Важно знать социальную инженерию и быть в поиске. Программы безопасности не защитят вас от большинства угроз социальной инженерии, поэтому вам нужно защитить себя.
Социальная инженерия
Традиционные атаки на компьютерах часто зависят от обнаружения уязвимости в коде компьютера. Например, если вы используете устаревшую версию Adobe Flash - или, бог, запретите Java, которая была причиной 91% атак в 2013 году в соответствии с Cisco - вы могли посетить вредоносный веб-сайт и этот веб-сайт будет использовать уязвимость вашего программного обеспечения для доступа к вашему компьютеру. Злоумышленник манипулирует ошибками в программном обеспечении, чтобы получить доступ и собирать личную информацию, возможно, с помощью кейлоггера, который они устанавливают.
Трюки в сфере социальной инженерии различны, потому что вместо этого они связаны с психологическими манипуляциями. Другими словами, они используют людей, а не их программное обеспечение.
Вероятно, вы уже слышали о фишинге, который является формой социальной инженерии. Вы можете получить электронное письмо, подтверждающее, что оно принадлежит вашему банку, кредитной карте или другому доверенному бизнесу. Они могут направить вас на поддельный сайт, замаскированный, чтобы выглядеть как настоящий, или попросить вас загрузить и установить вредоносную программу. Но такие соц-технические трюки не обязательно должны включать поддельные веб-сайты или вредоносное ПО. Фишинг-адрес электронной почты может попросить вас отправить ответ электронной почты с личной информацией. Вместо того, чтобы пытаться использовать ошибку в программном обеспечении, они пытаются использовать обычные человеческие взаимодействия. Фишинг копья может быть еще более опасным, так как это фишинг, предназначенный для конкретных людей.
Примеры социальной инженерии
Одним из популярных трюков в чатах и онлайн-играх было зарегистрировать учетную запись с именем «Администратор» и отправить людям страшные сообщения типа «ПРЕДУПРЕЖДЕНИЕ: Мы обнаружили, что кто-то может взломать вашу учетную запись, ответить своим паролем, чтобы аутентифицировать себя». Если цель отвечает своим паролем, они попали на трюк, и у злоумышленника теперь есть свой пароль для учетной записи.
Если у кого-то есть личная информация, вы можете использовать его для доступа к своим учетным записям. Например, для идентификации вас часто используются такие данные, как дата рождения, номер социального страхования и номер кредитной карты. Если у кого-то есть эта информация, они могут связаться с бизнесом и притвориться вам. Этот трюк был классно использован злоумышленником, чтобы получить доступ к Yahoo! Сары Пэйлин Почтовая учетная запись в 2008 году, предоставляя достаточно личных данных, чтобы получить доступ к учетной записи через форму восстановления пароля Yahoo !. Один и тот же метод можно использовать по телефону, если у вас есть личная информация, которую бизнес требует для вас аутентификации. Злоумышленник с некоторой информацией о цели может притворяться им и получать доступ к большему количеству вещей.
Социальная инженерия также может использоваться лично. Злоумышленник может войти в бизнес, проинформировать секретаря о том, что они являются ответственным за ремонт, новым сотрудником или пожарным инспектором авторитетным и убедительным тоном, а затем бродят по залам и потенциально крадут конфиденциальные данные или заводские ошибки для выполнения корпоративного шпионажа. Этот трюк зависит от того, кто нападающий представляет себя, как кто-то, кем он не является. Если секретарь, швейцар или кто бы то ни было, не задают слишком много вопросов или слишком внимательно смотрят, трюк будет успешным.
Социально-технические атаки охватывают диапазон поддельных веб-сайтов, мошеннических писем и гнусных сообщений чата, вплоть до олицетворения кого-либо по телефону или лично. Эти атаки происходят в самых разных формах, но все они имеют одну общую черту - они зависят от психологического обмана. Социальную инженерию называют искусством психологических манипуляций. Это один из основных способов «хакеров» на самом деле «взломать» учетные записи в Интернете.
Как избежать социальной инженерии
Знание социальной инженерии может помочь вам сразиться с ней. Будьте подозрительны к нежелательным сообщениям электронной почты, сообщениям чата и телефонным звонкам, которые запрашивают личную информацию. Никогда не раскрывайте финансовую информацию или важную личную информацию по электронной почте. Не загружайте потенциально опасные вложения электронной почты и запускайте их, даже если электронная почта утверждает, что они важны.
Вы также не должны следовать ссылкам в электронном письме на чувствительные веб-сайты. Например, не щелкайте ссылку в электронном письме, которое появляется в вашем банке, и войдите в систему. Это может привести вас к поддельному сайту фишинга, замаскированному как сайт вашего банка, но с небольшим URL. Вместо этого посетите веб-сайт.
Если вы получаете подозрительный запрос - например, телефонный звонок из вашего банка запрашивает личную информацию - обратитесь напрямую к источнику запроса и попросите подтверждение. В этом примере вы позвоните в свой банк и спросите, чего они хотят, а не разглашают информацию кому-то, кто утверждает, что вы являетесь вашим банком.
Программы электронной почты, веб-браузеры и пакеты безопасности обычно имеют фильтры фишинга, которые предупреждают вас, когда вы посещаете известный фишинг-сайт.Все, что они могут сделать, это предупредить вас, когда вы посещаете известный фишинг-сайт или получаете известную фишинговую электронную почту, и они не знают обо всех фишинговых сайтах или электронных письмах. По большей части, вам нужно защищать себя - программы обеспечения безопасности могут только помочь.
Это хорошая идея для того, чтобы проявлять здравое подозрение, когда речь идет о запросах на личные данные и что-то еще, что может стать атакой социал-инженерии. Подозрение и осторожность помогут защитить вас, как в Интернете, так и в автономном режиме.
