Cyber Hygiene

Фейковые HR-агентства — это мошеннические организации или отдельные лица, которые маскируются под рекрутеров и кадровые агентства. Их цель — не трудоустроить вас, а выманить у вас деньги или конфиденциальные данные. Под предлогом "оформления" вас просят: Пример 1: "Гарантийный взнос" Соискателю предлагают работу водителем с личным автомобилем в престижной компании. На "собеседовании" его практически сразу принимают на работу, но просят внести 5000 рублей в качестве "гарантийного депозита" за возможные штрафы и бензин...

Блокировщик ОС — это разновидность вредоносного программного обеспечения (вымогателя, ransomware), которая не шифрует файлы, а полностью блокирует доступ к операционной системе. Цель — заставить жертву заплатить выкуп за разблокировку. Это цифровой аналог того, как мошенники кладут кодовый замок на ручку вашей двери и требуют денег, чтобы его снять. ГЛАВНОЕ ПРАВИЛО: НЕ ПЛАТИТЕ...

В отличие от перехвата данных в сетях Wi-Fi, который легко устроить с ноутбука с подходящим беспроводным адаптером, анализ эфира Bluetooth — задача куда более сложная. Вернее, была сложной до выступления Майкла Оссмана на конференции ShmooCon 2011 (видео доклада — youtu.be/KSd_1FE6z4Y), где он представил свой проект Ubertooth. Оцени разницу. Промышленное железо для BT-эфира можно было приобрести за суммы, начинающиеся от 10 000 долларов. Майкл рассказал, как собрать подходящий девайс, стоимость которого не превышает ста баксов...

WiFi Pineapple — это устройство, созданное компанией Hak5. По сути, это портативный WiFi-роутер со специальным программным обеспечением, которое позволяет имитировать точки доступа и перехватывать трафик клиентов. Mark VII — это одна из последних и самых популярных моделей в этой линейке. Изначально Pineapple разработан для аудита беспроводных сетей, но в руках атакующего превращается в ловушку. Злоумышленники могут использовать устройство для перехвата трафика и реализации атак, которые позволяют украсть чувствительные данные...

Кви-про-кво (Quid pro quo) — это техника социальной инженерии, основанная на обмене "услуга за услугу". Суть атаки: Злоумышленник предлагает жертве какую-либо выгоду или помощь в обмен на конфиденциальную информацию или выполнение определенного действия. В отличие от "Троянского коня", здесь используется не физическая приманка, а прямое взаимодействие (чаще всего по телефону). Пример 1: Классический звонок "из техподдержки" Злоумышленник (звонит сотруднику): "Здравствуйте, это ИТ-отдел. Мы проводим плановое обновление программного обеспечения на вашем компьютере...

роянский конь (Baiting) — это очень наглядная и коварная техника социальной инженерии, которая эксплуатирует человеческие слабости: любопытство и жадность. Суть атаки: Злоумышленник оставляет в легкодоступном месте "приманку" (как правило, физический носитель), которая вызывает непреодолимое желание ее использовать. Жертва сама, добровольно, совершает действие, которое компрометирует ее безопасность. Название, как вы догадываетесь, отсылает к знаменитому древнегреческому мифу. Пример 1: Корпоративный...

Претекстинг — это одна из самых изощренных и эффективных техник социальной инженерии, основанная на создании тщательно продуманной легенды (предлога, претекста) для жертвы. Цель — под этим предлогом выудить конфиденциальную информацию или заставить человека совершить определенные действия. В отличие от массового фишинга, претекстинг — это точечная, подготовленная атака. Злоумышленник не просто рассылает письма, а заранее собирает информацию о жертве, чтобы его легенда звучала максимально правдоподобно...

Фишинг (Phishing) — это самая массовая и известная разновидность атаки социальной инженерии. Суть фишинга — выудить у жертвы конфиденциальную информацию (логины, пароли, данные банковских карт, PIN-коды), притворившись доверенным лицом или организацией. Название происходит от английского слова fishing («рыбная ловля») — злоумышленники «забрасывают удочку» в виде поддельного письма в надежде, что кто-то «клюнет». Фишинг постоянно эволюционирует, вот его основные разновидности: Вид фишингаСутьПримерКлассический (массовый) фишингМассовая рассылка писем по случайным спискам...

Социальная инженерия — это не технический, а психологический метод взлома. Её цель — не обойти системы защиты компьютера или сети, а манипулировать людьми, чтобы они сами добровольно раскрыли конфиденциальную информацию (пароли, данные банковских карт, доступы) или совершили действия, которые нарушают безопасность. Проще говоря, это искусство взлома человеческого мозга. Зачем ломать сложную систему защиты, если можно убедить того, кто у нее есть ключи, просто открыть дверь? Обычно атака состоит из четырех шагов: Самая массовая техника...