Что такое социальная инженерия? Вот как вас могли взломать

17 ноября, 2020 Дядя Влад

Социальная инженерия – важный термин в мире безопасности, но вы, возможно, не знаете, что именно он означает. Хотя это обширная тема, существуют определенные типы социальной инженерии, которые мы можем изучить, чтобы узнать больше.

Давайте рассмотрим социальную инженерию как концепцию, чтобы вы не стали ее жертвой.

В сфере безопасности социальная инженерия – это акт манипулирования людьми с целью кражи у них личной информации или вынудить их отказаться от такой конфиденциальной информации. Социальная инженерия основана на использовании преимуществ человеческой природы, которая обычно является самым слабым звеном в сильной системе.

Социальная инженерия, в отличие от многих других технических атак, не пытается напрямую проникнуть в компьютерные системы. В то время как хакер может написать программу, которая пытается подобрать чей-то пароль или использовать ошибку в программном обеспечении, социальная инженерия полагается только на обман или манипулирование жертвами, чтобы сделать то, что хочет злоумышленник.

Хотя социальная инженерия предшествовала эпохе Интернета (подумайте о тактике продаж, которая заставляет вас покупать то, чего вы не хотите), эта практика стала гораздо более распространенной в Интернете.

Даже с надежными паролями, первоклассным программным обеспечением для обеспечения безопасности и физически защищенными машинами обманутый человек может быть уязвимым и по-прежнему вызывать нарушение безопасности в компании или в своей собственной системе.

Большинство людей признают явное мошенничество. Поскольку осведомленность об этих уловках со временем возросла, мошенники, которые ими управляют, должны регулярно менять свою тактику, чтобы поддерживать их жизнеспособность.

В результате со временем меняются конкретные схемы социальной инженерии. Однако многие из этих приемов используют сочетание следующих элементов:

Тактика запугивания: если мошенник может заставить вас опасаться, что скоро произойдет что-то плохое, вы с большей вероятностью последуете его примеру, не задумываясь критически. Например, они могут выдать себя за правительство и потребовать уплаты налогов под угрозой ареста.
Ощущение безотлагательности: чтобы заставить вас действовать до того, как вы подумаете, многие аферы социальной инженерии требуют немедленных действий, чтобы вы не «потеряли свою учетную запись» или что-то подобное.
Выдача себя за законную компанию: чтобы убедить вас, что они не фальшивки, злоумышленники будут использовать аутентично выглядящие элементы в своих сообщениях электронной почты или других сообщениях.
Расплывчатая формулировка: поскольку атаки социальной инженерии обычно обращаются к многим людям одновременно, большинство из них не относится к вам. Общие формулировки и отсутствие конкретной причины для сообщения – признаки того, что вы имеете дело с подделкой.

Затем давайте взглянем на некоторые распространенные формы социальной инженерии, чтобы увидеть, как это работает.

Фишинг

Вы, наверное, знакомы с фишингом. Это один из самых распространенных видов социальной инженерии. Это атака, при которой кто-то притворяется законным лицом, обычно по электронной почте, и запрашивает конфиденциальную информацию.

Часто он якобы исходит от PayPal, Apple, вашего банка или другой доверенной компании и просит вас «подтвердить» свои данные или просмотреть подозрительную транзакцию.

Чтобы защититься от фишинга, никогда не переходите по ссылкам в электронных письмах и помните, что законные компании не запрашивают конфиденциальную информацию таким образом. Убедитесь, что вы также знакомы с различными формами фишинга .

Телефонное мошенничество

Телефонное мошенничество более старомодно, чем фишинг по электронной почте, но оно по-прежнему популярно. В этих схемах кто-то звонит вам, утверждая, например, что вы принадлежите к компании, выпускающей кредитную карту, и просит вас подтвердить свои данные из-за подозрительной активности.

Они также могут притвориться, что представляют компьютерную фирму, которой необходимо «исправить вирусные инфекции» на вашем компьютере.

По телефону вор может установить более личную связь, чем по электронной почте. Но если вы обратите внимание, легко узнать, когда вы разговариваете по телефону с мошенником .

Приманка

Хотя это не так широко распространено, как вышеперечисленные формы, травля – это форма социальной инженерии, которая использует человеческое любопытство. В этих атаках мошенник оставляет зараженный компакт-диск или USB-накопитель в том месте, где, как он надеется, кто-то его заберет. Если вы затем вставите носитель в свой компьютер, вы можете столкнуться с вредоносным ПО, если содержимое диска будет работать автоматически.

Эта атака более сложна, поскольку использует физические носители. Однако он показывает, что никогда не следует подключать к компьютеру флеш-накопитель или другое устройство, если вы ему не доверяете.

Tailgating

Эта атака, в отличие от других, полагается на физическое присутствие мошенника. Отслеживание относится к получению доступа к защищенной области путем совмещения с другим (законным) лицом.

Типичным примером этого является дверь на рабочем месте, где вам нужно отсканировать карточку-ключ, чтобы войти. Хотя принято вежливо держать дверь открытой для кого-то позади себя, большинство компаний не хотят, чтобы вы это делали. Человек, стоящий за вами, может пытаться прокрасться в место, где ему быть не должно, рассчитывая на вашу доброту.

Это в основном применимо для использования в бизнесе, но разумно помнить, что вы также должны защищать физический доступ к своему компьютеру . Кто-то, кто сможет незаметно проникнуть на вашу машину, может нанести большой ущерб.

Пугающее ПО

Иногда это называется «пугающим программным обеспечением», оно служит своего рода смесью фишинга и вредоносного ПО. В этих атаках вам угрожают ложными сообщениями в надежде, что вы заплатите деньги мошеннику или откажетесь от конфиденциальной информации.

Одна из распространенных форм пугающего ПО – это поддельные предупреждения о вирусах . Сами по себе они не опасны, но заставляют вас думать, что это реальные признаки заражения вашего устройства. Мошенники надеются, что вы попадете на фальшивку и либо отправите им деньги, чтобы «исправить» заражение, либо загрузите их программное обеспечение, что на самом деле опасно.

Еще один распространенный метод запугивания – это электронные письма-вымогатели . В них вы получите электронное письмо от кого-то, кто утверждает, что у вас есть компрометирующий контент или что-то подобное. Они требуют плату, чтобы не дать им опубликовать видео или изображение для всех ваших друзей. Конечно, на самом деле у них нет такой информации; они просто надеются, что вы им поверите.

Как мы видели, социальная инженерия принимает множество форм, и часто бывает трудно обнаружить. Чтобы защитить себя от этих и подобных атак, помните следующее:

Не доверяйте электронной почте . Электронные письма – один из самых простых способов подделки сообщений. Никогда не нажимайте на ссылку в электронном письме, если вы этого специально не ожидали. Всегда безопаснее напрямую посещать веб-сайты.
Не действуй бездумно . Если вы получаете сообщение, основанное на ваших эмоциях, скорее всего, оно создано для того, чтобы вас обмануть. Остановитесь и подумайте, когда вы особенно обеспокоены или любопытны, поскольку в таких случаях вы с большей вероятностью примете поспешные решения.
Всегда подтверждайте подозрительную информацию . Если кто-то утверждает, что пришел из определенной компании, попросите у него информацию, подтверждающую это. Если они отвечают расплывчатыми отговорками, они лгут.

Даже если вы никогда не станете жертвой сложного эксплойта или ваш пароль не будет взломан, вы все равно можете остаться без помощи схемы социальной инженерии. Распознавая эти распространенные виды мошенничества и критически подходя к их возникновению, вы можете избежать игры на руку мошеннику.

Между тем, социальная инженерия – не единственный способ использования психологии человека в Интернете.

Кредит изображения: wk1003mike / Shutterstock