Що таке соціальна інженерія?
Соціальна інженерія - це акт використання людських слабкостей для отримання доступу до особистої інформації та захищених систем. Соціальна інженерія покладається на маніпулювання людьми, а не на злому комп’ютерних систем для проникнення на рахунок цілі.
Розуміння соціальної інженерії
Наприклад, жінка може зателефонувати в банк жертви чоловіка і зробити вигляд, що його дружина вимагає надзвичайної ситуації і вимагає доступу до його рахунку. Якщо жінка може успішно здійснити соціальний інженер представника клієнтів банку, звертаючись до емпатії представника, вона може досягти успіху отримати доступ до рахунку чоловіка і зможе викрасти його гроші. Аналогічно, зловмисник може звернутися до відділу обслуговування клієнтів провайдера електронної пошти, щоб отримати скидання пароля, що дозволяє зловмиснику контролювати обліковий запис електронної пошти цілі, а не зловмивати його.
Соціальна інженерія відноситься до маніпулювання ціллю, щоб вони відмовились від ключової інформації. Окрім крадіжки особи, яка вказує особу, або компрометування кредитної картки чи банківського рахунку, соціальний інжиніринг може застосовуватися для отримання комерційних таємниць компанії або для використання національної безпеки.
Соціальний інжиніринг важко запобігти потенційним цілям. Застосовуються такі запобіжні заходи, як використання надійних паролів та двофакторна автентифікація для облікових записів, але рахунки все ще можуть бути порушені третіми особами з доступом до своїх рахунків, наприклад, банківськими працівниками. Однак люди можуть зменшити ризик, уникаючи надання конфіденційної інформації, будьте обережні при обміні інформацією в соціальних мережах, не повторюючи паролі, використовуючи двофакторну автентифікацію, використовуючи підроблені або важко здогадатися відповіді на питання безпеки облікового запису та зберігаючи пильний погляд на рахунки, особливо фінансові рахунки.
Зловмисники часто використовують напрочуд просту тактику в схемах соціального інжинірингу, таких як прохання людей про допомогу. Іншою тактикою є використання жертв катастроф, попросивши їх надати особисту інформацію, таку як дівочі прізвища, адреси, дати народження та номери соціального страхування зниклих або померлих близьких людей - інформацію, яка згодом може бути використана для крадіжки особи.
Постановка як професіонала з технічної підтримки або служби доставки - це прості способи отримати несанкціонований доступ до облікового запису, так як надсилання очевидно законного електронного листа із шкідливим вкладенням. Такі електронні листи часто надсилаються на робочу адресу електронної пошти, де люди рідше підозрюють невідомого відправника.
Електронні листи можуть бути замасковані так, ніби вони походять від відомого відправника, коли вони насправді надсилаються хакером. Більш детальна тактика, орієнтована на конкретних людей, може включати вивчення їх інтересів, а потім надсилання цілі посилання, пов'язане з цим інтересом. Посилання може містити шкідливий код, який може викрасти особисту інформацію зі своїх комп’ютерів. Популярні методи соціальної інженерії включають фішинг, риболовлю на котах, вигул хвостів та приманку.
