Ранее в статьях, посвященных социальной инженерии, были приведены определения и принципы ее воздействия. Думаю, пришло время поговорить о том, как избежать такого влияния, а также – как действовать, если стали его жертвой.
Приступим.
Что такое атака социальной инженерии?
Чтобы запустить атаку социальной инженерии, злоумышленник использует человеческое взаимодействие (социальные навыки) для получения или компрометации информации о компании (вашем финансовом учреждении) или ваших личных данных.
Злоумышленник может выглядеть как кто угодно и может обмануть вас, сказав, что он ремонтник, или новый стажер, сотрудник, и у него действительно может быть удостоверение личности, которое говорит, что он работает в вашем учреждении.
Они попытаются завоевать ваше доверие, задавая вопросы, тем самым собрать достаточно информации, чтобы проникнуть в сеть учреждения.
Если злоумышленник не может собрать достаточно информации из одного источника, он попытается связаться с другим человеком и предоставить информацию, полученную от первой жертвы (вы), чтобы повысить его доверие.
Что такое фишинг?
Фишинг - это форма социальной инженерии. Фишинговые атаки используют электронную почту или вредоносные веб-сайты для получения личной, часто финансовой, информации.
Злоумышленники могут отправить электронное письмо от уважаемой компании-эмитента кредитных карт или финансового учреждения, которое запрашивает информацию об учетной записи, часто предполагая, что существует проблема.
Когда пользователи отвечают с запрошенной информацией, злоумышленники могут использовать ее для получения доступа к учетным записям.
Как не попасть на крючок?
С подозрением относитесь к нежелательным телефонным звонкам, визитам или сообщениям электронной почты от людей, спрашивающих о сотрудниках или другой внутренней информации. Если неизвестный утверждает, что он из законной организации, попробуйте проверить его или ее личность напрямую в компании.
Не предоставляйте личную информацию или информацию о вашей организации, включая ее структуру или сети, если не уверены в том, что у человека есть полномочия на получение такой информации.
Не раскрывайте личную или финансовую информацию по электронной почте и не отвечайте на запросы по электронной почте.
Обратите внимание на URL-адрес веб-сайта. Вредоносные веб-сайты могут выглядеть идентично легитимному сайту, но URL-адрес может использовать вариант написания или другой домен (например, com или .net).
Если вы не уверены, является ли запрос по почте законным, попробуйте проверить его, связавшись напрямую с компанией. Не используйте контактную информацию, указанную на веб-сайте, связанном с запросом; вместо этого проверьте предыдущие утверждения для получения контактной информации.
Устанавливайте и поддерживайте антивирусное программное обеспечение, брандмауэры и фильтры электронной почты, чтобы уменьшить количество писем такого типа.
Если вы думаете, что стали жертвой.
Если вы считаете, что могли раскрыть конфиденциальную информацию о себе, свих учреждениях или клиентах, немедленно сообщите об этом своему руководителю и в отдел информационной безопасности учреждения.
Если вы считаете, что ваши банковские или кредитные счета могли быть подвергнуты мошенничеству, немедленно свяжитесь с вашим финансовым учреждением или компанией-эмитентом кредитной карты и закройте все счета, которые могли быть скомпрометированы.
Внимательно следите за своими счетами и ищите необъяснимые списания с вашей учетной записи.