Що таке соціальна інженерія? | Напади | Профілактика


Провівши половину свого життя, працюючи журналістом з кібербезпеки, соціальна інженерія була сутністю моєї роботи. Тепер я розумію! Ви всі, мабуть, задаєтесь питанням «соціальна інженерія та кібербезпека? Це звучало як підтримка соціальної роботи! Що це має бути з кіберзлочинністю? “

Так, коли-небудь була атака зловмисного програмного забезпечення, натискаючи на підступні спливаючі вікна під час серфінгу в Інтернеті? Так, це соціальна інженерія! Мало того, що підтримує річ, так?

Перш ніж я продовжувати щось, дозвольте мені пояснити, що стосується соціальної інженерії.

Що таке соціальна інженерія?

Соціальна інженерія відома як мистецтво психологічного маніпулювання ким-небудь, щоб відмовитись від приватної інформації. Соціальний інженер працює над тим, щоб використовувати фундаментальну людську природу та грати на інстинкти жертви.

Це найпопулярніший метод злому серед злочинців, оскільки набагато простіше маніпулювати чиїмись слабкими сторонами, ніж вторгнутись у програмну систему.

Як може працювати соціальний інженер на вас?

Завдяки цьому встановлено, що соціальна інженерія працює, граючи з загальними інстинктами людини, їжею для роздумів є те, як соціальний інженер може організувати напад?

Пам’ятаєте відомий фільм «Жало»? Чоловіки, які працюють з двома людьми (впевнені в собі), розробляють способи аферизації мультимільйонного мафіозу (Марк)?

Два оркеструють складну схему, де вони використовують загальну інформацію, яку вони знали про мафіозу. Далі вони використали цю інформацію, щоб завоювати його довіру через різні витівки.

Фільми розігруються на Марка, довіряючи двом конфесіям, і двоє шахраїв врешті-решт в кінцевому підсумку його лаять.

Так само, як зображено у фільмі, саме так працює соціальний інженер, використовуючи певну тактику організації нападу. Перша і головна необхідна робота – це дослідження та збір інформації про ціль.

Оскільки ці напади зазвичай спрямовані на великі корпорації, планування починається з дослідження структури співробітників компанії, внутрішніх справ, роботи компанії, ділових партнерів, акціонерів, а також деякої іншої інформації.

Інший спосіб соціальний інженер може проникнути в компанію, вивчаючи та спостерігаючи за її співробітниками наземного рівня, такими як охоронці чи приймальні.

Хакери також можуть шукати їх у соціальних мережах та отримувати всю їх особисту інформацію, а також вивчати їх поведінку в Інтернеті та особисто.

Потім ця інформація використовується для з’ясування недоліків та вразливих місць, які можуть бути використані для здійснення атаки.

Ці атаки можна використовувати для пошуку інформації дебетової картки, реквізитів банківського рахунку та іншої конфіденційної інформації, або вони можуть бути використані для отримання доступу до захищених систем та мереж.

6 Обличчя нападу на соціальну інженерію

Напад соціальної інженерії відбувається різними способами і може статися там, де є людська взаємодія. Тут я згадав шість видів атак на соціальну інженерію, щоб полегшити вам визначення можливих атак:

1. Фішинг

Фішинг – це найпоширеніший метод і призначений для великої цільової аудиторії. Він передбачає надсилання електронних листів з підробленою або досить законною електронною адресою. Він також може містити справжню інформацію про компанію.

Електронний лист може містити посилання, документ або файли із шкідливим програмним забезпеченням, яке заражає пристрій, як тільки користувач натискає на них. Фішинг-атаки використовуються для отримання конфіденційної інформації користувача, такої як дані кредитної картки, імена користувачів, паролі, реквізити банківського рахунку тощо.

2. Фіш-фіш

Ця методика передбачає орієнтацію на конкретну людину чи підприємство. Потім хактивіст розробляє електронні листи відповідно до характеристик, посадових інструкцій та контактів жертви, щоб напад здався претензійним..

Фішинг на копках є відносно технічним і вимагає багато роботи від людини, якій потрібно зняти цю атаку. Часом може знадобитися тижні або місяці, щоб ретельно пройти її. Ці напади, якщо вони вміло проводяться, важко виявити і часто є успішними.

Одним із прикладів фішингу списа може бути хакер, який виступає генеральним директором компанії. Він міг створити електронний лист, щоб зробити його схожим на електронний лист від генерального директора та надіслати його керівнику фінансового відділу з вимогою перерахувати трохи грошей на підроблений рахунок.

Електронний лист ретельно розроблений, щоб він виглядав оригінальним, що вимагає багато часу, а також важкої роботи.

3. Вашинг

Це вокальна версія фішингу. Робота тут не обов’язково в Інтернеті і відбувається за допомогою голосової електронної пошти, VoIP (голос через IP) або стаціонарного або мобільного телефону.

Призначення тут одне і те ж, хоча є різниця в методах. Як і фішинг, він використовується для отримання чутливої ​​інформації жертви.

Жорстокий сценарій може продовжуватися, коли жертва отримує голосове повідомлення про те, що підозріла діяльність відбулася на рахунку кредитної картки, банківському рахунку тощо.

Потерпілому пропонується зателефонувати на певний номер, де його просять надати більше інформації на ім’я “підтвердження особи” або “переконайтеся, що шахрайство не відбулося”.

Голосування є особливо нездійсненним і часто здійснюється за іноземними номерами, роблячи правоохоронні сили безсилими.

4. Попередній текст

Для здійснення цього методу використовується ряд ретельно складених брехні. Потерпілий бреше зловмисника, щоб отримати особисту інформацію.

Початок претексту завойовує довіру потерпілого, виконуючи обов’язки колеги, банківського чиновника, поліцейського чи будь-кого з повноважень, на які людина може покластися.

На перший погляд, задаються важливі питання, необхідні для підтвердження особи, що призводить до того, що жертва надає більшість найважливіших даних.

За допомогою цієї афери зловмиснику вдається отримати всіляку релевантну інформацію, таку як номер соціального страхування, реквізити банківського рахунку, особисті адреси, реквізити безпеки тощо.

5. Приманка

Коли-небудь пішов рибалити? Так, виловлюючи рибу, ви кидаєтеся з черв’яком у струну, а потім чекаєте, коли риба приїде. Саме це і є приманка.

Аналогічно і в кібер-світі приманки, як випливає з назви, використовуючи неправдиві обіцянки, щоб захопити інтерес людини. Після того, як злочинцю вдасться схопити їхні інтереси, він продовжує виманити їх та ловити їх у Мережі, яка краде їх особисту інформацію або заражає їх шкідливим програмним забезпеченням.

Зазвичай злочинці використовують фізичні носії для розповсюдження шкідливих програм. Це найбільш жорстка форма приманки. Зрозуміле шкідливим програмним забезпеченням USB або флеш-пам’ятка залишається навколо, на помітному місці, де жертва зобов’язана натрапити на нього.

Це може бути у ванній кімнаті, ліфті, на автостоянці компанії-жертви тощо. Інженер виготовляє приманку, щоб виглядати привабливою та автентичною, оскільки її основна функція – залучення жертви.

На ній може бути етикетка зі списком працівників, які мають отримати акцію або список заробітної плати компанії тощо. Потерпілий з цікавості хапає за приманку і вставляє її в комп’ютер. Як тільки жертва переходить на флешку або USB, вона почала завантажувати та встановлювати зловмисне програмне забезпечення, і таким чином атака приманки проходить успішно.

Ще один спосіб приманки – онлайн-метод. Це стосується того, що жертва натискає на захоплюючі рекламні оголошення або спливаючі посилання, що призводять до зараження зловмисним програмним забезпеченням або крадіжки інформації.

6. Скапування

Метод відлякування знову включає брехню. Потерпілий постійно отримує підказки про помилкові тривоги та підроблені погрози. Це вводить його в думку про те, що на комп’ютер є зловмисне програмне забезпечення або завантажений незаконний вміст.

Потім хакер надає жертві рішення, яке ненавмисно виправить помилкову проблему. Однак це “рішення”, яке пропонується потерпілому, насправді є шкідливим програмним забезпеченням, яке встановлює користувач.

Атаки із програмним забезпеченням, як правило, створюються у формі спливаючих вікон, які ви часто знаходите в Інтернеті із страшними текстами, наприклад, “ваш пристрій може бути заражений”. Ці спливаючі вікна продовжують пропонувати завантажити інструмент, який насправді є шкідливим програмним забезпеченням, випущеним для зараження вашого пристрою.

Інструмент також може бути марною програмою, і користувач отримує лише його підказки, щоб він завантажив його, і він отримав можливість викрасти його дані.

Окрім спливаючих посилань, страшильне програмне забезпечення також розповсюджується щодо використання спам-електронних листів, які надходять із неправдивими попередженнями або спонукають користувачів купувати марні чи шкідливі послуги.

5 способів запобігти соціальній інженерії

Атаки на соціальну інженерію широко поширені в наш час, тому намагатися вберегтися від них дещо важливо. Я взяв на себе сміття скласти список способів, які допоможуть вам захиститися від атак соціальних інженерій:

Використовуйте оновлений антивірус / анти-шкідливе програмне забезпечення

Антивірусне та анти-шкідливе програмне забезпечення допомагає захистити ваш пристрій. Однак, особливо важливо регулярно оновлювати своє антивірусне та протишкодове програмне забезпечення.

Якщо користувач регулярно оновлює програмне забезпечення, це забезпечує кращий захист. Ви також повинні періодично сканувати свій пристрій, щоб залишатися ще захищенішими.

Не відкривайте електронні листи з невідомих джерел

Найбільш частими шляхами нападу на соціальну інженерію є електронні листи. Краще не пильно пильнуйте електронних листів чи вкладень із нерозкритих ресурсів.

Підробка електронної пошти дуже поширена. Ось чому краще не відповідати на невідомі електронні листи чи відкривати вкладені з них вкладення. Краще перехрестити перевірку повідомлення, отриманого з прихованих ресурсів.

Крім того, краще бути в курсі та не відкривати будь-які вкладення, які виглядають вам підозріло, оскільки вони можуть містити зловмисне програмне забезпечення або вірус.

Будьте освіченими та освіченими

Ми живемо у світі, що швидко розвивається, який постійно рухається вперед. Завдяки просуванню в кожній галузі методи злому також отримують часті оновлення. Зважаючи на це, краще бути в курсі акцій.

Крім того, оскільки напади на соціальну інженерію також можуть бути націленими на компанії, краще навчити своїх співробітників. Це може дозволити персоналу бути пильним і ваша компанія залишається захищеною.

Дбайте про свою конфіденційність

Будьте уважні, перш ніж відповідати на запити паролів чи іншої особистої інформації. Краще повторити пошук джерела, перш ніж відповісти.

Джерела, які запитують паролі чи іншу особисту інформацію, часто є шахраями. Тому краще відмовитися від них або повторно перевірити ресурси, перш ніж відповідати.

Будьте уважні до пропозицій про допомогу

Соціальні інженери часто можуть представляти себе персоналом технічної підтримки для вторгнення на ваш пристрій зі зловмисним програмним забезпеченням або викрадення вашої особистої інформації. Інколи вони можуть попросити вашої допомоги для отримання інформації або запропонувати допомогу.

Якщо ви не зверталися за допомогою, на такі прохання краще не відповідати. Також можна безпечно подвоїти перевірку від надійного джерела. Проведіть дослідження, перш ніж надсилати будь-яку особисту інформацію.

Добре знаю зараз?

Тепер, коли ви отримали освічуючу інформацію щодо порад щодо запобігання, краще уникати цих атак. Ви можете почати, працюючи над порадами щодо профілактики, щоб бути максимально безпечним! Конфіденційність особливо важлива в цій роботі, і ви повинні працювати над тим, як її захистити.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me