Социальная инженерия: что такое, методы атак и способы их предотвращения Секрет фирмы

Тем самым исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями. Многие сотрудники ежедневно получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. Разумеется, при таком потоке корреспонденции невозможно уделить должное внимание каждому письму. Большинство пользователей систем электронной почты спокойно относятся к обработке таких сообщений, воспринимая эту работу как электронный аналог перекладывания бумаг из одной папки в другую. Когда злоумышленник присылает по почте простой запрос, его жертва часто выполняет то, о чем ее просят, не задумываясь о своих действиях. Электронные письма могут содержать гиперссылки, склоняющие сотрудников к нарушению защиты корпоративной среды.

Эволюция методов атаки

Скажите, что вам нужно время, чтобы добыть информацию, вам нужно спросить своего начальника, у вас сейчас нет нужных данных, – что угодно, чтобы дать себе время на осмысление. Задумайтесь на минуту о том, откуда исходит сообщение, – не доверяйте ему слепо. Вам внезапно позвонили и сообщили, что вы получили в наследство 5 миллионов долларов? Ваш руководитель просит в письме предоставить ему массу данных об отдельных сотрудниках?

  1. Если пароль все же утечет в руки злоумышленников, они не смогут пройти второй этап аутентификации и вы будете спасены.
  2. Фишинг является наиболее распространенным типом атаки социальной инженерии.
  3. Правдоподобность – ключевой аспект любой атаки с применением социальной инженерии, важность которого сложно переоценить.
  4. В большинстве случаев злоумышленник представляется сотрудником технической поддержки, опрашивающим, есть ли какие-нибудь технические проблемы.

Многоуровневая модель обеспечения безопасности

Жизненный цикл атаки позволяет преступникам выстроить надежную схему обмана пользователя. Как правило, атака на основе социальной инженерии включает следующие стадии. Социальные инженеры выстраивают мошеннические схемы, основываясь на своих знаниях о психологии человеческого поведения. Именно поэтому они легко манипулируют сознанием и действиями пользователей. Разобравшись с мотивами поведения своей жертвы, преступники могут эффективно применять методы психологического манипулирования.

Будьте осторожны онлайн и оффлайн

По сути, сам метод может использоваться и в рекламе, и при обычном общении между людьми. Но чаще всего его используют именно для кражи данных и денег, поэтому этот термин в основном ассоциируется с киберпреступлениями. Получив данные, киберпреступник может войти в систему и совершить любое необходимое ему действие.

Как защитить компанию от социальной инженерии

Если вы пользуетесь компьютером и мобильными устройствами, вам следует научиться предотвращать атаки с применением социальной инженерии. Ссылки на зараженные сайты могут быть отправлены по электронной почте, через ICQ и другие системы мгновенного обмена сообщениями, а также по каналам IRC. Клиенты некого банка получают https://cryptocat.org/ по электронной почте фальшивое сообщение якобы от этого банка с запросом на подтверждение их кодов доступа, но не по электронной почте и не по другим интернет-каналам. Вместо этого клиенту предлагалось распечатать форму из email-сообщения, заполнить ее и отправить факсом на телефонный номер киберпреступника.

Эта информация помогает организациям оставаться активными в своих стратегиях защиты. Любопытство является мощным мотиватором, и злоумышленники используют интригующие темы или обещания соблазнительного контента, чтобы побудить людей нажать на вредоносные ссылки или загрузить вредоносные вложения. Социальная инженерия это метод получения знаний о данных, связанных с безопасностью, путем использования человеческого фактора. В зависимости от уровня авторитета обманутого человека социальная инженерия наносит значительный ущерб. Также популярны различные способы мошенничества, направленные на кражу денег у пользователей мобильных телефонов. Они могут написать от лица директора, назвать имена и должности коллег, а потом попросить ответить на звонок «из ФСБ» или «из Центрального банка».

Важно защитить устройства, чтобы даже в случае успешной атаки социальный инженер не смог получить слишком много информации. Будь то смартфон, домашняя сеть или крупная корпоративная система, принцип действия одинаков. Злоумышленник использует предлог, чтобы привлечь внимание жертвы и заставить ее сообщить информацию.

Защита от атак социальной инженерии требует многогранного подхода, сочетающего в себе технологии, обучение, политику и упреждающие меры. Реализуя эти стратегии и сохраняя бдительность, организации могут значительно снизить риск стать жертвой тактики социальной инженерии. Проведение симуляций фишинговых кампаний может помочь сотрудникам распознавать фишинговые электронные письма и другие попытки социальной инженерии.

Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону[6]. Социáльная инженерия — в контексте информационной безопасности — психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации. Следует отличать от понятия социальной инженерии в социальных науках — которое не касается разглашения конфиденциальной информации. Совокупность уловок с целью сбора информации, подделки или несанкционированного доступа от традиционного «мошенничества» отличается тем, что часто является одним из многих шагов в более сложной схеме мошенничества[1].

На самом деле киберпреступники просто пытаются заработать деньги, продавая фейковые услуги или устраняя на самом деле несуществующие проблемы. Большинство методов социальной инженерии не требуют особых технических знаний со стороны злоумышленников, а значит использовать эти методы может кто-угодно — от мелких злоумышленников до опытных киберпреступников. sand криптовалюта Чтобы эффективно применить методы социальной инженерии, нужно знать, с чем и кем имеет дело кибермошенник. В компании преступника может заинтересовать количество сотрудников, графики их работы, перемещения, страхи, конфликты на рабочем месте и другое, что делает их уязвимыми. Опытный социальный инженер редко использует одну технику сбора данных.


Comments

Leave a Reply

Your email address will not be published. Required fields are marked *