Социальная инженерия – один из методов управления людьми без технического взаимодействия. Технология основывается на человеческих страхах и характерных реакциях при том или ином случае. Социальная инженерия входит и в понятие «социология», но более конкретизирует его. Появилась в одно и то же время с началом популяризации Интернета и стала платформой для многих интернет-взломов и атак, так как позволяет злоумышленникам получать информацию с приватным доступом. Бывший компьютерный преступник, ныне консультант по безопасности, Кевин Митник популяризовал термин «социальная инженерия», он считает, что злоумышленнику проще выудить данные хитростью нежели воспользоваться своими хакерскими навыками для взлома.
Какие же техники используют злоумышленники для того чтобы взломать пользователя и получить необходимую информацию, и как от них уберечься? Об этом мы сейчас и поговорим. Но помимо того, что к каждой технике есть свой подход, чтобы уберечь себя, прежде всего помните: всегда нужно быть внимательными. Это, в прочем, должно быть применимо не только в кибер-мире.
Фишинг
Одной из самых популярных и успешных методик можно смело назвать фишинг (с англ. – ловля рыбы). Это один из видов интернет-мошенничества с целью получения логинов и паролей. Для того чтобы понять суть этой техники стоит разобрать принцип ее действия: чаще всего «жертва» получает письмо, что возникли некоторые проблемы в системе (или некая «проверка определенной информации») и получает ссылку на поддельные сайты, куда просят «повторно» ввести личные данные, после получения этой информации, злоумышленник имеет доступ ко всей информации, указанной вами в профиле.
Как распознать фишинговые атаки?
Несмотря на популярность этой техники, она имеет и свои недочеты, по которым вы можете вычислить, что вас пытаются взломать:
— В сообщениях обычно присутствуют угрозы, как например, закрытие банковского счета
— Допущены пунктуационные, орфографические и грамматические ошибки
— Предложение благотворительности как добровольной деятельности от вашего же лица
— Обещания денежного вознаграждения без особых усилий
— Письма приходят с несуществующего почтового ящика
«Услуга за услугу»
Квид про кво (от лат. Quid pro quo — «то за это») включает в себя помимо конкретных знаний в сфере ИТ, еще и актерское мастерство. Обычно это происходит по одному и тому же принципу. На рабочий телефон звонит человек, представляясь тем, кто работает в техподдержке, и заявляет о проблеме, возникшей на рабочем месте, после чего, используя некоторые маневры, он выманивает необходимую ему информацию. К тому же, он может посоветовать жертве установить некоторые файлы, что должны как бы помочь решить проблему, но на самом деле, они работают для негативных целей. Исследования доказывают, что сотрудники почти всегда будут согласны предоставить конфиденциальную информацию за какую-ту услугу или вознаграждение.
Троянский конь
Помните мифы Древней Греции и Рима? Про то, как данайцы пытались одолеть троянцев уловкой про коня, предоставив его как подарок в честь примирения? А ночью из него вышло войско и перерубило все население? Что-то схожее есть у этого мифа и Троянской программой. «Троян» жертва загружает добровольно, попав на «наживку» какой-то интересующей ее информации, она скачивает файл, прилагающий в комплекте. После чего, ее компьютер загружается вирусом, что может копировать, уничтожать, изменять данные на ПК, так же, он может получить доступ к конфиденциальной информации.
Плечевой серфинг
Это довольно простой способ, когда жертва часто неосознанно и достаточно открыто предоставляет личную информацию. Метод состоит в том, что злоумышленник видит личную информацию через само плечо данной особи. Обычно, это происходит в общественных местах, так как в 17 из 20 случаев человек вводит личную информацию, не проверяя, ли стоит кто-то за спиной.Обратная социальная инженерия
Звучит абсурдно, но это тот случай, когда жертва сама предлагает злоумышленнику свои данные, ссылаясь на авторитет или на возможности. Допустим, такая ситуация, что у вас пропали какие-то данные на ПК, вы решаете обратиться по этому поводу к специалисту (или к знакомому вам человеку, который разбирается в этом), чтобы он смог восстановить файл. Злоумышленник, который играет роль помощника, соглашается, но сообщает, что ему нужно зайти при помощи ваших учетных данных. Вы, ссылаясь на отсутствие времени, предоставляете ему эту информацию. Он решает вашу проблему, но параллельно получает ту информацию, что выгодна ему.
Сбор информации из открытых источников
Перед размещением какой-то информации, нужно всегда помнить тот факт, что эта информация будет доступна всем. Даже вполне вероятно и лицам, которые смогут принести вам вред, узнав о ней. Поэтому всегда стоит быть осторожным с размещением информации на страницах своих социальных сетей.
«Дорожное яблоко»
Чем-то схожий на Троянскую программу, только вместо файлов с Интернета, выступает любого рода носитель. Принцип действий такой: злоумышленник оставляет флешку или CD-диск с логотипом компании, интересной информацией для жертвы на видном месте . Человек, который нашел эту вещь, чтобы утолить свое любопытство, подсоединяет ее к своему ПК и соответственно заражает его.
Какие же техники используют злоумышленники для того чтобы взломать пользователя и получить необходимую информацию, и как от них уберечься? Об этом мы сейчас и поговорим. Но помимо того, что к каждой технике есть свой подход, чтобы уберечь себя, прежде всего помните: всегда нужно быть внимательными. Это, в прочем, должно быть применимо не только в кибер-мире.
Фишинг
Одной из самых популярных и успешных методик можно смело назвать фишинг (с англ. – ловля рыбы). Это один из видов интернет-мошенничества с целью получения логинов и паролей. Для того чтобы понять суть этой техники стоит разобрать принцип ее действия: чаще всего «жертва» получает письмо, что возникли некоторые проблемы в системе (или некая «проверка определенной информации») и получает ссылку на поддельные сайты, куда просят «повторно» ввести личные данные, после получения этой информации, злоумышленник имеет доступ ко всей информации, указанной вами в профиле.
Как распознать фишинговые атаки?
Несмотря на популярность этой техники, она имеет и свои недочеты, по которым вы можете вычислить, что вас пытаются взломать:
— В сообщениях обычно присутствуют угрозы, как например, закрытие банковского счета
— Допущены пунктуационные, орфографические и грамматические ошибки
— Предложение благотворительности как добровольной деятельности от вашего же лица
— Обещания денежного вознаграждения без особых усилий
— Письма приходят с несуществующего почтового ящика
«Услуга за услугу»
Квид про кво (от лат. Quid pro quo — «то за это») включает в себя помимо конкретных знаний в сфере ИТ, еще и актерское мастерство. Обычно это происходит по одному и тому же принципу. На рабочий телефон звонит человек, представляясь тем, кто работает в техподдержке, и заявляет о проблеме, возникшей на рабочем месте, после чего, используя некоторые маневры, он выманивает необходимую ему информацию. К тому же, он может посоветовать жертве установить некоторые файлы, что должны как бы помочь решить проблему, но на самом деле, они работают для негативных целей. Исследования доказывают, что сотрудники почти всегда будут согласны предоставить конфиденциальную информацию за какую-ту услугу или вознаграждение.
Троянский конь
Помните мифы Древней Греции и Рима? Про то, как данайцы пытались одолеть троянцев уловкой про коня, предоставив его как подарок в честь примирения? А ночью из него вышло войско и перерубило все население? Что-то схожее есть у этого мифа и Троянской программой. «Троян» жертва загружает добровольно, попав на «наживку» какой-то интересующей ее информации, она скачивает файл, прилагающий в комплекте. После чего, ее компьютер загружается вирусом, что может копировать, уничтожать, изменять данные на ПК, так же, он может получить доступ к конфиденциальной информации.
Плечевой серфинг
Это довольно простой способ, когда жертва часто неосознанно и достаточно открыто предоставляет личную информацию. Метод состоит в том, что злоумышленник видит личную информацию через само плечо данной особи. Обычно, это происходит в общественных местах, так как в 17 из 20 случаев человек вводит личную информацию, не проверяя, ли стоит кто-то за спиной.Обратная социальная инженерия
Звучит абсурдно, но это тот случай, когда жертва сама предлагает злоумышленнику свои данные, ссылаясь на авторитет или на возможности. Допустим, такая ситуация, что у вас пропали какие-то данные на ПК, вы решаете обратиться по этому поводу к специалисту (или к знакомому вам человеку, который разбирается в этом), чтобы он смог восстановить файл. Злоумышленник, который играет роль помощника, соглашается, но сообщает, что ему нужно зайти при помощи ваших учетных данных. Вы, ссылаясь на отсутствие времени, предоставляете ему эту информацию. Он решает вашу проблему, но параллельно получает ту информацию, что выгодна ему.
Сбор информации из открытых источников
Перед размещением какой-то информации, нужно всегда помнить тот факт, что эта информация будет доступна всем. Даже вполне вероятно и лицам, которые смогут принести вам вред, узнав о ней. Поэтому всегда стоит быть осторожным с размещением информации на страницах своих социальных сетей.
«Дорожное яблоко»
Чем-то схожий на Троянскую программу, только вместо файлов с Интернета, выступает любого рода носитель. Принцип действий такой: злоумышленник оставляет флешку или CD-диск с логотипом компании, интересной информацией для жертвы на видном месте . Человек, который нашел эту вещь, чтобы утолить свое любопытство, подсоединяет ее к своему ПК и соответственно заражает его.
