Що таке соціальна інженерія, і як її можна уникнути?

Шкідливе програмне забезпечення не є єдиною загрозою для Інтернету. Соціальна інженерія є величезною загрозою, і вона може вдарити вас по будь-якій операційній системі. Насправді, соціальна інженерія також може відбуватися по телефону і в ситуаціях "обличчям до обличчя".

Важливо бути в курсі соціальної інженерії і бути в пошуку. Програми безпеки не захистять вас від більшості загроз соціальної інженерії, тому ви повинні захистити себе.

Роз'яснення соціальної інженерії

Традиційні комп'ютерні атаки часто залежать від пошуку вразливості в коді комп'ютера. Наприклад, якщо ви використовуєте застарілу версію Adobe Flash - або, не дай бог, Java, яка була причиною 91% атак у 2013 році за даними Cisco - ви можете відвідати зловмисний веб-сайт і цей веб-сайт. використовує уразливість програмного забезпечення, щоб отримати доступ до вашого комп'ютера. Зловмисник маніпулює помилками в програмному забезпеченні, щоб отримати доступ і зібрати приватну інформацію, можливо, за допомогою кейлоггера, який вони встановлюють.

Трюки соціальної інженерії відрізняються тим, що замість них залучаються психологічні маніпуляції. Іншими словами, вони експлуатують людей, а не їх програмне забезпечення.

Ви, напевно, вже чули про фішинг, який є формою соціальної інженерії. Ви можете отримати електронний лист із заявою, що він є вашим банком, компанією з кредитних карток або іншою довіреною компанією. Вони можуть направити вас на фальшивий веб-сайт, маскується, щоб виглядати як справжній, або попросити вас завантажити та встановити шкідливу програму. Але такі трюки соціальної інженерії не повинні включати підроблені веб-сайти або шкідливі програми. Фішинг-лист може просто попросити вас надіслати відповідь електронною поштою особистою інформацією. Замість того, щоб намагатися використовувати помилку в програмному забезпеченні, вони намагаються використовувати звичайні взаємодії між людьми. Фішинг на спис може бути ще більш небезпечним, оскільки це фішинг, призначений для націлювання на конкретних людей.

Приклади соціальної інженерії

Одним з популярних трюків у службах чату та онлайн-іграх є реєстрація облікового запису з таким ім'ям, як "Адміністратор", і відправлення людям страшних повідомлень типу "ПОПЕРЕДЖЕННЯ: ми виявили, що хтось може зламати ваш обліковий запис, відповісти паролем для автентифікації". Якщо цільова адреса відповідає своїм паролем, вони впали на трюк, а зловмисник має свій пароль облікового запису.

Якщо хтось має особисту інформацію про вас, вони можуть використовувати її для отримання доступу до ваших облікових записів. Наприклад, для ідентифікації вас часто використовують інформацію, наприклад, дату народження, номер соціального страхування та номер кредитної картки. Якщо хтось володіє цією інформацією, вони можуть зв'язатися з бізнесом і зробити вигляд, що ви. Цей трюк зловмисно використовувався зловмисником, щоб отримати доступ до Yahoo! Обліковий запис поштою в 2008 році, надіславши достатньо особистих даних, щоб отримати доступ до облікового запису через форму для відновлення пароля Yahoo! Цей же метод можна використовувати для телефону, якщо у вас є особиста інформація, необхідна для автентифікації. Зловмисник з деякою інформацією про ціль може претендувати на них і отримати доступ до більшої кількості речей.

Соціальна інженерія також може бути використана особисто. Зловмисник може піти в бізнес, повідомити секретареві, що вони є ремонтною особою, новим працівником або пожежним інспектором в авторитетному і переконливому тоні, а потім бродити по залах і потенційно вкрасти конфіденційні дані або виправити помилки для корпоративного шпигунства. Цей трюк залежить від того, що зловмисник представляє себе як когось. Якщо секретар, швейцар або хто-небудь інший відповідач не ставить занадто багато запитань або придивлятись, трюк буде успішним.

Соціально-інженерні атаки охоплюють цілий спектр підроблених веб-сайтів, шахрайських електронних листів і непристойних повідомлень у чаті, аж до уособлення кому-небудь по телефону або особисто. Ці напади приходять у найрізноманітніших формах, але у всіх є одна спільна риса - вони залежать від психологічної хитрості. Соціальну інженерію називають мистецтвом психологічних маніпуляцій. Це один з основних способів «хакерів» фактично «зламати» рахунки в Інтернеті.

Як уникнути соціальної інженерії

Знання соціальної інженерії може допомогти вам боротися з нею. Будьте підозрілими щодо небажаних повідомлень електронної пошти, повідомлень чату та телефонних дзвінків, які вимагають приватної інформації. Ніколи не повідомляйте фінансову інформацію або важливу особисту інформацію по електронній пошті. Не завантажуйте потенційно небезпечні вкладення електронної пошти та запускайте їх, навіть якщо електронна пошта стверджує, що вони важливі.

Ви також не повинні переходити за посиланнями в електронному листі до конфіденційних веб-сайтів. Наприклад, не натискайте посилання в повідомленні електронної пошти, яке здається з вашого банку, і ввійдіть. Це може призвести до підробленого фішингового сайту, який маскується під сайт вашого банку, але з незначною іншою URL-адресою. Відвідайте веб-сайт безпосередньо.

Якщо ви отримаєте підозрілий запит - наприклад, телефонний дзвінок від вашого банку вимагає особистої інформації - зверніться безпосередньо до джерела запиту та попросіть підтвердження. У цьому прикладі можна зателефонувати до свого банку і запитати, чого вони хочуть, а не розголошувати інформацію комусь, хто претендує на ваш банк.

Програми електронної пошти, веб-переглядачі та пакети безпеки зазвичай мають фішингові фільтри, які попереджають вас, коли ви відвідуєте відомий фішинговий сайт. Все, що вони можуть зробити, це попередити вас, коли ви відвідуєте відомий фішинговий сайт або отримуєте відоме фішингове повідомлення, і вони не знають про всі фішингові сайти чи електронні листи. Здебільшого, від вас залежить захистити себе - програми безпеки можуть лише трохи допомогти.

Хорошою ідеєю є здобуття здорової підозри, коли ви маєте справу з проханнями про приватні дані і що-небудь інше, що може бути соціально-інженерним нападом. Підозрілість та обережність допоможуть захистити вас, як онлайн, так і офлайн.

Зображення: Джефф Тернет на Flickr