Что такое социальная инженерия?
Социальная инженерия - это искусство манипулирования пользователями с целью заставить их раскрыть конфиденциальную информацию, которая может быть использована для получения несанкционированного доступа к необходимым данным. Под этот термин попадают действия связанные с "игрой" чувствами человека, такими как жадность или любопытство, для получения определенной выгоды (заставить пользователя установить какое-любо программное обеспечение или провести на закрытую территорию)
Знание уловок, используемых хакерами, чтобы заставить пользователей раскрыть важную информацию для входа в систему, имеет основополагающее значение для защиты компьютерных систем.
Как работает социальная инженерия?
Социальная инженерия включает в себя следующее:
- Сбор информации: Это первый этап, на котором злоумышленник узнает как можно больше о предполагаемой жертве. Информация собирается с веб-сайтов компаний, других открытых источников, а иногда и путем общения с пользователями целевой системы.
- План атаки: Злоумышленник предполагает, как он/она собирается осуществить атаку.
- Поиск инструментов: К ним относятся компьютерные программы, которые злоумышленник будет использовать при проведении атаки.
- Атака цели по слабым местам в целевой системе.
- Использование приобретенных данных: Информация, собранная в ходе тактики социальной инженерии, такая как имена домашних животных, даты рождения основателей организации и т.д., используется в таких атаках, как "угадывание" пароля.
Общие методы социальной инженерии:
Получение данных через знакомство.
Пользователи с меньшим подозрением относятся к людям, с которыми они знакомы. Злоумышленник может познакомиться с пользователями целевой системы до начала атаки социальной инженерии. Злоумышленник может общаться с пользователями во время обеда или перекура, он может присоединиться к ним, на общественных мероприятиях и т.д. Это делает атакующего знакомым пользователям.
Предположим, что пользователь работает в здании, для доступа в которое требуется код или карта; злоумышленник может следить за пользователями, когда они входят в такие места. Пользователи, скорее всего, будут держать дверь открытой, чтобы злоумышленник мог войти, поскольку они знакомы с ними. Злоумышленник также может попросить ответить на вопросы, например, где вы познакомились со своим супругом, как зовут вашего школьного учителя математики и т.д. Пользователи, скорее всего, дадут ответы, поскольку они доверяют знакомому лицу. Эта информация может быть использована для взлома учетных записей электронной почты и других учетных записей, которые задают аналогичные вопросы, если человек забыл пароль.
Фишинг.
Эта техника использует хитрость и обман для получения личных данных пользователей. Социальный инженер может попытаться выдать поддельный сайт (точную копию) за какой-то существующий настоящий сайт, например, Яндекс, а затем попросить ничего не подозревающего пользователя подтвердить имя и пароль своей учетной записи. Эта техника также может быть использована для получения информации о кредитной карте или любых других ценных личных данных.
Использование любопытства (да-да чрезмерное любопытство может погубить)
Используя эту технику, социальный инженер может намеренно подбросить зараженную вирусом флешку в место, где пользователь может легко заметить и взять себе. Пользователь, скорее всего, подключит флэш-накопитель к компьютеру. Флэшка может автоматически запустить вирус, или пользователь может поддаться искушению открыть файл с таким названием, как СписокЗП.docx, который на самом деле может оказаться зараженным файлом.
Использование жадности пользователя
Используя эту технику, социальный инженер может заманить пользователя обещаниями заработать много денег в Интернете, заполнив форму и подтвердив свои данные, используя данные кредитной карты и т.д.
Короче говоря ...
Социальная инженерия - это искусство использования человеческого фактора для получения доступа к несанкционированным ресурсам.
Социальные инженеры используют ряд методов, чтобы обмануть пользователей и заставить их раскрыть конфиденциальную информацию.
(Берегите себя и свои данные)