаемую неизвестным програмным обеспечением.
  • Не переходите по ссылкам из электронной почты.
  • Не сообщайте реквизиты своей банковской платежной карточки, коды безопасности и другие личные данные незнакомцам ни при каких условиях.
  • Остерегайтесь любых не известных предложений помощи.
  • Регулярно проверяйте ваш компьютер на вирусы.

Повышайте свой уровень финансовой грамотности, чтобы обезопасить себя и идти в ногу со временем.

5 типов атак социальной инженерии

Все мы знаем о злоумышленнике,
который использует свой технический опыт для проникновения в защищенные компьютерные
системы и взлома конфиденциальных данных. Этот тип злоумышленников постоянно делает
новости, побуждая нас противостоять их подвигам, инвестируя в новые технологии,
которые укрепят нашу сетевую защиту.

Однако есть еще один тип
злоумышленников, которые используют разные тактики, чтобы обойти наши инструменты
и решения. Их называют «социальными инженерами», потому что они используют одну
слабость, которая есть в каждой организации: человеческая психология. Используя
телефонные звонки и другие средства общения с пользователями, эти злоумышленники
вынуждают людей передавать доступ к конфиденциальной информации организации.

Социальная инженерия —термин,
который охватывает широкий спектр вредоносных действий. Для целей этой статьи давайте
сосредоточимся на пяти наиболее распространенных типах атак, которые используют
социальные инженеры.

1. Фишинг

Фишинг является наиболее
распространенным типом атаки социальной инженерии, которая происходит сегодня. Но
что именно? На высоком уровне большинство фишинг-мошенников пытаются выполнить три вещи:

Получить личную информацию,
такую как имена, адреса и номера социального страхования.

Использовать сокращенные
или вводящие в заблуждение ссылки, которые перенаправляют пользователей на подозрительные
веб-сайты, на которых размещаются фишинговые целевые страницы.

Включить угрозы, страх
и чувство срочности в попытке заставить пользователя реагировать как можно
быстрее.

Нет двух одинаковых фишинговых
писем. На самом деле существует как минимум шесть различных подкатегорий фишинговых атак . Кроме того, мы все знаем, что некоторые из них
плохо обработаны, поскольку в них сообщения страдают от орфографических и грамматических
ошибок. Тем не менее, эти электронные письма обычно имеют одну и ту же цель — использовать
поддельные веб-сайты или формы для кражи учетных данных пользователя и других личных
данных.

В недавней фишинг кампании используется скомпрометированная учетная запись электронной почты, чтобы отправить
атакующее письмо. В этих сообщениях просили получателей просмотреть предложенный
документ, щелкнув встроенный URL-адрес. Этот вредоносный URL-адрес, защищенный URL-адресом
Symantec для защиты от кликов, перенаправил получателей на взломанную учетную запись
SharePoint, которая доставила второй вредоносный URL-адрес, встроенный в документ
OneNote. Этот URL, в свою очередь, перенаправляет пользователей на фишинговую страницу,
изображающую портал входа в систему Microsoft Office 365.

2. Предлоги

Предлог — это еще одна
форма социальной инженерии, где злоумышленники концентрируются на создании хорошего
предлога или сфабрикованного сценария, который они используют, чтобы попытаться
украсть личную информацию своих жертв. В этих типах атак мошенник обычно говорит,
что им нужно определенное количество информации от своей цели, чтобы подтвердить свою личность. На самом деле они крадут эти данные и используют их для совершения кражи личных данных или проведения
вторичных атак.

Более продвинутые атаки
иногда пытаются обмануть своих целей, делая что-то, что злоупотребляет цифровыми
и / или физическими недостатками организации. Например, злоумышленник может выдать
себя за внешнего аудитора ИТ-услуг, чтобы он мог убедить группу физической безопасности
целевой компании пустить их в здание.

В то время как фишинговые
атаки в основном используют страх и срочность в своих интересах, атаки с предлогом
основываются на создании ложного чувства доверия к жертве. Это требует от злоумышленника
построить достоверную историю, которая оставляет мало места для сомнений со стороны
их цели.

Предлог может принимать
и принимает различные формы. Несмотря на это, многие субъекты угроз, принимающие
этот тип атаки, решают маскироваться под кадры или сотрудников отдела развития финансов. Эта маскировка позволяет им ориентироваться на руководителей уровня С, как Verizon
нашел в своем Отчете о расследованиях нарушений данных за 2019 год (DBIR) .

3. Приманка

Приманка во многом похожа
на фишинговые атаки. Однако то, что отличает их от других видов социальной инженерии,
— это обещание какого-либо предмета или блага, которые злоумышленники используют
для соблазнения жертв. Приманки могут использовать предложение бесплатной загрузки
музыки или фильмов, например, чтобы обманом заставить пользователей передать свои
учетные данные для входа.

Злоумышленники могут также
сосредоточиться на использовании человеческого любопытства с помощью физических
средств.

Например, еще в
июле 2018 года KrebsOnSecurity сообщил о кампании по нападению на государственные
учреждения и органы местного самоуправления в Соединенных Штатах. Операция разослала
китайские почтовые маркированные конверты, которые содержали запутанное письмо вместе
с компакт-диском (CD). Цель состояла в том, чтобы разбудить любопытство получателей,
чтобы они загружали компакт-диск и тем самым непреднамеренно заражали свои компьютеры
вредоносным ПО.

4. Quid Pro Quo

Подобно травле, нападения
quid pro quo обещают выгоду в обмен на информацию. Эта выгода обычно принимает форму
услуги, тогда как травля обычно принимает форму пользы.

Один из наиболее распространенных
типов атак «quid pro quo», появившихся в последние годы, — это когда мошенники
выдают себя за Администрацию социального обеспечения США (SSA) . Эти поддельные сотрудники SSA связываются со
случайными лицами, сообщают им, что с их стороны возникла проблема с компьютером,
и просят, чтобы эти лица подтвердили свой номер социального страхования, все это
направлено на кражу личных данных. В других случаях, обнаруженных Федеральной торговой комиссией (FTC), злоумышленники создают поддельные веб-сайты
SSA, которые говорят, что могут помочь пользователям подать заявку на новые карты
социального обеспечения, но вместо этого просто воруют их личную информацию.

Тем не менее, важно отметить,
что злоумышленники могут использовать предложения quid pro quo, которые гораздо
менее изощренны, чем уловки на тему SSA. Как показали предыдущие атаки, офисные
работники более чем готовы отдать свои пароли за дешевую ручку или даже плитку шоколада .

5. Tailgating

Наш последний тип социальной
атаки на сегодняшний день известен как «Tailgating». В этих типах атак кто-то без
надлежащей аутентификации следует за проверенным сотрудником в ограниченную область. Злоумышленник может выдать себя за водителя службы доставки и подождать снаружи
здания, чтобы начать работу. Когда сотрудник получает одобрение службы безопасности
и открывает дверь, злоумышленник просит сотрудника придержать дверь, тем самым получая
доступ в здание.

Tailgating не работает
во всех корпоративных условиях, таких как крупные компании, входы в которые требуют
использования карты-ключа. Однако на средних предприятиях злоумышленники могут завязать
разговор с сотрудниками и использовать эту демонстрацию знакомства, чтобы обойти
стойку регистрации.

Фактически, Колин Гринлесс,
консультант по безопасности в Siemens Enterprise Communications, использовал эту
тактику, чтобы получить доступ к нескольким этажам и комнате данных в финансовой
компании, зарегистрированной на бирже FTSE. Он даже смог открыть магазин в зале заседаний на третьем этаже и работать
там в течение нескольких дней .

Рекомендации по социальной
инженерии

Злоумышленники, которые
участвуют в атаках социальной инженерии, охотятся на человеческую психологию и любопытство,
чтобы поставить под угрозу информацию. Помня об этом ориентированном на человека
фокусе, организации должны помочь своим сотрудникам противостоять атакам такого
типа.

Вот несколько советов,
которые организации могут включить в свои обучающие программы по безопасности, которые
помогут пользователям избежать схем социальной инженерии:

Не открывайте электронные
письма из ненадежных источников.
Свяжитесь с другом или членом семьи лично или по телефону, если вы получили
от них подозрительное электронное сообщение.

Не верьте предложениям
от незнакомых людей. Сомневайтесь!
Если предложения кажутся слишком хорошими, чтобы быть правдой, они, вероятно,
это мошенничество.

Заблокируйте свой ноутбук, когда вы находитесь покидаете рабочее место.

Купить антивирусное
программное обеспечение.
Ни одно
AV-решение не может защитить от любой угрозы, которая ставит под угрозу информацию
пользователей, но они могут помочь защитить от некоторых атак.

Прочитайте политику
конфиденциальности вашей компании,
чтобы понять, при каких обстоятельствах вы можете или должны впустить незнакомца
в здание.

Что такое социальная инженерия? Примеры и советы по предотвращению

Социальная инженерия — это искусство манипулировать людьми, чтобы они отказывались от конфиденциальной информации. Типы информации, которую ищут эти преступники, могут быть разными, но когда жертвами становятся отдельные лица, преступники обычно пытаются обманом заставить вас сообщить им ваши пароли или банковскую информацию или получить доступ к вашему компьютеру для тайной установки вредоносного программного обеспечения, что даст им доступ к вашему пароли и банковскую информацию, а также предоставление им контроля над вашим компьютером.

Преступники используют тактику социальной инженерии, потому что обычно легче использовать вашу естественную склонность к доверию, чем находить способы взломать ваше программное обеспечение. Например, гораздо легче обмануть кого-то, чтобы он дал вам свой пароль, чем вам попытаться взломать его пароль (если только пароль не является действительно ненадежным).

Развивается фишинг. Из этого руководства вы узнаете 11 способов, которыми хакеры пытаются заполучить ваши данные и как защитить себя.

Безопасность — это знание, кому и чему доверять.Важно знать, когда и когда не следует верить человеку на слово, и когда человек, с которым вы общаетесь, является тем, кем он себя называет. То же самое и в отношении онлайн-взаимодействия и использования веб-сайта: когда вы уверены, что веб-сайт, который вы используете, является законным или безопасным для предоставления вашей информации?

Спросите любого специалиста по безопасности, и он скажет вам, что самое слабое звено в цепочке безопасности — это человек, который принимает человека или сценарий за чистую монету. Неважно, сколько замков и засовов на ваших дверях и окнах, есть ли сторожевые собаки, системы сигнализации, прожекторы, заборы с колючей проволокой и вооруженные сотрудники службы безопасности; Если вы доверяете человеку у ворот, который говорит, что он разносчик пиццы, и впускаете его, не проверив сначала, законен ли он, вы полностью подвергаетесь риску, который он представляет.

Как выглядит атака социальной инженерии?

Письмо друга

Если преступнику удастся взломать или подобрать пароль электронной почты одного человека, он получит доступ к списку контактов этого человека, а поскольку большинство людей везде используют один пароль, они, вероятно, также имеют доступ к контактам этого человека в социальных сетях.

Как только преступник получает эту учетную запись электронной почты под своим контролем, он отправляет электронные письма всем контактам человека или оставляет сообщения на всех социальных страницах своего друга и, возможно, на страницах друзей этого человека.

Воспользовавшись вашим доверием и любопытством, эти сообщения будут:

  • Содержит ссылку , которую вам просто нужно проверить — и поскольку ссылка исходит от друга, и вам любопытно, вы доверяете ссылке и щелкаете — и заразитесь вредоносным ПО, чтобы преступник мог захватить вашу машину и собирайте ваши контактные данные и обманывайте их так же, как вас обманули

  • Содержит загружаемые изображений, музыки, фильмов, документов и т. Д., в который встроено вредоносное ПО. Если вы загрузите — что вы, вероятно, сделаете, так как вы думаете, что это от вашего друга, — вы инфицированы. Теперь преступник имеет доступ к вашей машине, учетной записи электронной почты, учетным записям и контактам в социальных сетях, и атака распространяется на всех, кого вы знаете. И так далее.

Электронная почта из другого надежного источника

Фишинговые атаки — это разновидность стратегии социальной инженерии, которая имитирует надежный источник и придумывает, казалось бы, логичный сценарий передачи учетных данных для входа или других конфиденциальных личных данных. Согласно данным Webroot, финансовые учреждения представляют подавляющее большинство вымышленных компаний, и, согласно ежегодному отчету Verizon о расследовании утечек данных, атаки социальной инженерии, включая фишинг и предтексты (см. Ниже), являются причиной 93% успешных утечек данных.

Эти сообщения могут быть использованы под убедительной историей или предлогом:

  • Срочно прошу вашей помощи. Ваш друг застрял в стране X, был ограблен, избит и находится в больнице.Им нужно, чтобы вы отправили деньги, чтобы они могли вернуться домой, и они расскажут вам, как отправить деньги преступнику.

  • Использовать попытки фишинга с кажущимся законным фоном . Как правило, фишер отправляет электронное письмо, мгновенное сообщение, комментарий или текстовое сообщение, которое, похоже, исходит от законной, популярной компании, банка, учебного заведения или учреждения.

  • Попросите вас сделать пожертвование их благотворительной организации по сбору средств или на какое-либо другое дело. Скорее всего, с инструкциями, как отправить деньги преступнику. Пользуясь добротой и щедростью, эти фишеры просят помощи или поддержки в случае катастрофы, политической кампании или благотворительности, которые на мгновение становятся главными.

  • Представьте проблему, требующую от вас «проверки» вашей информации, щелкнув отображаемую ссылку и предоставив информацию в их форме. Расположение ссылки может выглядеть вполне законно со всеми правильными логотипами и содержанием (на самом деле, преступники могли скопировать точный формат и содержание законного сайта).Поскольку все выглядит законным, вы доверяете электронной почте и фальшивому сайту и предоставляете любую информацию, которую запрашивает мошенник. Эти типы фишингового мошенничества часто включают предупреждение о том, что произойдет, если вы не примете меры в ближайшее время, потому что преступники знают, что, если они смогут заставить вас действовать раньше, чем вы подумаете, у вас больше шансов попасться на их попытку фишинга.

  • Сообщите вам, что вы «победитель». Может быть, в электронном письме написано письмо от лотереи, от мертвого родственника, или от миллионного человека, перешедшего на их сайт, и т. Д.Чтобы дать вам свой «выигрыш», вы должны предоставить информацию о маршруте вашего банка, чтобы они знали, как отправить его вам, или указать ваш адрес и номер телефона, чтобы они могли отправить приз, и вас также могут попросить доказать, кто вы часто указываете свой номер социального страхования. Это «жадные фишки», когда, даже если повод для рассказа неубедителен, люди хотят того, что им предлагают, и попадают в ловушку, отдавая свою информацию, затем опустошая свой банковский счет и украшая личность.

  • Представьте себя начальником или коллегой. Он может запросить обновленную информацию о важном частном проекте, над которым в настоящее время работает ваша компания, информацию о платежах, относящуюся к кредитной карте компании, или какой-либо другой запрос, маскирующийся под повседневную работу.

Сценарии наживки

Эти схемы социальной инженерии знают, что если вы повесите то, что хотят люди, многие люди клюнут на эту наживку. Эти схемы часто можно найти на одноранговых сайтах, предлагающих загрузку чего-то вроде нового популярного фильма или музыки.Но схемы также можно найти на сайтах социальных сетей, вредоносных веб-сайтах, которые вы найдете в результатах поиска, и так далее.

Или эта схема может показаться очень выгодной на тематических сайтах, аукционных сайтах и ​​т. Д. Чтобы развеять ваши подозрения, вы можете увидеть, что у продавца хороший рейтинг (все спланировано и создано заранее).

Люди, попавшие на приманку, могут быть заражены вредоносным программным обеспечением, которое может генерировать любое количество новых эксплойтов против них самих и их контактов, могут потерять свои деньги, не получив купленный предмет, и, если они были достаточно глупы, чтобы заплатить чеком, могут обнаруживают, что их банковский счет пуст.

Ответ на вопрос, который у вас никогда не было

Преступники могут притвориться, будто отвечают на ваш запрос о помощи от компании, а также предлагают дополнительную помощь. Они выбирают компании, которыми пользуются миллионы людей, например, софтверную компанию или банк. Если вы не пользуетесь продуктом или услугой, вы проигнорируете электронную почту, телефонный звонок или сообщение, но если вы все-таки воспользуетесь услугой, есть большая вероятность, что вы ответите, потому что вам, вероятно, нужна помощь в решении проблемы. .

Например, даже если вы знаете, что изначально не задавали вопрос, у вас, вероятно, проблема с операционной системой вашего компьютера, и вы пользуетесь этой возможностью, чтобы исправить ее.Бесплатно! В тот момент, когда вы отвечаете, вы купили историю мошенника, оказали ему доверие и открылись для эксплуатации.

Представитель, который на самом деле является преступником, должен будет «аутентифицировать вас», чтобы вы вошли в «его систему» ​​или вы вошли в свой компьютер и либо предоставили им удаленный доступ к вашему компьютеру, чтобы они могли «исправить» это. для вас, или скажите вам команды, чтобы вы могли исправить это самостоятельно с их помощью — где некоторые из команд, которые они говорят вам ввести, откроют для преступника путь позже вернуться к вашему компьютеру.

Создание недоверия

Некоторая социальная инженерия — это создание недоверия или начало конфликтов; это часто делают люди, которых вы знаете и которые злятся на вас, но это также делают противные люди, просто пытающиеся сеять хаос, люди, которые хотят сначала вызвать у вас недоверие к другим, чтобы затем они могли вмешаться в качестве героя и завоевать ваше доверие, или вымогателей, которые хотят манипулировать информацией, а затем угрожают вам раскрытием.

Эта форма социальной инженерии часто начинается с получения доступа к учетной записи электронной почты или другой учетной записи связи в клиенте обмена мгновенными сообщениями, социальной сети, чате, форуме и т. Д.Они достигают этого либо путем взлома, либо с помощью социальной инженерии, либо просто угадывая действительно слабые пароли.

  • Злоумышленник может затем изменить конфиденциальные или личные сообщения (включая изображения и аудио), используя базовые методы редактирования, и перенаправить их другим людям, чтобы создать драму, недоверие, смущение и т. Д. Они могут создать впечатление, что оно было отправлено случайно, или появиться как будто они дают вам знать, что «на самом деле» происходит.

  • В качестве альтернативы они могут использовать измененный материал для вымогательства денег либо у взломанного человека, либо у предполагаемого получателя.

Существуют буквально тысячи вариантов атак социальной инженерии. Единственное ограничение на количество способов социальной инженерии пользователей с помощью такого рода эксплойтов — это воображение преступника. И вы можете столкнуться с несколькими формами эксплойтов за одну атаку. Тогда преступник, скорее всего, продаст вашу информацию другим, чтобы они тоже могли использовать свои подвиги против вас, ваших друзей, друзей ваших друзей и так далее, поскольку преступники используют неуместное доверие людей.

Не становись жертвой

Несмотря на то, что фишинговые атаки являются необузданными, недолговечными и для успешной кампании нужно всего несколько пользователей, есть способы защитить себя. Большинство из них не требует гораздо большего, чем просто обращать внимание на детали перед вами. Помните следующее, чтобы не стать жертвой фишинга.

Полезные советы:

  • Притормози. Спамеры хотят, чтобы вы сначала действовали, а потом думали.Если сообщение передает ощущение срочности или использует тактику продаж с высоким давлением, отнеситесь к этому скептически; никогда не позволяйте их срочности влиять на ваше внимательное рассмотрение.

  • Изучите факты . С подозрением относитесь к нежелательным сообщениям. Если письмо выглядит так, как будто оно от компании, которой вы пользуетесь, проведите собственное исследование. Воспользуйтесь поисковой системой, чтобы перейти на сайт реальной компании, или телефонным справочником, чтобы найти их номер телефона.

  • Не позволяйте ссылке определять, где вы приземляетесь. Сохраняйте контроль, находя веб-сайт самостоятельно с помощью поисковой системы, чтобы быть уверенным, что вы попадете туда, куда собираетесь попасть. При наведении курсора на ссылки в электронном письме внизу будет отображаться фактический URL-адрес, но хорошая подделка все равно может ввести вас в заблуждение.

  • Угон электронной почты процветает. Хакеры, спамеры и социальные инженеры, берущие контроль над учетными записями электронной почты людей (и другими учетными записями), стали безудержными. Получив контроль над учетной записью электронной почты, они пользуются доверием контактов человека.Даже если отправителем оказывается кто-то из ваших знакомых, если вы не ожидаете письма со ссылкой или вложением, проверьте его у друга перед тем, как открывать ссылки или скачивать.

  • Остерегайтесь любой загрузки. Если вы не знаете отправителя лично и ожидаете от него файла, загрузка чего-либо будет ошибкой.

  • Зарубежные предложения — подделка. Если вы получаете электронное письмо от иностранной лотереи или розыгрыша, деньги от неизвестного родственника или просьбы о переводе средств из другой страны в обмен на долю денег, это гарантированно является мошенничеством.

Способы защитить себя:

  • Удалите все запросы финансовой информации или паролей. Если вас попросят ответить на сообщение с личной информацией, это мошенничество.

  • Отклонять просьбы о помощи или предложения о помощи. Законные компании и организации не обращаются к вам за помощью. Если вы специально не обращались за помощью к отправителю, рассмотрите любое предложение «помочь» восстановить кредитный рейтинг, рефинансировать дом, ответить на свой вопрос и т. Д., обман. Аналогичным образом, если вы получили запрос о помощи от благотворительной организации или организации, с которой у вас нет отношений, удалите его. Чтобы жертвовать, ищите авторитетные благотворительные организации самостоятельно, чтобы не попасться на мошенников.

  • Установите высокий уровень спам-фильтров . В каждой почтовой программе есть спам-фильтры. Чтобы найти свою, просмотрите параметры своих настроек и установите для них высокий уровень — просто не забывайте периодически проверять папку со спамом, чтобы убедиться, что в нее случайно попала легальная электронная почта.Вы также можете найти пошаговое руководство по настройке спам-фильтров, выполнив поиск по названию вашего почтового провайдера и по фразе «спам-фильтры».

  • Защитите свои вычислительные устройства . Установите антивирусное программное обеспечение, брандмауэры, фильтры электронной почты и поддерживайте их в актуальном состоянии. Настройте свою операционную систему на автоматическое обновление, и если ваш смартфон не обновляется автоматически, обновляйте его вручную всякий раз, когда вы получите уведомление об этом. Используйте средство защиты от фишинга, предлагаемое вашим веб-браузером или третьим лицом, чтобы предупредить вас о рисках.

База данных угроз Webroot содержит более 600 миллионов доменов и 27 миллиардов URL-адресов, отнесенных к категориям для защиты пользователей от сетевых угроз. Аналитика угроз, поддерживающая все наши продукты, помогает вам безопасно использовать Интернет, а наши решения для обеспечения безопасности мобильных устройств предлагают безопасный просмотр веб-страниц для предотвращения успешных фишинговых атак.

Объяснение социальной инженерии: как преступники используют человеческое поведение

Определение социальной инженерии

Социальная инженерия — это искусство использования психологии человека, а не технических приемов взлома, для получения доступа к зданиям, системам или данным.

Например, вместо того, чтобы пытаться найти уязвимость программного обеспечения, социальный инженер может позвонить сотруднику и выдать себя за сотрудника службы поддержки ИТ, пытаясь обманом заставить сотрудника раскрыть свой пароль.

Известный хакер Кевин Митник помог популяризировать термин «социальная инженерия» в 90-х годах, хотя идея и многие методы существуют с тех пор, как появились мошенники.

Даже если у вас есть все навороты, когда дело доходит до безопасности вашего центра обработки данных, ваших облачных развертываний, физической безопасности вашего здания и вы вложили средства в защитные технологии, у вас есть правильные политики и процессы безопасности, и измерять их эффективность и непрерывно улучшать, но хитрый социальный инженер может проложить себе путь насквозь (или обойти).

Методы социальной инженерии

Социальная инженерия оказалась очень успешным способом для преступников «проникнуть внутрь» вашей организации. Как только социальный инженер получит пароль доверенного сотрудника, он может просто войти в систему и поискать конфиденциальные данные. Имея карту доступа или код для физического проникновения внутрь объекта, преступник может получить доступ к данным, украсть активы или даже причинить вред людям.

В статье «Анатомия взлома» тестер на проникновение рассказывает, как он использовал текущие события, общедоступную информацию, доступную на сайтах социальных сетей, и рубашку Cisco за 4 доллара, которую он купил в благотворительном магазине, чтобы подготовиться к незаконному проникновению.Рубашка помогла ему убедить сотрудников стойки регистрации и других сотрудников в том, что он был сотрудником Cisco, находящимся на визите в службу технической поддержки. Оказавшись внутри, он также смог дать незаконный доступ другим членам своей команды. Ему также удалось сбросить несколько зараженных вредоносным ПО USB-накопителей и взломать сеть компании, причем все это было в поле зрения других сотрудников.

Тем не менее, вам не нужно ходить в благотворительные магазины, чтобы провести атаку социальной инженерии. Они также хорошо работают по электронной почте, телефону или в социальных сетях.Общим для всех атак является то, что они используют человеческую природу в своих интересах, подпитывая нашу жадность, страх, любопытство и даже наше желание помочь другим.

Примеры социальной инженерии

Преступникам часто требуются недели и месяцы, чтобы узнать место, прежде чем даже войти в дверь или позвонить. Их подготовка может включать в себя поиск списка телефонов компании или организационной структуры, а также поиск сотрудников в социальных сетях, таких как LinkedIn или Facebook.

1.По телефону
Социальный инженер может позвонить и притвориться коллегой по работе или внешним авторитетом, которому доверяют (например, правоохранительными органами или аудитором).

2. В офисе
«Можете ли вы подержать мне дверь? У меня нет при себе ключа / карты доступа». Как часто вы слышали это в своем доме? Хотя спрашивающий может не показаться подозрительным, это очень распространенная тактика, используемая социальными инженерами.

3. Интернет
Сайты социальных сетей упростили проведение атак социальной инженерии.Сегодняшние злоумышленники могут зайти на такие сайты, как LinkedIn, найти всех пользователей, работающих в компании, и собрать много подробной информации, которая может быть использована для дальнейшей атаки.

Социальные инженеры также пользуются преимуществами последних новостей, праздников, поп-культуры и других устройств, чтобы заманить жертв. В фильме «Женщина» теряет 1825 долларов из-за мошенничества с тайным покупателем, выдаваемого за BestMark, Inc., вы видите, как преступники использовали имя известной компании по тайному покупателю для проведения своей аферы. Мошенники часто используют поддельные благотворительные фонды для достижения своих преступных целей в праздничные дни.

Злоумышленники также настроят фишинговые атаки на известные интересы (например, любимых артистов, актеров, музыку, политику, благотворительность), которые могут быть использованы, чтобы побудить пользователей нажимать на вложения, содержащие вредоносное ПО.

Известные атаки социальной инженерии

Хороший способ понять, на какую тактику социальной инженерии следует обратить внимание, — это узнать, что использовалось в прошлом. У нас есть все подробности в обширной статье на эту тему, но пока давайте сосредоточимся на трех методах социальной инженерии — независимо от технологических платформ — которые оказались очень успешными для мошенников.

Предложите что-нибудь сладкое. Любой мошенник скажет вам, что самый простой способ обмануть знак — это использовать собственную жадность. Это основа классической нигерийской аферы 419, в которой мошенник пытается убедить жертву помочь вывести якобы незаконно полученные деньги из своей страны в безопасный банк, предлагая взамен часть средств. Эти электронные письма о «нигерийском принце» были шуткой на протяжении десятилетий, но они по-прежнему являются эффективным методом социальной инженерии, на который люди попадают: в 2007 году казначей в малонаселенном округе Мичиган дал 1 доллар.2 миллиона государственных средств такому мошеннику в надежде лично обналичиться. Еще одна распространенная приманка — это перспектива новой, лучшей работы, чего, очевидно, слишком многие из нас хотят: в чрезвычайно досадном взломе 2011 года безопасность Компания RSA была скомпрометирована, когда по крайней мере два сотрудника нижнего уровня открыли прикрепленный к фишинговому письму файл вредоносной программы с именем «2011 recruitment plan.xls».

Подделывайте, пока не сделаете. Один из простейших и, на удивление, самых успешных методов социальной инженерии — это просто притвориться своей жертвой.В одном из легендарных первых случаев мошенничества Кевина Митника он получил доступ к серверам разработки ОС Digital Equipment Corporation, просто позвонив в компанию, назвавшись одним из их ведущих разработчиков и сказав, что у него проблемы со входом в систему; он был немедленно вознагражден новым логином и паролем. Все это произошло в 1979 году, и можно было бы подумать, что с тех пор ситуация улучшится, но вы ошибаетесь: в 2016 году хакер получил контроль над адресом электронной почты Министерства юстиции США и использовал его, чтобы выдать себя за сотрудника, уговаривая службу поддержки, чтобы передать токен доступа к внутренней сети Министерства юстиции, сказав, что это была его первая неделя на работе, и он не знал, как что-то работает.

Во многих организациях есть барьеры, предназначенные для предотвращения такого наглого выдвижения себя за другое лицо, но их часто довольно легко обойти. Когда Hewlett-Packard наняла частных детективов, чтобы выяснить, какие члены совета директоров HP сливали информацию в прессу в 2005 году, они смогли предоставить PI последние четыре цифры номера социального страхования своих жертв, что служба технической поддержки AT&T приняла как подтверждение личности перед передачей подробных журналов вызовов.

Действуйте так, как будто вы главный. Большинство из нас настроено уважать авторитет — или, как оказывается, уважать людей, которые действуют так, будто у них есть полномочия делать то, что они делают. Вы можете использовать разную степень осведомленности о внутренних процессах компании, чтобы убедить людей в том, что вы имеете право быть местами или видеть то, чего не должны, или что сообщение, исходящее от вас, действительно исходит от кого-то, кого они уважают. Например, в 2015 году финансовые сотрудники Ubiquiti Networks переводили миллионы долларов деньгами компании мошенникам, которые выдавали себя за руководителей компании, вероятно, используя похожий URL-адрес в своем адресе электронной почты.Что касается более низкого уровня техники, то следователи, работавшие на британские таблоиды в конце 00-х — начале 10-х годов, часто находили способы получить доступ к учетным записям голосовой почты потерпевших, притворяясь другими сотрудниками телефонной компании с помощью явного блефа; например, один из частных лиц убедил Vodafone сбросить PIN-код голосовой почты актрисы Сиенны Миллер, позвонив и назвавшись «Джоном из отдела кредитного контроля».

Иногда мы выполняем требования внешних властей, не задумываясь об этом. Ведущий кампании Хиллари Клинтон Джон Подеста был взломан российскими шпионами в 2016 году, когда они отправили ему фишинговое письмо, замаскированное под записку от Google с просьбой сбросить пароль.Предприняв действия, которые, по его мнению, обезопасили его учетную запись, он фактически отдал свои учетные данные.

Профилактика социальной инженерии

Тренинги по вопросам безопасности — лучший способ предотвратить социальную инженерию. Сотрудники должны знать, что социальная инженерия существует, и знать наиболее часто используемые тактики.

К счастью, понимание социальной инженерии поддается повествованию. А рассказы намного проще для понимания и намного интереснее, чем объяснения технических недостатков.Викторины, привлекающие внимание или юмористические плакаты также служат эффективным напоминанием о том, что нельзя предполагать, что все являются теми, кем они себя называют.

Но не только рядовой сотрудник должен знать о социальной инженерии. Высшее руководство и руководители являются основными целями предприятия.

5 советов по защите от социальной инженерии

Сотрудник CSO Дэн Лорманн предлагает следующий совет:

1. Тренируйтесь и тренируйтесь снова, когда дело доходит до осведомленности о безопасности.
Убедитесь, что у вас есть комплексная программа обучения навыкам безопасности, которая регулярно обновляется для устранения как общих фишинговых угроз, так и новых целевых киберугроз. Помните, что речь идет не только о переходе по ссылкам.

2. Предоставьте ключевым сотрудникам подробный инструктаж по новейшим методам онлайн-мошенничества.
Да, включая руководителей высшего звена, но не забывайте о тех, кто имеет право осуществлять электронные переводы или другие финансовые операции.Помните, что многие правдивые истории, связанные с мошенничеством, происходят с сотрудниками более низкого уровня, которых обманывают, полагая, что руководитель просит их принять срочные меры — обычно в обход обычных процедур и / или средств контроля.

3. Изучите существующие процессы, процедуры и разделение обязанностей для финансовых переводов и других важных транзакций.
При необходимости добавьте дополнительные элементы управления. Помните, что разделение обязанностей и другие меры защиты могут быть скомпрометированы в какой-то момент внутренними угрозами, поэтому может потребоваться повторный анализ анализа рисков с учетом возросших угроз.

4. Рассмотрите новые политики, связанные с «внешними» транзакциями или срочными запросами руководства.
Электронное письмо из аккаунта Gmail генерального директора должно автоматически поднять красный флаг для сотрудников, но они должны понимать новейшие методы, применяемые темной стороной. Вам нужны санкционированные действия в чрезвычайных ситуациях, которые всем хорошо известны.

5. Изучите, доработайте и протестируйте свои системы управления инцидентами и фишинговых отчетов.
Регулярно проводите настольные учения с руководством и ключевым персоналом.Тестируйте средства управления и перепроектируйте потенциальные области уязвимости.

Инструментарий социальной инженерии

Ряд поставщиков предлагают инструменты или услуги, помогающие проводить упражнения по социальной инженерии и / или повышать осведомленность сотрудников с помощью таких средств, как плакаты и информационные бюллетени.

Также стоит обратить внимание на набор инструментов социальной инженерии social-engineering.org, который можно загрузить бесплатно. Этот инструментарий помогает автоматизировать тестирование на проникновение с помощью социальной инженерии, включая целевые фишинговые атаки, создание легитимных веб-сайтов, атаки с использованием USB-накопителей и многое другое.

Еще один хороший ресурс — Концепция социальной инженерии.

В настоящее время лучшая защита от атак социальной инженерии — это обучение пользователей и уровни технологической защиты, позволяющие лучше обнаруживать атаки и реагировать на них. Обнаружение ключевых слов в электронных письмах или телефонных звонках можно использовать для отсеивания потенциальных атак, но даже эти технологии, вероятно, будут неэффективными в остановке квалифицированных социальных инженеров.

Copyright © 2019 IDG Communications, Inc.

Что такое социальная инженерия? | Определение

Социальная инженерия Определение

Социальная инженерия — это метод манипуляции, который использует человеческий фактор для получения личной информации, доступа или ценностей.В киберпреступности эти мошенничества с «взломом человека», как правило, побуждают ничего не подозревающих пользователей раскрывать данные, распространять вредоносные программы или предоставлять доступ к системам с ограниченным доступом. Атаки могут происходить в Интернете, при личном контакте и при других взаимодействиях.

Мошенничество, основанное на социальной инженерии, строится на том, как люди думают и действуют. Таким образом, атаки социальной инженерии особенно полезны для манипулирования поведением пользователя. Как только злоумышленник понимает, что мотивирует действия пользователя, он может эффективно обмануть пользователя и манипулировать им.

Кроме того, хакеры пытаются использовать незнание пользователя. Благодаря скорости развития технологий многие потребители и сотрудники не подозревают об определенных угрозах, например о косвенных загрузках. Пользователи также могут не осознавать всю ценность личных данных, таких как номер телефона. В результате многие пользователи не знают, как лучше всего защитить себя и свою информацию.

Обычно злоумышленники с социальной инженерией преследуют одну из двух целей:

  1. Саботаж: нарушение или повреждение данных с целью причинения вреда или неудобств.
  2. Кража: Получение ценностей, таких как информация, доступ или деньги.

Это определение социальной инженерии можно расширить, если точно знать, как оно работает.

Как работает социальная инженерия?

Большинство атак социальной инженерии основаны на реальном общении между злоумышленниками и жертвами. Злоумышленник склонен побуждать пользователя к компрометации, а не использовать методы грубой силы для взлома ваших данных.

Цикл атаки дает этим преступникам надежный способ обмануть вас.Шаги для цикла атаки социальной инженерии обычно следующие:

  1. Подготовьте , собрав справочную информацию о вас или более крупной группе, частью которой вы являетесь.
  2. Проникнуть в , установив отношения или инициируя взаимодействие, начавшееся с установления доверия.
  3. Эксплуатировать жертву , как только будет установлено доверие и слабость для продвижения атаки.
  4. Отключите , как только пользователь выполнит желаемое действие.

Этот процесс может происходить в одном электронном письме или в течение нескольких месяцев в серии чатов в социальных сетях. Это может быть даже личное общение. Но в конечном итоге это завершается действием, которое вы предпринимаете, например, делитесь своей информацией или подвергаете себя воздействию вредоносного ПО.

Важно остерегаться социальной инженерии как средства запутывания. Многие сотрудники и потребители не понимают, что всего несколько фрагментов информации могут дать хакерам доступ к нескольким сетям и учетным записям.

Маскируясь под сотрудников службы поддержки ИТ за законных пользователей, они получают ваши личные данные, такие как имя, дату рождения или адрес. Оттуда можно легко сбросить пароли и получить практически неограниченный доступ. Они могут красть деньги, распространять вредоносные программы социальной инженерии и многое другое.

Особенности атак социальной инженерии

Атаки социальной инженерии основаны на использовании злоумышленником убеждения и уверенности. Когда вы столкнетесь с этой тактикой, вы с большей вероятностью предпримете действия, которых в противном случае не стали бы.

Среди большинства атак вы обнаружите, что вас вводят в заблуждение следующим образом:

Повышенные эмоции : Эмоциональные манипуляции дают злоумышленникам преимущество при любом взаимодействии. Вы с большей вероятностью совершите иррациональные или рискованные действия, когда находитесь в усиленном эмоциональном состоянии. Следующие ниже эмоции используются в равной мере, чтобы убедить вас.

  • Страх
  • Волнение
  • Любопытство
  • Гнев
  • Вина
  • Печаль

Срочность: Срочные возможности или просьбы — еще один надежный инструмент в арсенале злоумышленника.У вас может быть мотивация пойти на компромисс под видом серьезной проблемы, требующей немедленного внимания. Кроме того, вы можете получить приз или награду, которая может исчезнуть, если вы не будете действовать быстро. Любой из этих подходов отменяет вашу способность критического мышления.

Доверие: Правдоподобность бесценна и необходима для атаки социальной инженерии. Поскольку злоумышленник в конечном итоге лжет вам, здесь важную роль играет уверенность. Они провели достаточно исследований, чтобы составить повествование, в которое легко поверить и которое вряд ли вызовет подозрения.

Есть некоторые исключения из этих признаков. В некоторых случаях злоумышленники используют более упрощенные методы социальной инженерии для получения доступа к сети или компьютеру. Например, хакер может часто посещать общественный ресторанный дворик в большом офисном здании и заниматься серфингом по плечу пользователей, работающих на своих планшетах или ноутбуках. Это может привести к появлению большого количества паролей и имен пользователей без отправки электронного письма или написания строчки кода вируса.

Теперь, когда вы понимаете основную концепцию, вы, вероятно, задаетесь вопросом: «Что такое атака социальной инженерии и как ее обнаружить?»

Типы атак социальной инженерии

Практически каждый тип атак кибербезопасности содержит какую-либо социальную инженерию.Например, классическая электронная почта и вирусная афера имеют социальную окраску.

Социальная инженерия может воздействовать на вас в цифровом виде не только с настольных устройств, но и с помощью мобильных атак. Однако с такой же легкостью вы можете столкнуться с угрозой лично. Эти атаки могут накладываться друг на друга и накладываться друг на друга, создавая мошенничество.

Вот несколько распространенных методов, используемых злоумышленниками с помощью социальной инженерии:

Фишинговые атаки

Злоумышленники фишинга выдают себя за надежное учреждение или физическое лицо, пытаясь убедить вас раскрыть личные данные и другие ценности.

Атаки с использованием фишинга могут быть нацелены одним из двух способов:

  1. Спам-фишинг, или массовый фишинг — это широко распространенная атака, нацеленная на многих пользователей. Эти атаки не являются персонализированными и пытаются поймать любого ничего не подозревающего человека.
  2. Spear phishing и, соответственно, whaling , используют персонализированную информацию для нацеливания на определенных пользователей. Атаки китобойного промысла нацелены на особо ценные цели, такие как знаменитости, высшее руководство и высокопоставленные государственные чиновники.

Будь то прямое общение или через поддельную форму веб-сайта, все, чем вы делитесь, попадает прямо в карман мошенника. Вас даже могут обмануть, загрузив вредоносное ПО, содержащее следующий этап фишинг-атаки. Каждый из методов, используемых в фишинге, имеет уникальные способы доставки, включая, помимо прочего:

Голосовой фишинг (вишинг) телефонных звонков могут быть автоматизированными системами сообщений, записывающими все ваши входные данные. Иногда живой человек может поговорить с вами, чтобы повысить доверие и срочность.

SMS-фишинг (смайлинг) текстовые сообщения или сообщения мобильного приложения могут содержать веб-ссылку или запрос на дальнейшие действия через мошенническое сообщение электронной почты или номер телефона.

Электронный фишинг — самый традиционный способ фишинга, использующий электронное письмо с призывом ответить или принять дальнейшие меры другими способами. Можно использовать веб-ссылки, номера телефонов или вложения вредоносных программ.

Angler phishing имеет место в социальных сетях, где злоумышленник имитирует службу поддержки клиентов надежной компании.Они перехватывают ваше общение с брендом, чтобы перехватить и перенаправить ваш разговор в личные сообщения, где затем продвигают атаку.

Фишинг поисковой системы пытается разместить ссылки на поддельные веб-сайты в верхней части результатов поиска. Это может быть платная реклама или использование законных методов оптимизации для манипулирования рейтингом в поисковой сети.

URL-фишинг ссылок соблазняют вас перейти на фишинговые сайты. Эти ссылки обычно доставляются в электронных письмах, текстах, сообщениях в социальных сетях и онлайн-рекламе.Атаки скрывают ссылки в тексте или кнопках с гиперссылками, используя инструменты сокращения ссылок, или обманчиво написанные URL-адреса.

Фишинг во время сеанса отображается как прерывание вашего обычного просмотра веб-страниц. Например, вы можете видеть всплывающие окна с фальшивым логином для страниц, которые вы сейчас посещаете.

Приманка к атаке

Приманка злоупотребляет вашим естественным любопытством, чтобы вынудить вас раскрыться перед злоумышленником. Как правило, возможность чего-то бесплатного или эксклюзивного — это манипуляции, используемые для вашей эксплуатации.Атака обычно связана с заражением вас вредоносным ПО.

Популярные методы травли включают:

  • USB-накопители, оставленные в общественных местах, например, в библиотеках и на парковках.
  • Вложения электронной почты, включая подробную информацию о бесплатном предложении или мошенническом бесплатном программном обеспечении.

Физические взломы

Физические взломы включают злоумышленников, которые появляются лично, выдавая себя за кого-то законного, чтобы получить доступ к неавторизованным областям или информации.

Атаки такого рода наиболее распространены в корпоративных средах, таких как правительства, предприятия или другие организации. Злоумышленники могут выдать себя за представителя известного поставщика, которому доверяют. Некоторые злоумышленники могут быть даже недавно уволенными сотрудниками из-за мести своему бывшему работодателю.

Они скрывают свою личность, но достаточно правдоподобны, чтобы избежать вопросов. Это требует небольшого исследования со стороны злоумышленника и сопряжено с высоким риском. Итак, если кто-то пытается использовать этот метод, он обнаружил явный потенциал для очень ценной награды в случае успеха.

Pretexting Attacks

Pretexting использует обманчивую личность в качестве «предлога» для установления доверия, такого как прямое выдвижение себя за продавца или сотрудника предприятия. Такой подход требует от злоумышленника более активного взаимодействия с вами. Эксплойт следует, как только они убедят вас, что они законны.

Атаки с перехватом доступа

Перекрытие с кодом или совмещение — это процесс слежки за авторизованным сотрудником в зоне с ограниченным доступом.Злоумышленники могут проявить вежливость, чтобы заставить вас придержать за них дверь или убедить вас, что они также имеют право находиться в этом районе. Претекст также может сыграть роль.

Quid Pro Quo Attacks

Quid pro quo — это термин, примерно означающий «услуга за услугу», что в контексте фишинга означает обмен вашей личной информации на вознаграждение или другую компенсацию. Подарки или предложения принять участие в исследованиях могут подвергнуть вас атаке такого типа.

Эксплуатация заключается в том, чтобы вдохновить вас на что-то ценное, что требует небольших вложений с вашей стороны. Однако злоумышленник просто забирает ваши данные без какого-либо вознаграждения для вас.

Атаки с использованием спуфинга DNS и отравления кеша

Спуфинг DNS манипулирует вашим браузером и веб-серверами для перехода на вредоносные веб-сайты, когда вы вводите законный URL. После заражения этим эксплойтом перенаправление продолжится до тех пор, пока из задействованных систем не будут удалены неточные данные маршрутизации.

Атаки с отравлением кэша DNS специально заражают ваше устройство инструкциями по маршрутизации для законного URL-адреса или нескольких URL-адресов для подключения к мошенническим веб-сайтам.

Scareware Attacks

Scareware — это разновидность вредоносного ПО, используемого для запугивания вас и побуждающего к действию. Это обманчивое вредоносное ПО использует тревожные предупреждения, в которых сообщается о поддельном заражении вредоносным ПО или утверждается, что одна из ваших учетных записей была взломана.

В результате scareware подталкивает вас покупать мошенническое программное обеспечение для обеспечения кибербезопасности или разглашать личные данные, такие как учетные данные вашей учетной записи.

Атаки Watering Hole

Атаки Watering Hole заражают популярные веб-страницы вредоносными программами, поражая одновременно множество пользователей. От злоумышленника требуется тщательное планирование, чтобы найти слабые места на определенных сайтах. Они ищут существующие уязвимости, которые не известны и не исправлены — такими уязвимостями считаются эксплойтов нулевого дня .

В других случаях они могут обнаружить, что сайт не обновил свою инфраструктуру для устранения известных проблем. Владельцы веб-сайтов могут отложить обновление программного обеспечения, чтобы версии программного обеспечения, которые, как им известно, оставались стабильными.Они будут заменены, как только более новая версия будет подтверждена стабильностью системы. Хакеры злоупотребляют этим поведением для нацеливания на недавно исправленные уязвимости.

Необычные методы социальной инженерии

В некоторых случаях киберпреступники использовали сложные методы для завершения своих кибератак, в том числе:

  • Фишинг по факсу: Когда клиенты одного банка получили поддельное электронное письмо, которое якобы было отправлено банком — просить клиента подтвердить свои коды доступа — метод подтверждения был не через обычные маршруты электронной почты / Интернета.Вместо этого клиента попросили распечатать форму в электронном письме, затем заполнить свои данные и отправить форму по факсу на номер телефона киберпреступника.
  • Традиционное распространение вредоносного ПО по почте: В Японии киберпреступники использовали службу доставки на дом для распространения компакт-дисков, зараженных троянскими шпионскими программами. Диски доставлены клиентам японского банка. Адреса клиентов ранее были украдены из базы данных банка.

Примеры атак социальной инженерии

Атаки вредоносного ПО заслуживают особого внимания, поскольку они распространены и имеют длительные последствия.

Когда создатели вредоносных программ используют методы социальной инженерии, они могут соблазнить неосторожного пользователя запустить зараженный файл или открыть ссылку на зараженный веб-сайт. Многие почтовые черви и другие вредоносные программы используют эти методы. Без комплексного программного обеспечения безопасности для мобильных и настольных устройств вы, скорее всего, подвергнете себя заражению.

Атаки червя

Киберпреступник стремится привлечь внимание пользователя к ссылке или зараженному файлу, а затем заставить пользователя щелкнуть по ней.

Примеры атак этого типа включают:

  • Червь LoveLetter , который в 2000 году перегрузил почтовые серверы многих компаний. Жертвы получили электронное письмо, в котором им предлагалось открыть прикрепленное любовное письмо. Когда они открыли прикрепленный файл, червь скопировал себя на все контакты в адресной книге жертвы. Этот червь до сих пор считается одним из самых разрушительных с точки зрения нанесенного им финансового ущерба.
  • Электронный червь Mydoom , появившийся в Интернете в январе 2004 года, использовал тексты, имитирующие технические сообщения, отправляемые почтовым сервером.
  • Червь Swen выдавал себя за сообщение, отправленное от Microsoft. Он утверждал, что вложение представляет собой патч, который устраняет уязвимости Windows. Неудивительно, что многие люди серьезно отнеслись к этому заявлению и попытались установить фиктивную заплатку безопасности, хотя на самом деле это был червь.

Каналы доставки ссылок на вредоносное ПО

Ссылки на зараженные сайты могут быть отправлены по электронной почте, ICQ и другим системам обмена мгновенными сообщениями — или даже через Интернет-чаты IRC.Мобильные вирусы часто доставляются посредством SMS-сообщений.

Какой бы метод доставки ни использовался, сообщение обычно будет содержать привлекательные или интригующие слова, которые побуждают ничего не подозревающего пользователя щелкнуть ссылку. Этот метод проникновения в систему может позволить вредоносной программе обойти антивирусные фильтры почтового сервера.

Одноранговые (P2P) сетевые атаки

Сети P2P также используются для распространения вредоносных программ. Червь или троянский вирус появится в сети P2P, но будет назван так, чтобы привлечь внимание и побудить пользователей загрузить и запустить файл.Например:

  • AIM & AOL Password Hacker.exe
  • Microsoft CD Key Generator.exe
  • PornStar3D.exe
  • Эмулятор Play Station crack.exe

Пристыдить зараженных пользователей, не сообщающих об атаке

В некоторых случаях , создатели и распространители вредоносных программ принимают меры, которые снижают вероятность того, что жертвы сообщат о заражении:

Жертвы могут ответить на поддельное предложение бесплатной утилиты или руководства, обещающего незаконные выгоды, например:

  • Бесплатный доступ в Интернет или мобильную связь.
  • Возможность скачать генератор номеров кредитных карт.
  • Способ увеличения баланса онлайн-счета жертвы.

В этих случаях, когда загрузка оказывается троянским вирусом, жертва старается избегать раскрытия своих собственных незаконных намерений. Следовательно, жертва, вероятно, не будет сообщать о заражении в правоохранительные органы.

В качестве примера этого метода троянский вирус однажды был отправлен на адреса электронной почты, которые были взяты с веб-сайта по найму.Люди, которые зарегистрировались на сайте, получали поддельные предложения о работе, но в предложениях содержался троянский вирус. Атака в основном была направлена ​​на корпоративные адреса электронной почты. Киберпреступники знали, что сотрудники, получившие троян, не захотят сообщать своим работодателям о том, что они были заражены, пока они ищут альтернативную работу.

Как обнаруживать атаки социальной инженерии

Защита от социальной инженерии требует от вас практики самосознания. Всегда замедляйтесь и думайте, прежде чем что-либо делать или отвечать.

Злоумышленники ожидают, что вы примете меры, прежде чем рассматривать риски, а это значит, что вам следует сделать обратное. Чтобы помочь вам, вот несколько вопросов, которые нужно задать себе, если вы подозреваете нападение:

  • Мои эмоции усилились? Когда вы особенно любопытны, напуганы или взволнованы, вы с меньшей вероятностью оцените последствия своих действий. Фактически, вы, вероятно, не будете рассматривать правомерность представленной вам ситуации. Считайте это красным флажком, если ваше эмоциональное состояние повышено.
  • Это сообщение пришло от законного отправителя? Тщательно проверяйте адреса электронной почты и профили в социальных сетях при получении подозрительного сообщения. Могут быть символы, имитирующие другие, например «[email protected]» вместо «[email protected]». Также распространены поддельные профили в социальных сетях, которые дублируют фотографию вашего друга и другие детали.
  • Мой друг действительно отправил мне это сообщение? Всегда полезно спросить отправителя, были ли они истинными отправителями рассматриваемого сообщения.Был ли это ваш коллега или другой человек в вашей жизни, спросите его лично или по телефону, если это возможно. Они могут быть взломаны и не знать, или кто-то может выдавать себя за их учетные записи.
  • Есть ли странные сведения о веб-сайте, на котором я работаю? Нарушения в URL-адресе, низкое качество изображения, старые или неправильные логотипы компании и опечатки на веб-страницах могут быть тревожным сигналом мошенничества на веб-сайте. Если вы зашли на поддельный веб-сайт, обязательно немедленно покиньте его.
  • Звучит слишком хорошо, чтобы быть правдой? В случае бесплатных раздач или других методов таргетинга предложения являются сильной мотивацией для продвижения атаки социальной инженерии.Вы должны подумать, почему кто-то предлагает вам что-то ценное за небольшую выгоду с их стороны. Всегда будьте осторожны, потому что даже базовые данные, такие как ваш адрес электронной почты, могут быть собраны и проданы сомнительным рекламодателям.
  • Вложения или ссылки подозрительны? Если ссылка или имя файла в сообщении выглядят нечетко или нечетко, проверьте подлинность всего сообщения. Кроме того, подумайте, не было ли само сообщение отправлено в нечетном контексте, в какое-то время или вызывает какие-либо другие красные флажки.
  • Может ли этот человек подтвердить свою личность? Если вы не можете заставить этого человека подтвердить свою личность в организации, которую он утверждает, что является частью, не позволяйте ему доступ, о котором они просят.Это применимо как при личном общении, так и в Интернете, поскольку для физических нарушений необходимо не обращать внимания на личность злоумышленника.

Как предотвратить атаки социальной инженерии

Помимо обнаружения атаки, вы также можете заранее позаботиться о своей конфиденциальности и безопасности. Знание того, как предотвратить атаки социальной инженерии, невероятно важно для всех пользователей мобильных устройств и компьютеров.

Вот несколько важных способов защиты от всех типов кибератак:

Привычки безопасного общения и управления учетной записью

Общение в Интернете — это то место, где вы особенно уязвимы.Социальные сети, электронная почта, текстовые сообщения — общие цели, но вы также захотите учитывать личное общение.

Никогда не переходите по ссылкам в электронных письмах и сообщениях . Вам нужно всегда вручную вводить URL-адрес в адресную строку, независимо от отправителя. Тем не менее, сделайте дополнительный шаг в поисках официальной версии рассматриваемого URL-адреса. Никогда не используйте какой-либо URL-адрес, который вы не подтвердили как официальный или законный.

Использовать многофакторную аутентификацию.Учетные записи Online намного безопаснее, если для их защиты используется не только пароль. Многофакторная аутентификация добавляет дополнительные уровни для проверки вашей личности при входе в учетную запись. Эти «факторы» могут включать биометрические данные, такие как отпечаток пальца или распознавание лица, или временные коды доступа, отправленные в текстовом сообщении.

Используйте надежные пароли (и менеджер паролей). Каждый из ваших паролей должен быть уникальным и сложным. Старайтесь использовать разные типы символов, включая прописные буквы, числа и символы.Кроме того, вы, вероятно, захотите по возможности использовать более длинные пароли. Чтобы помочь вам управлять всеми своими пользовательскими паролями, вы можете использовать диспетчер паролей для безопасного хранения и запоминания их.

Не сообщайте названия вашей школы, домашних животных, места рождения или другие личные данные. Вы можете неосознанно раскрывать ответы на свои секретные вопросы или части своего пароля. Если вы настроите свои контрольные вопросы, чтобы они были запоминающимися, но неточными, то преступнику будет сложнее взломать ваш аккаунт.Если бы вашей первой машиной была «Тойота», написание лжи, как «машина клоуна», могло бы полностью отбросить любопытных хакеров.

Будьте очень осторожны, завязывая дружеские отношения только через Интернет. Хотя Интернет может быть отличным способом связи с людьми во всем мире, это распространенный метод атак социальной инженерии. Следите за сообщениями и красными флажками, указывающими на манипуляции или явное злоупотребление доверием.

Привычки безопасного использования сети

Взломанные онлайн-сети могут быть еще одной уязвимой точкой, используемой для фоновых исследований.Чтобы ваши данные не использовались против вас, примите меры защиты для любой сети, к которой вы подключены.

Никогда не позволяйте посторонним подключаться к вашей основной сети Wi-Fi. Дома или на работе должен быть доступен гостевой доступ к Wi-Fi. Это позволяет вашему основному зашифрованному и защищенному паролем соединению оставаться безопасным и защищенным от перехвата. Если кто-то решит «подслушать» информацию, он не сможет получить доступ к действиям, которые вы и другие люди хотели бы сохранить в тайне.

Используйте VPN . В случае, если кто-то в вашей основной сети — проводной, беспроводной или даже сотовой — найдет способ перехватить трафик, виртуальная частная сеть (VPN) может не допустить его. VPN — это сервисы, которые предоставляют вам частный зашифрованный «туннель» для любого используемого вами интернет-соединения. Ваше соединение не только защищено от посторонних глаз, но и ваши данные анонимны, поэтому их нельзя отследить до вас с помощью файлов cookie или других средств.

Обеспечьте безопасность всех подключенных к сети устройств и служб. Многие люди знают о методах интернет-безопасности для мобильных и традиционных компьютерных устройств. Однако не менее важна защита самой сети, а также всех ваших интеллектуальных устройств и облачных сервисов. Обязательно защитите устройства, на которые часто не обращают внимания, например, автомобильные информационно-развлекательные системы и домашние сетевые маршрутизаторы. Нарушение данных на этих устройствах может способствовать персонализации мошенничества с использованием социальной инженерии.

Привычки безопасного использования устройств

Сохранение самих устройств так же важно, как и все другие виды вашего цифрового поведения.Защитите свой мобильный телефон, планшет и другие компьютерные устройства с помощью следующих советов:

Используйте комплексное программное обеспечение для обеспечения безопасности в Интернете. В случае успеха социальной тактики заражение вредоносным ПО становится обычным явлением. Для борьбы с руткитами, троянами и другими ботами критически важно использовать высококачественное решение для обеспечения безопасности в Интернете, которое может как устранить заражение, так и помочь отследить их источник.

Никогда не оставляйте свои устройства незащищенными в общественных местах. Всегда блокируйте компьютер и мобильные устройства, особенно на работе.При использовании устройств в общественных местах, таких как аэропорты и кафе, всегда держите их при себе.

Обновляйте все свое программное обеспечение, как только оно станет доступным. Немедленные обновления содержат важные исправления безопасности для вашего программного обеспечения. Когда вы пропускаете или откладываете обновления своей операционной системы или приложений, вы оставляете известные дыры в безопасности открытыми для хакеров. Поскольку они знают, что это поведение многих пользователей компьютеров и мобильных устройств, вы становитесь главной целью атак вредоносного ПО, созданного с помощью социальной инженерии.

Проверьте наличие известных утечек данных в ваших учетных записях в Интернете. Сервисы, такие как Kaspersky Security Cloud, активно отслеживают новые и существующие утечки данных для ваших адресов электронной почты. Если ваши аккаунты попадают в состав скомпрометированных данных, вы получите уведомление с советами о том, как действовать.

Защита от социальной инженерии начинается с образования. Если все пользователи будут осведомлены об угрозах, наша безопасность как коллективного общества улучшится. Обязательно повышайте осведомленность об этих рисках, рассказывая о том, что вы узнали, своим коллегам, семье и друзьям.

Статьи по теме:

Что такое социальная инженерия | Методы атак и способы предотвращения

Что такое социальная инженерия

Социальная инженерия — это термин, используемый для обозначения широкого спектра злонамеренных действий, совершаемых посредством взаимодействия с людьми. Он использует психологические манипуляции, чтобы обмануть пользователей, чтобы они совершили ошибки безопасности или разгласили конфиденциальную информацию.

Атаки социальной инженерии происходят в один или несколько этапов.Преступник сначала исследует предполагаемую жертву, чтобы собрать необходимую справочную информацию, такую ​​как потенциальные точки проникновения и слабые протоколы безопасности, необходимые для продолжения атаки. Затем злоумышленник пытается завоевать доверие жертвы и предоставить стимулы для последующих действий, нарушающих методы безопасности, таких как раскрытие конфиденциальной информации или предоставление доступа к критически важным ресурсам.

Жизненный цикл атаки социальной инженерии

Что делает социальную инженерию особенно опасной, так это то, что она основана на человеческой ошибке, а не на уязвимостях программного обеспечения и операционных систем.Ошибки, допущенные законными пользователями, гораздо менее предсказуемы, что затрудняет их выявление и предотвращение, чем вторжение, основанное на вредоносном ПО.

Атаки социальной инженерии

Атаки социальной инженерии принимают множество различных форм и могут выполняться в любом месте, где задействовано человеческое взаимодействие. Ниже приведены пять наиболее распространенных форм атак цифровой социальной инженерии.

Наживка

Как следует из названия, в атаках с применением травли используется ложное обещание, чтобы разжечь жадность или любопытство жертвы.Они заманивают пользователей в ловушку, которая крадет их личную информацию или заражает их системы вредоносным ПО.

Самая оскорбительная форма травли использует физические носители для распространения вредоносных программ. Например, злоумышленники оставляют приманку — обычно флэш-накопители, зараженные вредоносным ПО, — в заметных местах, где потенциальные жертвы наверняка их увидят (например, ванные комнаты, лифты, парковка целевой компании). Приманка имеет аутентичный вид, например, этикетку, на которой она изображена как ведомость заработной платы компании.

Жертвы из любопытства выбирают наживку и вставляют ее в рабочий или домашний компьютер, в результате чего в системе автоматически устанавливается вредоносное ПО.

Мошенничество с приманкой не обязательно должно осуществляться в физическом мире. Онлайн-формы приманки включают в себя привлекательную рекламу, которая ведет на вредоносные сайты или побуждает пользователей загрузить приложение, зараженное вредоносным ПО.

Пугающее ПО

Scareware включает в себя бомбардировку жертв ложными тревогами и вымышленными угрозами.Пользователи обманываются, думая, что их система заражена вредоносным ПО, предлагая им установить программное обеспечение, которое не имеет реальной пользы (кроме как для злоумышленника) или само является вредоносным ПО. Scareware также называют программным обеспечением для обмана, мошенническим программным обеспечением для сканирования и мошенническим программным обеспечением.

Типичный пример пугающего ПО — это нормально выглядящие всплывающие баннеры, которые появляются в вашем браузере во время просмотра веб-страниц и содержат такой текст, как «Ваш компьютер может быть заражен вредоносными программами-шпионами». Он либо предлагает вам установить инструмент (часто зараженный вредоносным ПО), либо перенаправляет вас на вредоносный сайт, где заражается ваш компьютер.

Scareware также распространяется через спам-электронную почту, которая рассылает ложные предупреждения или предлагает пользователям покупать бесполезные / вредные услуги.

Предварительный текст

Здесь злоумышленник получает информацию с помощью серии искусно созданной лжи. Мошенничество часто инициируется злоумышленником, который притворяется, что ему нужна конфиденциальная информация от жертвы для выполнения важной задачи.

Злоумышленник обычно начинает с установления доверия со своей жертвой, выдавая себя за коллег, сотрудников полиции, банка, налоговых органов или других лиц, обладающих правом знать.Заявитель задает вопросы, которые якобы необходимы для подтверждения личности жертвы, с помощью которых они собирают важные личные данные.

С помощью этого мошенничества собирается всевозможная соответствующая информация и записи, такие как номера социального страхования, личные адреса и номера телефонов, записи телефонных разговоров, даты отпусков сотрудников, банковские записи и даже информация о безопасности, относящаяся к физическому объекту.

Фишинг

Как один из самых популярных типов атак социальной инженерии, фишинговые мошенничества представляют собой кампании по электронной почте и текстовым сообщениям, направленные на создание у жертв чувства срочности, любопытства или страха.Затем он побуждает их раскрыть конфиденциальную информацию, щелкнуть ссылки на вредоносные веб-сайты или открыть вложения, содержащие вредоносное ПО.

Примером может служить электронное письмо, отправленное пользователям онлайн-службы, которое предупреждает их о нарушении политики, требующем немедленных действий с их стороны, таких как требуемая смена пароля. Он включает ссылку на незаконный веб-сайт — почти идентичный по внешнему виду его законной версии — предлагая ничего не подозревающему пользователю ввести свои текущие учетные данные и новый пароль.После отправки формы информация отправляется злоумышленнику.

Учитывая, что идентичные или почти идентичные сообщения отправляются всем пользователям в фишинговых кампаниях, их обнаружение и блокировка намного проще для почтовых серверов, имеющих доступ к платформам обмена угрозами.

Копирование фишинга

Это более адресная версия фишингового мошенничества, при котором злоумышленник выбирает конкретных лиц или предприятия. Затем они адаптируют свои сообщения на основе характеристик, должностей и контактов, принадлежащих их жертвам, чтобы сделать их атаку менее заметной.Целевой фишинг требует гораздо больших усилий со стороны злоумышленника и может занять недели и месяцы. Их гораздо труднее обнаружить, и они имеют больше шансов на успех, если делать это умело.

Сценарий целевого фишинга может включать злоумышленника, который, выдавая себя за ИТ-консультанта организации, отправляет электронное письмо одному или нескольким сотрудникам. Он сформулирован и подписан точно так же, как обычно делает консультант, тем самым вводя получателей в заблуждение, заставляя думать, что это подлинное сообщение. В сообщении получателям предлагается сменить пароль и предоставляется ссылка, которая перенаправляет их на вредоносную страницу, где злоумышленник теперь перехватывает их учетные данные.

Узнайте, как Imperva Web Application Firewall может помочь вам в борьбе с атаками социальной инженерии.

Профилактика социальной инженерии

Социальные инженеры манипулируют человеческими чувствами, такими как любопытство или страх, чтобы реализовать планы и заманить жертв в их ловушки. Поэтому будьте осторожны, когда вы чувствуете тревогу из-за электронного письма, вас привлекает предложение, отображаемое на веб-сайте, или когда вы сталкиваетесь с лежащими случайными цифровыми медиа.Бдительность может помочь вам защитить себя от большинства атак социальной инженерии, происходящих в цифровой сфере.

Более того, следующие советы могут помочь вам улучшить вашу бдительность в отношении взломов социальной инженерии.

  • Не открывайте электронные письма и вложения из подозрительных источников — Если вы не знаете отправителя, о котором идет речь, вам не нужно отвечать на электронное письмо. Даже если вы их знаете и с подозрением относитесь к их сообщениям, перепроверяйте и подтверждайте новости из других источников, например, по телефону или непосредственно с сайта поставщика услуг.Помните, что адреса электронной почты постоянно подделываются; даже электронное письмо, предположительно пришедшее из надежного источника, могло быть фактически инициировано злоумышленником.
  • Использовать многофакторную аутентификацию — Одной из наиболее ценных частей информации, которую ищут злоумышленники, являются учетные данные пользователя. Использование многофакторной аутентификации помогает обеспечить защиту вашей учетной записи в случае взлома системы. Imperva Login Protect — это простое в развертывании решение 2FA, которое может повысить безопасность учетных записей для ваших приложений.
  • Остерегайтесь соблазнительных предложений — Если предложение звучит слишком заманчиво, дважды подумайте, прежде чем принять его как факт. Поиск в Google по теме может помочь вам быстро определить, имеете ли вы дело с законным предложением или ловушкой.
  • Регулярно обновляйте антивирусное / антивредоносное программное обеспечение. — Убедитесь, что включены автоматические обновления, или возьмите за привычку загружать последние сигнатуры в первую очередь каждый день. Периодически проверяйте, установлены ли обновления, и проверяйте свою систему на наличие возможных инфекций.

9 примеров атак социальной инженерии

Примеры социальной инженерии варьируются от фишинговых атак, при которых жертвы обманом заставляют предоставить конфиденциальную информацию, до атак вишинга, когда срочно и официально звучащая голосовая почта убеждает жертв действовать быстро или терпеть серьезные последствия, или физические атаки с опозданием. которые полагаются на доверие для получения физического доступа к зданию.

Девять наиболее распространенных примеров социальной инженерии:

  1. Фишинг : тактика включает вводящие в заблуждение электронные письма, веб-сайты и текстовые сообщения для кражи информации.
  2. Spear Phishing : электронная почта используется для проведения целевых атак против частных лиц или предприятий.
  3. Baiting : онлайн-атака с применением физической социальной инженерии, которая обещает жертве вознаграждение.
  4. Вредоносное ПО : жертв обманывают, заставляя поверить, что на их компьютер установлено вредоносное ПО и что, если они заплатят, вредоносное ПО будет удалено.
  5. Pretexting : использует фальшивую личность, чтобы обмануть жертв, чтобы они отказались от информации.
  6. Quid Pro Quo : полагается на обмен информацией или услугами, чтобы убедить жертву действовать.
  7. Tailgating : полагается на человеческое доверие, чтобы предоставить преступнику физический доступ к безопасному зданию или территории.
  8. Вишинг : срочные голосовые сообщения убеждают жертв, что им необходимо действовать быстро, чтобы защитить себя от ареста или других рисков.
  9. Water-Holing : продвинутая атака социальной инженерии, которая заражает как веб-сайт, так и его посетителей вредоносными программами.

Эти методы социальной инженерии объединяет человеческий фактор. Киберпреступники знают, что использование человеческих эмоций — лучший способ воровства.

Традиционно компании сосредотачивались на технических аспектах кибербезопасности, но теперь пришло время применить ориентированный на людей подход к осведомленности о кибербезопасности.

Как происходит социальная инженерия?

Социальная инженерия происходит из-за человеческого инстинкта доверия.Киберпреступники узнали, что тщательно сформулированное электронное письмо, голосовая почта или текстовое сообщение может убедить людей перевести деньги, предоставить конфиденциальную информацию или загрузить файл, устанавливающий вредоносное ПО в сети компании.

Рассмотрим пример целевого фишинга, который убедил сотрудника перевести 500 000 долларов иностранному инвестору:

  1. Благодаря тщательному исследованию целевого фишинга киберпреступник знает, что генеральный директор компании путешествует.
  2. Сотруднику компании отправлено электронное письмо, которое выглядит так, как будто оно пришло от генерального директора.В адресе электронной почты есть небольшое несоответствие, но имя генерального директора написано правильно.
  3. В электронном письме сотрудника просят помочь генеральному директору, переведя 500 000 долларов новому иностранному инвестору. В письме используется срочный, но дружелюбный язык, который убеждает сотрудника в том, что он будет помогать и генеральному директору, и компании.
  4. В электронном письме подчеркивается, что генеральный директор сделает этот перевод самостоятельно, но, поскольку она находится в командировке, она не может осуществить перевод средств вовремя, чтобы обеспечить партнерство с иностранными инвестициями.
  5. Не уточняя детали, сотрудник решает действовать. Он искренне верит, что помогает генеральному директору, компании и его коллегам, выполняя запрос по электронной почте.
  6. Через несколько дней пострадавший сотрудник, генеральный директор и коллеги по компании понимают, что они стали жертвой атаки социальной инженерии и потеряли 500 000 долларов.

Примеры атак социальной инженерии

Опытные киберпреступники знают, что социальная инженерия лучше всего работает, когда в центре внимания находятся человеческие эмоции и риск.Воспользоваться человеческими эмоциями намного проще, чем взломать сеть или найти уязвимости в системе безопасности.

Эти примеры социальной инженерии подчеркивают, как эмоции используются для совершения кибератак:

Страх

Вы получаете голосовое сообщение о том, что в отношении вас ведется расследование по факту налогового мошенничества и что вы должны немедленно позвонить, чтобы предотвратить арест и уголовное расследование. Эта атака социальной инженерии происходит во время налогового сезона, когда люди уже обеспокоены своими налогами.Киберпреступники питаются стрессом и тревогой, возникающими при подаче налоговой декларации, и используют эти эмоции страха, чтобы заставить людей подчиняться голосовой почте.

Жадность

Представьте, если бы вы могли просто перевести 10 долларов инвестору и увидеть, как он вырастет до 10 000 долларов без каких-либо усилий с вашей стороны? Киберпреступники используют основные человеческие эмоции доверия и жадности, чтобы убедить жертв в том, что они действительно могут получить что-то даром. В тщательно сформулированном электронном письме жертвам предлагается предоставить информацию о своем банковском счете, и средства будут переведены в тот же день.

Любопытство

Киберпреступники обращают внимание на события, которые привлекают много внимания в новостях, а затем используют человеческое любопытство, чтобы заставить жертв социальной инженерии действовать. Например, после второй авиакатастрофы Boeing MAX8 киберпреступники отправили электронные письма с вложениями, в которых утверждалось, что в них содержатся утекшие данные об авиакатастрофе. На самом деле приставка установила на компьютер жертвы версию Hworm RAT.

Полезность

Люди хотят доверять друг другу и помогать друг другу.Проведя исследование компании, киберпреступники атакуют двух или трех сотрудников компании с помощью электронного письма, которое выглядит так, как будто оно исходит от менеджера целевого лица. В электронном письме их просят отправить менеджеру пароль для базы данных бухгалтерского учета, подчеркивая, что он нужен менеджеру, чтобы гарантировать своевременную оплату. Электронная почта носит срочный характер, заставляя жертв поверить в то, что они помогают своему менеджеру, действуя быстро.

Срочно

Вы получаете электронное письмо от службы поддержки на веб-сайте интернет-магазинов, который вы часто покупаете, с сообщением о том, что им необходимо подтвердить данные вашей кредитной карты для защиты вашей учетной записи.Язык электронной почты побуждает вас быстро ответить, чтобы гарантировать, что данные вашей кредитной карты не будут украдены преступниками. Недолго думая и доверяя интернет-магазину, вы отправляете не только данные своей кредитной карты, но также свой почтовый адрес и номер телефона. Через несколько дней вам позвонят из компании, выпускающей кредитные карты, и вам сообщат, что ваша кредитная карта была украдена и использована для совершения мошеннических покупок на тысячи долларов.

Загрузите подробное руководство по обеспечению безопасности, ориентированной на людей, чтобы узнать, как сосредоточение внимания на человеческих эмоциях и рисках может привить в вашей организации культуру безопасности, которая защищает от атак социальной инженерии.


Белая книга

— Как защитить данные от социальной инженерии

Узнайте, как обнаруживать распространенные тактики социальной инженерии и угрозы и защищать конфиденциальные данные от киберпреступников.

Как защититься от социальной инженерии

«Люди влияют на результаты безопасности больше, чем технологии, политики или процессы. Рынок компьютерного обучения осведомленности в вопросах безопасности (CBT) основан на осознании того, что без совершенных систем защиты кибербезопасности люди играют критически важную роль в общей безопасности и оценке рисков организации.Эта роль определяется присущими им сильными и слабыми сторонами: способностью людей учиться и их уязвимостью перед ошибками, эксплуатацией и манипуляциями. Образование и обучение в области безопасности, ориентированные на конечных пользователей, — это быстрорастущий рынок. Спрос подогревается потребностями руководителей служб безопасности и управления рисками (SRM), чтобы помочь влиять на поведение, которое влияет на безопасность сотрудников, граждан и потребителей ».

( Gartner Magic Quadrant for Security Awareness Computer-Based Training, Joanna Huisman, 18 июля 2019 г.)

Для защиты от атак социальной инженерии необходимо сосредоточиться на изменении поведения.Когда сотрудники компании понимают, насколько легко быть обманутыми или обманутыми с помощью атаки социальной инженерии, они с большей вероятностью проявят бдительность и с подозрением относятся к электронным письмам, голосовым сообщениям, текстовым сообщениям или другим подходам кибератак.

Изменить человеческое поведение непросто и не происходит в одночасье. Мы знаем из личного опыта, что лучший способ привить культуру осведомленности о кибербезопасности и создать внутренних кибергероев — это ориентированный на людей подход к обучению осведомленности о безопасности.

Для эффективной защиты вашей компании от социальной инженерии необходимо сосредоточить внимание на пяти элементах, ориентированных на человека, в качестве основы для обучения по вопросам безопасности:

  1. Высококачественный контент : привлекает пользователей и предоставляет программу обучения, которая находит отклик и меняет поведение.
  2. Персонализированные кампании : предоставляйте контент, к которому сотрудники могут относиться и применять в своей повседневной жизни.
  3. Сотрудничающий партнер : работайте с партнером, который использует консультативный подход, чтобы понять ваши уникальные потребности в реализации специальной программы повышения осведомленности о безопасности, разработанной специально для вашей организации.
  4. 5-этапная структура осведомленности о безопасности : программа обучения и повышения осведомленности, основанная на проверенном методологическом подходе к обучению и изменению поведения.
  5. Осведомленность о безопасности как услуга : обеспечивает гибкость и поддержку для эффективного развертывания, измерения и отчетности о результатах моделирования фишинга, обучения осведомленности и прозрачности кампании.

Как защитить себя от социальной инженерии

Чтобы оставаться защищенным от атак социальной инженерии, важно осознавать силу эго. Каждый из нас хочет верить, что нас никогда не обманут или обманут с помощью фишинговых электронных писем или других атак социальной инженерии.Однако, как мы знаем, киберпреступники полагаются на все аспекты человеческих эмоций и природы, чтобы искусно обмануть и заставить людей действовать.

Люди действительно понимают, как работает социальная инженерия, только имея личный опыт фишинга или нарушения со стороны другого подхода социальной инженерии. Используя ориентированный на людей подход к обучению по вопросам безопасности, в котором используются симуляции фишинга, интересный и актуальный контент, а также понимание человеческой природы — вы можете оставаться защищенными от социальной инженерии.

Что такое социальная инженерия? Определено и исследовано

Ландшафт угроз постоянно меняется, но на момент написания некоторые из наиболее распространенных методов социальной инженерии включают:

Фишинговые атаки — Этот метод включает рассылку электронной почты широкой аудитории, которая либо подделывает законный адрес электронной почты, либо содержит то, что выглядит как законная информация компании, с целью манипулирования людьми с целью раскрытия паролей и других личных данных.

Целевой фишинг — там, где методы фишинга нацелены на большое количество получателей с целью привлечь укус, целевой фишинг нацелен на конкретную организацию или отдельного человека. Например, злоумышленники могут подделать адрес электронной почты генерального директора и отправить электронное письмо члену финансовой группы, санкционируя осуществление платежа на оффшорный банковский счет злоумышленников.

Претекстинг — Претекстинг, возможно, в настоящее время является одной из самых распространенных форм социальной инженерии.Этот метод предполагает, что злоумышленник притворяется, что ему нужна личная информация, чтобы подтвердить личность человека, которому он отправил электронное письмо или позвонил. Распространенный сценарий предполагает, что мошенник притворяется из банка жертвы и запрашивает личную информацию, чтобы продолжить звонок.

Scareware — этот метод социальной инженерии фокусируется на наших эмоциях и, в частности, на страхе. Этот тип атаки обычно проявляется в виде вредоносного программного обеспечения, которое обманом заставляет пользователей покупать поддельные антивирусные средства защиты и другое потенциально опасное программное обеспечение.

Отслеживание доступа — В точности, как следует из названия, отслеживание доступа подразумевает проникновение неавторизованного пользователя, случайное или принудительное, позади авторизованного пользователя в здание или охраняемую зону. Это одна из самых распространенных угроз безопасности, с которыми сегодня сталкиваются организации.

Психологические манипуляции — Атакующие обычно сосредотачиваются на четырех человеческих эмоциях при выполнении атаки: страх, жадность, послушание и помощь. Атаки могут различаться по своему подходу, но, правильно используя эти эмоции, они знают, что могут получить необходимую информацию быстро и без обнаружения.

Фактор доверия — Есть определенные люди, которым можно доверять в жизни, например друзья, семья и некоторые коллеги по работе. Злоумышленники знают об этом и будут использовать этот фактор доверия, чтобы манипулировать вами, отправляя вредоносные ссылки или загружая файлы с адреса электронной почты, которому вы доверяете.

5 атак социальной инженерии, на которые следует обратить внимание

Все мы знаем о типах злоумышленников, которые используют свои технические знания для проникновения в защищенные компьютерные системы и компрометации конфиденциальных данных.Эта порода злоумышленников постоянно попадает в новости, побуждая нас противостоять их эксплойтам, инвестируя в новые технологии, которые укрепят нашу сетевую защиту.

Однако есть другой тип злоумышленников, который использует другую тактику, чтобы обойти наши инструменты и решения. Их называют «социальными инженерами», потому что они используют одну слабость, которая есть в каждой организации: человеческую психологию. Используя телефонные звонки и другие средства массовой информации, эти злоумышленники обманом заставляют людей передать доступ к конфиденциальной информации организации.

Социальная инженерия — это термин, охватывающий широкий спектр злонамеренных действий. В рамках этой статьи давайте сосредоточимся на пяти наиболее распространенных типах атак, которые социальные инженеры используют для нацеливания на своих жертв. Это фишинг, предлог, травля, услуга за услугу и поиск информации.

1. Фишинг

Фишинг — это наиболее распространенный тип атак социальной инженерии, который происходит сегодня. Но что это такое? На высоком уровне большинство фишинговых атак преследуют три цели:

  • Получите личную информацию, такую ​​как имена, адреса и номера социального страхования.
  • Используйте сокращенные или вводящие в заблуждение ссылки, которые перенаправляют пользователей на подозрительные веб-сайты, на которых размещены фишинговые целевые страницы.
  • Включите угрозы, страх и чувство безотлагательности в попытке заставить пользователя быстро отреагировать.

Нет двух одинаковых фишинговых писем. На самом деле существует как минимум шесть различных подкатегорий фишинговых атак. Кроме того, все мы знаем, что некоторые из них плохо обработаны, поскольку их сообщения страдают орфографическими и грамматическими ошибками.Тем не менее, эти электронные письма обычно имеют одну и ту же цель — использовать поддельные веб-сайты или формы для кражи учетных данных пользователя и других личных данных.

Недавняя фишинговая кампания использовала взломанную учетную запись электронной почты для рассылки писем с атаками. В этих сообщениях получателям предлагалось просмотреть предложенный документ, щелкнув встроенный URL-адрес. Этот вредоносный URL-адрес, снабженный защитой URL-адресов Symantec во время щелчка, перенаправлял получателей на взломанную учетную запись SharePoint, которая доставляла второй вредоносный URL-адрес, встроенный в документ OneNote.Этот URL-адрес, в свою очередь, перенаправлял пользователей на фишинговую страницу, имитирующую портал входа в Microsoft Office 365.

2. Предварительный текст

Pretexting — это еще одна форма социальной инженерии, при которой злоумышленники сосредотачиваются на создании хорошего предлога или сфабрикованного сценария, который они используют, чтобы попытаться украсть личную информацию своих жертв. В этих типах атак мошенник обычно говорит, что ему нужны определенные биты информации от своей цели, чтобы подтвердить свою личность. На самом деле они крадут эти данные и используют их для кражи личных данных или проведения вторичных атак.

Более сложные атаки иногда пытаются обманом заставить своих целей сделать что-то, что злоупотребляет цифровыми и / или физическими недостатками организации. Например, злоумышленник может выдать себя за внешнего аудитора ИТ-услуг, чтобы уговорить команду физической безопасности целевой компании пропустить их в здание.

В то время как фишинговые атаки в основном используют страх и срочность в своих интересах, атаки с предлогом основываются на формировании у жертвы ложного чувства доверия. Для этого злоумышленник должен создать правдоподобную историю, не оставляющую места для сомнений у его цели.

Претекстинг может принимать и принимает различные формы. Тем не менее, многие злоумышленники, использующие этот тип атак, решают маскироваться под персонал отдела кадров или сотрудников отдела финансового развития. Эти маскировки позволяют им нацеливаться на руководителей высшего звена, как обнаружила Verizon в своем отчете о расследовании утечек данных за 2019 год (DBIR).

3. Наживка

Наживка во многом схожа с фишинговыми атаками. Однако то, что отличает их от других типов социальной инженерии, — это обещание предмета или товара, которые злоумышленники используют для соблазнения жертв.Байтеры могут воспользоваться предложением бесплатной загрузки музыки или фильмов, например, чтобы обманом заставить пользователей передать свои учетные данные.

Атаки с наживкой также не ограничиваются онлайн-схемами. Злоумышленники также могут сосредоточиться на использовании человеческого любопытства с помощью физических носителей.

Еще в июле 2018 года, например, KrebsOnSecurity сообщил о кампании атаки, нацеленной на государственные и местные правительственные учреждения в Соединенных Штатах. Операция разослала конверты с китайскими почтовыми марками, в которых было запутанное письмо, а также компакт-диск (CD).Смысл в том, чтобы возбудить любопытство получателей, чтобы они загрузили компакт-диск и тем самым непреднамеренно заразили свои компьютеры вредоносным ПО.

4. Quid Pro Quo

Подобно травле, атаки типа «услуга за услугу» обещают выгоду в обмен на информацию. Эта выгода обычно принимает форму услуги, тогда как травля обычно принимает форму товара.

Один из наиболее распространенных типов атак «услуга за услугу», которые проявляются в последние годы, — это когда мошенники выдают себя за U.S. Администрация социального обеспечения (SSA). Эти поддельные сотрудники SSA связываются со случайными людьми, сообщают им, что на их стороне возникла проблема с компьютером, и просят у этих людей подтвердить свой номер социального страхования, и все это с целью совершения кражи личных данных. В других случаях, обнаруженных Федеральной торговой комиссией (FTC), злоумышленники создают поддельные веб-сайты SSA, которые говорят, что могут помочь пользователям подавать заявки на новые карты социального обеспечения, но вместо этого просто крадут их личную информацию.

Важно отметить, однако, что злоумышленники могут использовать предложения «услуга за услугу», которые гораздо менее изощренны, чем уловки на тему SSA.Как показали более ранние атаки, офисные работники более чем готовы отдать свои пароли за дешевую ручку или даже плитку шоколада.

5. Задняя дверь

Наш последний тип атаки с помощью социальной инженерии известен как «взлом» или «совмещение». В этих типах атак кто-то без надлежащей аутентификации следует за аутентифицированным сотрудником в ограниченную зону. Злоумышленник может выдать себя за водителя доставки и ждать снаружи здания, чтобы начать работу.Когда сотрудник получает одобрение службы безопасности и открывает дверь, злоумышленник просит сотрудника придержать дверь, тем самым получая доступ в здание.

Tailgating не работает во всех корпоративных условиях, например, в крупных компаниях, для входа в которые требуется использование карточки-ключа. Однако на предприятиях среднего размера злоумышленники могут завязать беседы с сотрудниками и использовать это знакомство, чтобы пройти мимо стойки регистрации.

Фактически, Колин Гринлесс, консультант по безопасности в Siemens Enterprise Communications, использовал эту тактику для получения доступа на несколько этажей и в комнату данных в финансовой компании, зарегистрированной в FTSE.Он даже смог открыть магазин в конференц-зале на третьем этаже и проработать там несколько дней.

Рекомендации по социальной инженерии

Злоумышленники, использующие методы социальной инженерии, используют человеческую психологию и любопытство, чтобы скомпрометировать информацию своих целей. Помня об этом человеко-ориентированном подходе, организации должны помочь своим сотрудникам противостоять этим типам атак.

Вот несколько советов, которые организации могут включить в свои программы обучения по вопросам безопасности, которые помогут пользователям избегать схем социальной инженерии:

  • Не открывайте электронные письма из ненадежных источников. Свяжитесь с другом или членом семьи лично или по телефону, если вы получили от них подозрительное сообщение электронной почты.
  • Не давайте предложений от посторонних во благо сомнения. Если они кажутся слишком хорошими, чтобы быть правдой, вероятно, так оно и есть.
  • Заблокируйте свой портативный компьютер , когда вы находитесь вне рабочего места.
  • Купить антивирусное ПО. Ни одно антивирусное решение не может защитить от всех угроз, которые могут поставить под угрозу информацию пользователей, но они могут помочь защитить от некоторых.
  • Ознакомьтесь с политикой конфиденциальности вашей компании , чтобы понять, при каких обстоятельствах вы можете или должны впустить в здание постороннего человека.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *