Социальная инженерия: взлом, который не требует знания кода.
Несмотря на относительную простоту, риски, связанные с социальной инженерией, столь же серьезны, как и многочисленные взломы, освещавшиеся в заголовках газет в последнее время.
Для рядовых граждан осведомленность о мошенничестве в социальной инженерии и методах, которые они используют для добычи слабых мест в человеческом поведении, должна быть постоянно высокой. Каждый человек является мишенью, и вы должны быть бдительно осведомлены о том, что кто-либо запрашивает личную или частную информацию.
Взлом человека: предупреждающие рассказы
Социальные инженеры - это говорящие мошенники, которые помогут вам раскрыть самые надежные пароли, прежде чем вы сможете сказать "4-й этаж пожалуйста" в лифте.
- Зачем тратить тысячи долларов на сложные хакерские программы, если можно просто обмануть кого-то, чтобы он сказал вам пароль?
Мощный генеральный директор был разорен благотворительным мошенничеством. Социальные инженеры выяснили, что у него есть член семьи, который боролся с раком и другую информацию на своей странице в Facebook. Используя эту эмоциональную слабость, они задевали его за живое, и его попросили пожертвовать деньги в фонд онкологических исследований. Однако отправленный PDF-файл был заражен вредоносной программой, которая взяла под контроль его компьютер.
Казалось бы, безобидная семья входит в тематический парк только для того, чтобы в итоге узнать, что они оставили свои купоны на печать дома. Обращаясь к человеческой природе работников билетной кассы, они спрашивают у работников, можно ли им взять с собой файл электронной почты и распечатать купон, или просто показать, что у них действительно есть купон. К сожалению, эта безобидная семья - это группа актеров, которые пытаются проникнуть в систему парка, вытаскивая на компьютер вредоносные файлы.
К счастью, все это были просто тесты, проведенные Крисом Хэднаги, автором книги "Социальная инженерия": Искусство взлома человека. Его нанимают компании, чтобы показать, как преступники могут получить информацию. Обе эти истории являются прекрасными примерами социальной инженерии, взлома людей, а не программного обеспечения.
5 января 2011 г. - Кампания DefCon Security Conference "Насколько сильна ваша компания Shmooze", направленная на повышение осведомленности о социальной инженерии. Участники пытались извлечь как можно больше потенциально вредной информации из целевых предприятий с помощью социальной инженерии. Google, Microsoft, Apple, Cisco, BP, Shell, Ford, PG&E, Coke и Pepsi "провалили" тест, и из 50 сотрудников, ставших объектом тестирования, только 3 не раскрыли никакой информации и завершили вызов.
- In Security - Как социальные инженеры обманом заманивают нас в разглашение конфиденциальной информации о безопасности через средства массовой информации.
Как социальные инженеры обманывают нас, пытаясь разглашать конфиденциальную информацию о безопасности через СМИ (Социальная инженерия в рекламе и электронной почте)
"Кто-то тайно влюблен в тебя! Загрузите это приложение, чтобы узнать, кто это!"
На Facebook эти вредоносные коды заразили шпионскими программами более 3 миллионов пользователей.
Создано австралийско-американской фирмой Mobile Messenger.
Четыре процента пользователей Facebook загрузили приложение.
"Ты видел это видео/снимок с тобой? Зацените эту ссылку!"
Фальшивое уведомление по электронной почте Facebook, ведущее к появлению вредоносного ПО
Вместо того, чтобы указывать имя друга, которое помечено на фотографии или видео, в письме просто написано "твой друг".
@facebook.com против @faceboook.com
"Это Крис из техслужбы. Меня уведомили о заражении вашего компьютера."
Обычно в форме телефонного звонка, в котором утверждается, что он представляет Microsoft или другой надежный источник.
Вредоносное ПО, установленное из мошеннической банки:
- Ввод логина и нажатия клавиш для сохранения паролей
- Отслеживание покупок, электронной почты и истории просмотра веб-страниц
- Управляющий компьютер удаленно
- Доступ ко всем документам и файлам на компьютере
- Для того чтобы "починить" компьютер, мошенникам требуются сотни долларов штрафов и затрат.
- Общие методы
- Фишинг
- Действия в качестве доверенного лица с целью извлечения конфиденциальной информации по электронной почте.
В 2009 году 100 человек были заключены в тюрьму по "самому крупному международному делу о фишинге", в результате чего было перевезено 1,5 млн. долл.
Фишинг происходит несколько тысяч раз в день по всему миру.
Фишинговая электронная почта 47%, наиболее распространенная форма социальной инженерии для бизнеса.
В ходе теста в течение 24 часов 10% пользователей электронной почты ответили и предоставили имена пользователей и пароли на поддельный веб-сайт.
419: (Число "419" означает статью Уголовного кодекса Нигерии, касающуюся мошенничества). Вот как это происходит: родственник недавно свергнутого правителя просит денег, чтобы заплатить пошлины и взятки, чтобы после этого добраться до своего огромного банковского счета и покинуть страну, как правило, миллионы долларов. Конечно, жертве будет выплачена компенсация, о которой они не могли и мечтать.
В 2008 году женщина из Орегона отдала 400 000 долларов в результате 419 аферы, утверждая, что она унаследовала миллионы долларов от умершего родственника в Нигерии.
Украденные PIN-коды из банкоматов
Сообщение "Вы хотите совершить еще одну транзакцию?" остается на экране банкомата до 17 секунд. Большинство людей не утруждают себя нажатием "нет".