Введение в атаки социальной инженерии
Различные формы манипуляций и методы, используемые киберпреступниками для получения доступа к конфиденциальной информации, называются социальной инженерией. Это включает в себя заманивание целевой аудитории открытием ссылок на зараженные веб-сайты, побуждение их к загрузке вредоносного ПО на свои компьютеры или просто получение контроля над личными данными пользователей, выдавая себя за представителя компании, услугами которой они пользуются. Эти нападения на людей возможны в первую очередь из-за их незнания и развития технологий. В наши дни хакеры используют Интернет для более масштабных атак. Больше всего пострадают те, кто плохо осведомлен о текущем мировом сценарии.
Социальная инженерия - это искусство принуждать пользователей делиться своей личной информацией, просто запутывая их, несмотря на то, что данные защищены компанией, чьи продукты и услуги вы используете, облака, в которых хранится ваша личная информация или информация, хранящаяся в центрах обработки данных. Это может повлиять не только на отдельных пользователей, но и на компании. Например, если один из сотрудников попадает в ловушку социального инженера и предоставляет доступ к учетным данным компании, то это только вопрос времени, когда все может быть уничтожено. Атаки социальной инженерии могут выполняться лично или через электронную почту, телефонные звонки или даже в социальных сетях. В этой статье обсуждаются различные способы, которыми киберпреступники получают доступ к вашей личной информации с помощью атак социальной инженерии.
Методы социальной инженерии
Фишинг
Фишинг - один из наиболее распространенных способов получения доступа к конфиденциальной информации отдельных пользователей и крупных организаций. Фишинговые атаки обычно осуществляются с помощью электронных писем, когда хакеры отправляют электронные письма с клонированных адресов электронной почты пользователям определенного веб-сайта или организации о некоторых неотложных проблемах, которые необходимо решить. Пользователи обычно проявляют любопытство, страх, тревогу и беспокойство, когда дело касается денег. Обычно они поддаются таким письмам, и именно здесь начинаются проблемы. Фишинговые ссылки по электронной почте направляют пользователей на клонированные веб-сайты, которые похожи на законные веб-сайты, которые они используют. После того, как пользователи вводят свои учетные данные, хакеры получают доступ к исходным учетным записям, и средства теряются в течение нескольких секунд.
Фишинг также можно осуществлять с помощью SMS.
Прочтите нашу статью о платформе DCX Learn, чтобы узнать больше о фишинге .
Вирусные атаки
Как упоминалось ранее, люди обычно путаются, когда речь идет о вопросах безопасности и защиты средств. Иногда, когда пользователи открывают незаконные веб-сайты или электронные письма, во многих случаях может появиться всплывающее окно или сообщение о том, что система заражена вирусом и требует очистки. Щелчок по этим ссылкам приводит к загрузке программного обеспечения, содержащего вирусы. У этих вирусов много функций. В то время как одни копируют все, что копируется в буфер обмена, другие получают доступ к данным банковского счета и паролям. Средства на банковском счете вскоре исчезают, как только эта информация достигает хакеров.
Вирусные атаки происходят не только через эти неизвестные программы, которые мы загружаем из-за страха, но и через некоторые загружаемые нами мобильные приложения, которые крадут наши данные. В недавней новостной статье утверждалось, что более 50 мобильных приложений в магазинах приложений, вероятно, отслеживают биткойн- адреса и другие данные буфера обмена на наших мобильных телефонах.
Иногда получить доступ к личной информации других людей можно так же просто, как намеренно оставить зараженные жесткие диски и USB-накопители в общественных местах. Следующее, что мы знаем, это то, что многие люди вставляли эти диски памяти в свои компьютеры, чтобы проверить содержимое, что в конечном итоге приводит к вирусам, атакующим их системы.
Приманка
Если вам будет предоставлена возможность получить доступ ко всем новым фильмам, выпущенным в этом году, или книгам известных авторов, зарегистрировавшись на веб-сайте бесплатно, не решились бы вы сделать это?
Многие люди этого не делают. Часто эти сайты не предлагают ничего взамен. Вместо этого они могут делиться ссылками или другими материалами по электронной почте, которые могут содержать вирусы. Тогда зачем им брать вашу информацию, создавая для этого веб-сайт?
Иногда даже некоторая информация может привести этих хакеров к джекпоту. Регистрация на веб-сайте означает предоставление такой информации, как имя, дата рождения, номер мобильного телефона и адрес электронной почты. Затем хакер выдает себя за вас перед законной компанией, которую вы используете для получения доступа к вашей учетной записи, не зная пароля, просто связавшись со службой поддержки клиентов. Например, кто-то со всей вашей информацией может позвонить в службу поддержки CoinDCX, чтобы помочь изменить пароль вашей учетной записи. Даже когда вся личная информация предоставлена и внесены изменения, CoinDCX запрещает пользователям снимать средства в течение следующих 24 часов после смены пароля. Это действие было введено, чтобы защитить наших пользователей от потери всех их кровно заработанных денег.
Свежие новости
Не многие люди понимают, как работают криптовалюты, и это делает людей еще более уязвимыми для мошенничества. Мы составили список мошенников, о которых должен знать каждый, чтобы предотвратить потерю средств. Некоторые из них - поддельные ICO, схемы Понци, поддельные воздушные капли и многое другое.
Атака социальной инженерии на Twitter произошла 15 июля 2020 года. Это был хорошо скоординированный и спланированный взлом различных популярных учетных записей Twitter таких людей, как Илон Маск и Билл Гейтс, таких компаний, как Apple и Uber, и криптобирж, таких как Binance и Coinbase . Взломанные учетные записи опубликовали одно распространенное сообщение о раздаче, в котором люди получали вдвое больше криптовалют, которые они отправили бы на указанный адрес кошелька, упомянутый в твитах.
Этот взлом был возможен, потому что отдельные сотрудники Twitter имели высокий уровень доступа к информации и контроля на платформе. В одном из их твитов из учетной записи службы поддержки Twitter даже предполагалось, что их собственные инструменты сотрудников способствовали беспрецедентному взлому, который предоставил хакерам «доступ к внутренним системам и инструментам».
Возможно, после получения доступа к учетным записям хакеры также изменили пароли.
Этот взлом также показал обратную сторону таких централизованных платформ. Материнская плата Vice опубликовала изображение, которое показало, что внутренняя панель Твиттера имеет доступ к учетным записям пользователей с информацией, которая включает в себя количество предупреждений, зарегистрированных для каждой учетной записи, время последнего доступа к учетной записи, какие номера телефонов были привязаны к ней и какой адрес электронной почты адреса использовались для проверки. Изображение ниже - это снимок экрана внутренней панели сотрудников Twitter, у которой есть доступ к учетной записи Binance.
Заключение
Защита от социальной инженерии может начаться только через образование, когда люди перестают открывать электронные письма из неизвестных и подозрительных источников и удаляют их из своего почтового ящика, как только их заметят. Учетные данные для входа всегда должны быть личными и регулярно меняться, чтобы обеспечить безопасность учетных записей. В наши дни существует множество онлайн-аккаунтов, которые позволяют использовать двухфакторную аутентификацию (2FA). CoinDCX снова и снова публикует несколько блогов, чтобы побудить людей включить двухфакторную аутентификацию .
Для компаний, которые несут ответственность за хранение данных и денег своих клиентов, важно проводить обучение своих сотрудников, чтобы предотвратить мошеннические действия, связанные с социальной инженерией. Они должны быть обучены фишинговым действиям, подозрительным ссылкам и вложениям в электронных письмах и программном обеспечении, доступном в Интернете.
Возможно, нам не удастся полностью остановить атаки социальной инженерии, но важно то, что мы все должны сохранять бдительность, когда такие атаки происходят. Следует поднять тревогу, когда вокруг вас происходит какая-то подозрительная активность. Это было замечено во время взлома Twitter, который произошел 15 июля 2020 года, когда хакеры не смогли обмануть людей даже с 13 биткойнами, несмотря на то, что это был один из крупнейших взломов за последнее время. Это произошло из-за оперативных действий, предпринятых Twitter, которые удалили все твиты, люди, которые поняли, что это был взлом, начали распространять информацию, чтобы предотвратить обман других, и в конечном итоге обо всех взломанных учетных записях сообщили, а многим другим потенциальным учетным записям запретили твитнуть до безопасность вернулась на место.