Социальная инженерия (Social Engineering)- это обман кого-то, заставляя его разглашать информацию или предпринимать какие-либо действия, обычно с помощью технологий. Идея социальной инженерии состоит в том, чтобы воспользоваться естественными склонностями и эмоциональными реакциями потенциальной жертвы.
Чтобы получить доступ к компьютерной сети, типичный хакер может искать уязвимость в программном обеспечении. Однако социальный инженер может выдать себя за сотрудника службы технической поддержки, чтобы обманом заставить сотрудника раскрыть свои учетные данные. Мошенник надеется апеллировать к желанию сотрудника помочь коллеге и, возможно, сначала действовать, а потом думать.
6 типов атак социальной инженерии
1. Наживка
Этот тип социальной инженерии зависит от жертвы, которая берет наживку, в отличие от рыбы, реагирующей на червя на крючке. Человек, бросающий наживку, хочет побудить цель к действию.
Пример
. Киберпреступник может оставить USB-накопитель с вредоносным ПО в том месте, где его увидит цель. Кроме того, преступник может убедительно наклеить на устройство ярлык «Конфиденциально» или «Бонусы». Клювшая наживка цель поднимет устройство и подключит его к компьютеру, чтобы посмотреть, что на нем. Затем вредоносная программа автоматически внедрится в компьютер.
2. Фишинг
Фишинг - это хорошо известный способ получить информацию от ничего не подозревающей жертвы. Несмотря на свою известность, он остается довольно успешным. Преступник обычно отправляет электронное письмо или текстовое сообщение жертве в поисках информации, которая может помочь в более серьезном преступлении.
пример
Мошенник может отправлять электронные письма, которые, как представляется, исходят из источника, которому доверяют потенциальные жертвы. Этим источником может быть банк, например, предлагающий получателям электронной почты щелкнуть ссылку для входа в свои учетные записи. Однако те, кто нажимает на ссылку, попадают на поддельный веб-сайт, который, как и электронное письмо, выглядит законным. Если они войдут в систему на этом поддельном сайте, они по сути передадут свои учетные данные и предоставят мошеннику доступ к своим банковским счетам.
В другой форме фишинга, известной как целевой фишинг , мошенник пытается атаковать - или «атаковать» - конкретного человека. Преступник может отследить имя и адрес электронной почты, например, сотрудника отдела кадров в конкретной компании. Затем преступник отправляет этому человеку электронное письмо, которое, похоже, исходит от высокопоставленного руководителя компании. Некоторые недавние дела связаны с запросом по электронной почте данных W-2 сотрудника, которые включают имена, почтовые адреса и номера социального страхования. Если мошенник добьется успеха, жертва невольно передаст информацию, которая может быть использована для кражи личностей десятков или даже тысяч людей.
3. Взлом электронной почты и рассылка контактного спама.
В нашей природе - обращать внимание на сообщения от людей, которых мы знаем. Некоторые преступники пытаются воспользоваться этим, захватывая учетные записи электронной почты и рассылая списки контактов учетных записей.
пример
Если ваш друг отправил вам электронное письмо с темой «Зайдите на этот сайт, который я нашел, это совершенно круто», вы можете не подумать дважды, прежде чем открыть его. Захватив чью-то учетную запись электронной почты, мошенник может заставить тех, кто находится в списке контактов, поверить, что они получают электронную почту от знакомого. Основные цели включают распространение вредоносного ПО и выманивание у людей их данных.
4. Претекст
Предлог - это использование интересного предлога - или уловки - для привлечения чьего-либо внимания. Как только история зацепляет человека, мошенник пытается обмануть потенциальную жертву, чтобы она принесла что-то ценное.
пример
Допустим, вы получили письмо по электронной почте, в котором вас называют бенефициаром завещания. В электронном письме запрашивается ваша личная информация, чтобы доказать, что вы являетесь фактическим бенефициаром, и ускорить передачу вашего наследства. Вместо этого вы рискуете дать мошеннику возможность не пополнять ваш банковский счет, а получать доступ к вашим средствам и снимать их.
5. Quid pro quo
Эта афера включает обмен - я даю вам это, а вы мне. Мошенники заставляют жертву поверить в то, что это честный обмен, но это далеко не так, поскольку обман всегда оказывается на высоте.
пример
Мошенник может вызвать цель, выдав себя за специалиста по поддержке ИТ. Жертва может передать учетные данные для входа на свой компьютер, думая, что взамен получает техническую поддержку. Вместо этого мошенник теперь может взять под контроль компьютер жертвы, загрузить на него вредоносное ПО или, возможно, украсть личную информацию с компьютера, чтобы совершить кражу личных данных.
6. Вишинг
Вишинг - это голосовая версия фишинга. «V» означает голос, но в остальном попытка мошенничества такая же. Преступник использует телефон, чтобы обманом заставить жертву передать ценную информацию.
пример
Преступник может позвонить сотруднику, представившись сотрудником. Преступник может убедить жертву предоставить учетные данные для входа или другую информацию, которая может быть использована для нацеливания на компанию или ее сотрудников.
Еще о атаках социальной инженерии следует помнить о том, что киберпреступники могут использовать один из двух подходов к своим преступлениям. Часто их устраивает одноразовая атака, известная как охота. Но они также могут думать о долгосрочной перспективе - метод, известный как сельское хозяйство.
Как краткая форма атак, охота - это когда киберпреступники используют фишинг, травлю и другие виды социальной инженерии для извлечения как можно большего объема данных от жертвы с минимальным взаимодействием.
Фермерство - это когда киберпреступник стремится наладить отношения со своей целью. Таким образом, цель злоумышленника - тянуть за жертву как можно дольше, чтобы извлечь как можно больше данных.
5 советов, которые помогут вам не стать жертвой социальной инженерии
- Рассмотрим источник. Найденная флешка - не обязательно хорошая находка. Он мог быть загружен вредоносным ПО, просто ожидающим заражения компьютера. И SMS или электронное письмо из вашего банка не обязательно из вашего банка. Подменить надежный источник относительно просто. Не переходите по ссылкам и не открывайте вложения из подозрительных источников - и в наши дни вы можете считать все источники подозрительными. Независимо от того, насколько законным выглядит это электронное письмо, безопаснее ввести URL-адрес в браузере, а не нажимать на ссылку.
- Помедленнее. Социальные инженеры часто рассчитывают, что их цели будут действовать быстро, не учитывая возможность того, что мошенник может стоять за электронной почтой, телефонным звонком или личным запросом, по которому они действуют. Если вы остановитесь, чтобы подумать о том, имеет ли он смысл или кажется немного подозрительным, вы с большей вероятностью будете действовать в своих собственных интересах, а не в интересах мошенника.
- Если это звучит слишком странно, чтобы быть правдой … Серьезно, какова вероятность того, что нигерийский принц обратится к вам за помощью? Или, с другой стороны, родственник пишет вам сообщение об освобождении под залог во время путешествия? Изучите любые запросы денег, личной информации или любого ценного предмета перед их передачей. Очень велика вероятность, что это афера - и даже если это не так, лучше перестраховаться.
- Установите антивирусное программное обеспечение или пакет безопасности, например Norton Security, и регулярно обновляйте его. Кроме того, убедитесь, что на вашем компьютере и других устройствах установлены последние версии программного обеспечения. Если возможно, настройте операционные системы на автоматическое обновление. Наличие последних версий этих программных приложений на ваших устройствах поможет обеспечить их готовность к самым последним угрозам безопасности.
- Ваша почтовая программа может вам помочь. Большинство почтовых программ могут помочь отфильтровать нежелательную почту, включая мошенничество. Если вы считаете, что ваша система недостаточно эффективна, выполните быстрый поиск в Интернете, чтобы узнать, как изменить ее настройки. Цель состоит в том, чтобы установить высокий уровень спам-фильтров, чтобы отсеивать как можно больше нежелательной почты.
Социальная инженерия повсюду, онлайн и офлайн. Лучшая защита от таких атак - это научиться осознавать риски и оставаться начеку.en CyberSE.CC
