Социальная инженерия - это акт манипулирования кем-либо с целью разглашения информации или выполнения чего-то, что обычно не в их интересах. В этой статье мы рассмотрим несколько распространенных способов, которыми социальные инженеры пытаются вами манипулировать.
Отказ от ответственности: мои статьи носят чисто образовательный характер. Если вы читаете их и причиняете кому-то вред, это ваша ответственность. Я не поощряю злонамеренные действия или методы черной шляпы. Прочтите этический кодекс здесь .
Одним из распространенных видов мошенничества является « Испанский заключенный» , который восходит к 18 веку и имеет множество современных воплощений.
Обычно это касается кого-то, кто попал в беду и нуждается в вашей помощи, чтобы получить доступ к своему состоянию. Вам просто нужно перевести несколько тысяч долларов, и они вернут вам в десять раз больше. Но вы можете догадаться, чем это закончится.
В Интернете распространяются похожие виды мошенничества: мошенничество с IRS, мошенничество с лотереями и так далее. В целом они классифицируются как мошенничество с предварительным предложением . Вас что-то ждет, но вам нужно заплатить аванс, чтобы получить это.
Обычному человеку это покажется плохо проведенным мошенничеством. Но из-за этих афер тысячи людей потеряли свои кровно заработанные деньги. В некоторых случаях их сбережения жизни .
Все это примеры социальной инженерии в действии.
Идея социальной инженерии состоит в том, чтобы воспользоваться естественными склонностями и эмоциональными реакциями потенциальной жертвы. Страх и жадность - самые уязвимые эмоции, которыми обычно пользуются социальные инженеры.
Ниже приведен отличный пример реальной атаки социальной инженерии.
Типы атак социальной инженерии
Социальную инженерию можно в общих чертах разделить на пять типов атак в зависимости от типа подхода, используемого для манипулирования целью. Пройдемся по каждому из них.
Спам (электронная почта, текст, Whatsapp)
Спам включает рассылку сообщений большим группам людей, контактная информация которых обычно получается гнусными методами. Спам - это общий термин, используемый для определения рассылки как вредоносных, так и не вредоносных сообщений.
Не вредоносный спам используется рекламодателями, которые пытаются продвигать свои продукты среди случайных незнакомцев, рассылая им массовые электронные письма. Их мотив - не причинение вреда, а попытка заставить людей покупать их товары или продвигать их услуги.
Вредоносный спам включает в себя сообщения, которые пытаются заманить пользователей на веб-сайт злоумышленника для разглашения личной информации. Эта информация затем используется для создания целевых фишинговых / вишинговых атак на потенциальную жертву.
Фишинг (и Вишинг)
Когда злоумышленник использует текстовые сообщения, электронную почту или голосовой вызов (голосовой фишинг = вишинг), это называется фишингом.
Фишинг используется для того, чтобы заставить цель поверить, что ее вызывает законное учреждение или организация с целью получения ценной информации от цели.
Если кто-то позвонит в вашу компанию, выдав себя за поставщика принтера, он может получить конкретную информацию о принтере - модель, IP-адрес (при подключении к Интернету) и т. Д.
И как только эта информация будет предоставлена, принтер может быть атакован, чтобы получить доступ к вашей внутренней сети.
Также распространены фишинговые атаки по электронной почте. Злоумышленник может отправить электронное письмо кому-то из вашей компании, выдавая себя за Facebook. Как только член команды щелкает ссылку, он попадает на страницу, похожую на Facebook, с просьбой ввести данные для входа. Эта информация для входа будет отправлена на сервер злоумышленника, после чего он получит полный доступ к учетной записи жертвы в Facebook.
Основное различие между фишингом и мошенничеством заключается в том, что фишинговые атаки являются очень целевыми. Злоумышленник знает, кого он хочет атаковать и какую информацию ищет.
Приманка
Приманка включает создание ловушки и ожидание, пока потенциальная жертва попадет в ловушку. В качестве простого примера, если злоумышленник бросит несколько USB-накопителей на парковку вашей компании, скорее всего, один из ваших сотрудников попытается подключить его к своему компьютеру, чтобы проверить содержимое USB-накопителя.
Это может показаться глупым, но было множество случаев, когда простые уловки социальных инженеров приводили к массовым утечкам корпоративных данных. Обычно людей легко обмануть мошенничеством, таким как мошенничество с предложением Advance, которое все еще распространяется в Интернете, питаясь доверчивыми людьми.
Другой распространенный тип приманки - пиратское программное обеспечение. Злоумышленник встроит вредоносное ПО в популярную операционную систему или в фильм, чтобы жертва могла скачать его. После того, как жертва загружает и запускает программное обеспечение, вредоносный код запускается в системе жертвы, и злоумышленник получает полный доступ к машине жертвы.
Копилка
PiggyBacking означает использование кого-то другого для нападения на потенциальную жертву. Злоумышленник будет использовать стороннее лицо (обычно невиновное), имеющее доступ к жертве, для совершения совмещающей атаки.
Есть много вариантов совмещения. Если злоумышленник следует за вашим сотрудником в ваш офис с помощью карты доступа, это одна из форм совмещения, которая называется «слежение за хвостом».
Было много случаев совершения атак, особенно в отношении секретной информации. Компании-поставщики, которые поставляют аппаратное и программное обеспечение правительственным организациям, обычно становятся мишенью для совмещенных атак.
После того, как эти поставщики скомпрометированы, можно легко атаковать целевое учреждение, поскольку поставщик уже имеет определенный уровень доступа к целевому объекту.
Совмещение также связано с некоторыми формами активного прослушивания телефонных разговоров . Злоумышленник будет использовать легитимное соединение жертвы для подслушивания в сети.
Water Holing
Water Holing учитывает обычные действия цели и использует одно из этих действий для получения несанкционированного доступа. Например, злоумышленник найдет веб-сайты, которые цель использует ежедневно, и попытается установить вредоносное ПО на один из этих веб-сайтов.
Название «Water Holing» происходит от того факта, что хищники в дикой природе часто ждут свою добычу возле своих общих водопоев.
Примером может служить кампания Holy Water 2019 года , нацеленная на азиатские религиозные и благотворительные группы. Сайт был взломан, после чего посетителей попросили установить Adobe Flash в своих браузерах.
Поскольку Adobe Flash имеет ряд уязвимостей, злоумышленникам было легко выполнить вредоносный код на машинах жертвы. Атаки на водопой - это редкость, но они представляют значительную угрозу, поскольку их очень трудно обнаружить.
Как защитить себя от социальной инженерии
Теперь, когда мы увидели различные типы подходов, используемых социальными инженерами, давайте посмотрим, как мы можем защитить себя и нашу организацию от атак социальной инженерии.
Установите фильтры электронной почты и спама
Хотя спам-фильтры не могут отловить узконаправленные атаки, они предотвратят попадание большей части спама и вредоносных писем в вашу учетную запись.
Обновляйте антивирус и брандмауэр
Как и фильтры спама, обновленное антивирусное программное обеспечение защищает от большинства распространенных вирусов, троянов и вредоносных программ .
Запросить подтверждение
Всегда запрашивайте подтверждение, когда вам звонят, утверждая, что вы представляете организацию, например, ваш банк. Никогда не сообщайте конфиденциальные данные, такие как номера кредитных карт или пароли, по телефону или электронной почте.
Повышайте осведомленность
Лучший способ предотвратить использование вашей организации - это создать программы повышения осведомленности о безопасности. Обучение ваших сотрудников - это отличное долгосрочное вложение для обеспечения безопасности вашей компании.
Если это кажется слишком хорошим, чтобы быть правдой, это
Наконец, если что-то звучит слишком хорошо, чтобы быть правдой, обычно так оно и есть. Никогда не доверяйте незнакомцам, обещающим быстро разбогатеть. Как кто-то однажды сказал, «попытка быстро разбогатеть - это самый быстрый способ потерять все свои деньги».
Вывод
Социальные инженеры - мастера манипуляции. Если сотрудники компании не обучены навыкам социальной инженерии, им очень трудно избежать попадания в ловушку социального инженера.
Социальные инженеры работают с эмоциями людей, обычно со страхом и жадностью. Поэтому всякий раз, когда вы выполняете действие, основанное на этих двух эмоциях, вы можете сделать шаг назад и посмотреть, не манипулируют ли вами.
Есть известная лекция на TED, где кто-то начал разговор со спамером. Смотрите полное видео здесь .