Що таке Соціальна інженерія? 11 прикладів, на які варто звернути увагу
Зміст
Що таке соціальна інженерія взагалі?
Соціальна інженерія означає акт маніпулювання людьми з метою отримання їхньої конфіденційної інформації. Інформація, яку шукають злочинці, може бути різною. Зазвичай цільовими особами є їхні банківські реквізити або паролі облікових записів. Злочинці також намагаються отримати доступ до комп’ютера жертви, щоб встановити шкідливе програмне забезпечення. Потім це програмне забезпечення допомагає їм отримати будь-яку інформацію, яка може знадобитися.
Злочинці використовують тактику соціальної інженерії, оскільки часто легко використати людину, завоювавши її довіру та переконавши її розкрити свої особисті дані. Це більш зручний спосіб, ніж безпосередній злом чийогось комп’ютера без його відома.
Приклади соціальної інженерії
Ви зможете краще себе захистити, якщо будете поінформовані про різні способи соціальної інженерії.
1. Претекстинг
Привід використовується, коли злочинець хоче отримати доступ до конфіденційної інформації від жертви для виконання критично важливого завдання. Зловмисник намагається отримати інформацію за допомогою кількох ретельно спланованих брехень.
Злочинець починає зі встановлення довіри до жертви. Це можна зробити, видаючи себе за своїх друзів, колег, службовців банку, поліції чи інших органів влади, які можуть запитувати таку конфіденційну інформацію. Зловмисник ставить їм серію запитань під приводом підтвердження своєї особи та збирає персональні дані в цьому процесі.
Цей метод використовується для отримання будь-якої особистої та офіційної інформації про людину. Така інформація може включати особисті адреси, номери соціального страхування, номери телефонів, телефонні записи, банківські реквізити, дати відпусток співробітників, інформацію про безпеку, пов’язану з бізнесом, тощо.
2. Диверсійна крадіжка
Це тип шахрайства, який зазвичай спрямований на кур’єрські та транспортні компанії. Злочинець намагається обдурити цільову компанію, змусивши її надати свій пакет доставки в інше місце доставки, ніж те, що спочатку передбачалося. Ця техніка використовується для крадіжки цінних товарів, які доставляються поштою.
Це шахрайство може здійснюватися як офлайн, так і онлайн. Можна звернутися до персоналу, який перевозить пакунки, і переконати його залишити доставку в іншому місці. Зловмисники також можуть отримати доступ до системи онлайн-доставки. Потім вони можуть перехопити графік доставки та внести в нього зміни.
3. Фішинг
Фішинг є однією з найпопулярніших форм соціальної інженерії. Фішингове шахрайство включає електронну пошту та текстові повідомлення, які можуть викликати у жертв почуття цікавості, страху або терміновості. Текст або електронний лист спонукає їх натискати посилання, які ведуть на шкідливі веб-сайти, або вкладення, які встановлюють шкідливе програмне забезпечення на їхні пристрої.
Наприклад, користувачі онлайн-сервісу можуть отримати електронний лист із заявою про те, що відбулися зміни в політиці, які вимагають від них негайно змінити свої паролі. Лист міститиме посилання на незаконний веб-сайт, ідентичний оригінальному веб-сайту. Потім користувач введе свої облікові дані на цьому веб-сайті, вважаючи його законним. Після надання своїх даних інформація стане доступною для злочинця.
4. Спис-фішинг
Це різновид фішингового шахрайства, спрямованого більше на конкретну особу чи організацію. Зловмисник налаштовує свої повідомлення на основі посад, характеристик і контрактів жертви, щоб вони виглядали більш справжніми. Фішинг вимагає більше зусиль з боку злочинця та може зайняти набагато більше часу, ніж звичайний фішинг. Однак їх важче ідентифікувати, і вони мають кращий рівень успішності.
Наприклад, зловмисник, який намагається здійснити фішинг на організацію, надішле електронний лист співробітнику, видаючи себе за ІТ-консультанта фірми. Електронний лист буде оформлено таким же чином, як це робить консультант. Це буде здаватися достатньо автентичним, щоб обдурити одержувача. Електронний лист запропонує працівнику змінити свій пароль, надавши йому посилання на шкідливу веб-сторінку, яка записує його інформацію та надсилає її зловмиснику.
5. Вода-Holing
Шахрайство використовує надійні веб-сайти, які регулярно відвідує багато людей. Злочинець збиратиме інформацію про цільову групу людей, щоб визначити, які веб-сайти вони часто відвідують. Потім ці веб-сайти будуть перевірені на наявність уразливостей. З часом один або кілька членів цієї групи будуть інфіковані. Потім зловмисник зможе отримати доступ до безпечної системи цих заражених користувачів.
Назва походить від аналогії з тим, як тварини п’ють воду, збираючись у своїх надійних місцях, коли відчувають спрагу. Вони не замислюються про вжиття заходів обережності. Хижаки знають про це, тому чекають поруч, готові напасти на них, коли їхня пильність буде знижена. Промивання цифрового ландшафту може бути використано для здійснення деяких із найруйнівніших атак на групу вразливих користувачів одночасно.
6. Приманювання
Як зрозуміло з назви, цькування передбачає використання фальшивої обіцянки, щоб викликати у жертви цікавість або жадібність. Жертва заманюється в цифрову пастку, яка допоможе злочинцю викрасти її особисті дані або встановити зловмисне програмне забезпечення в її системи.
Наманювання може відбуватися як через онлайн, так і офлайн. Як офлайн-приклад, злочинець може залишити приманку у вигляді флешки, зараженої шкідливим програмним забезпеченням, у помітних місцях. Це може бути ліфт, ванна кімната, автостоянка тощо цільової компанії. Флешка матиме автентичний вигляд, що змусить жертву взяти її та вставити у свій робочий чи домашній комп’ютер. Потім флешка автоматично експортує зловмисне програмне забезпечення в систему.
Онлайн-форми цькування можуть бути у формі привабливої та спокусливої реклами, яка спонукатиме жертв натискати на неї. Посилання може завантажувати шкідливі програми, які потім заражатимуть їхній комп’ютер шкідливим програмним забезпеченням.
7. Quid Pro Quo
Атака quid pro quo означає атаку «щось за щось». Це різновид техніки цькування. Замість того, щоб цькувати жертв обіцянками вигоди, атака quid pro quo обіцяє послугу, якщо було виконано певну дію. Зловмисник пропонує жертві фальшиву вигоду в обмін на доступ або інформацію.
Найпоширенішою формою цієї атаки є випадки, коли злочинець видає себе за ІТ-персоналу компанії. Потім злочинець зв’язується зі співробітниками компанії і пропонує їм нове програмне забезпечення або оновлення системи. Потім працівника буде запропоновано вимкнути антивірусне програмне забезпечення або встановити шкідливе програмне забезпечення, якщо він хоче оновлення.
8. Хвостовик
Напад хвоста також називається контрейлерним. Це пов’язано з тим, що злочинець намагається проникнути в закрите місце, де немає належних засобів аутентифікації. Злочинець може отримати доступ, пройшовши позаду іншої особи, якій було дозволено увійти в зону.
Наприклад, злочинець може видати себе за водія-кур'єра, у якого руки повні пакунків. Він чекає, поки в двері ввійде уповноважений працівник. Потім кур’єр-самозванець просить працівника притримати йому двері, тим самим дозволяючи йому доступ без будь-якого дозволу.
9. Медова пастка
Цей трюк передбачає, що злочинець прикидається привабливою людиною в Інтернеті. Людина дружить зі своїми цілями та імітує стосунки з ними в Інтернеті. Потім злочинець користується цими відносинами, щоб отримати особисті дані своїх жертв, позичити у них гроші або змусити їх встановити шкідливе програмне забезпечення на свої комп’ютери.
Назва «медова пастка» походить від старої шпигунської тактики, коли жінки використовувалися для нападу на чоловіків.
10. Негідник
Зловмисне програмне забезпечення може з’являтися у формі шахрайського захисту від зловмисного програмного забезпечення, шахрайського сканера, шахрайського відлякувального програмного забезпечення, антишпигунського програмного забезпечення тощо. Цей тип комп’ютерного зловмисного програмного забезпечення змушує користувачів платити за імітацію або підроблене програмне забезпечення, яке обіцяє видалити зловмисне програмне забезпечення. Останніми роками шахрайське програмне забезпечення безпеки викликає все більше занепокоєння. Нічого не підозрюючий користувач може легко стати жертвою такого програмного забезпечення, яке доступне у великій кількості.
11. Зловмисне програмне забезпечення
Мета атаки зловмисного програмного забезпечення полягає в тому, щоб змусити жертву встановити зловмисне програмне забезпечення у свої системи. Зловмисник маніпулює людськими емоціями, щоб змусити жертву впустити зловмисне програмне забезпечення на свої комп’ютери. Ця техніка передбачає використання миттєвих повідомлень, текстових повідомлень, соціальних мереж, електронної пошти тощо для надсилання фішингових повідомлень. Ці повідомлення обманом змушують жертву натиснути посилання, яке відкриє веб-сайт, який містить зловмисне програмне забезпечення.
Для повідомлень часто використовується тактика залякування. Вони можуть сказати, що з вашим обліковим записом щось не так і що ви повинні негайно натиснути надане посилання, щоб увійти в обліковий запис. Після цього посилання змусить вас завантажити файл, за допомогою якого шкідливе програмне забезпечення буде встановлено на ваш комп’ютер.
Будьте свідомі, будьте в безпеці
Бути в курсі – це перший крок до того, щоб захистити себе від атаки соціальної інженерії. Основна порада: ігноруйте будь-які повідомлення із запитом на введення пароля чи фінансової інформації. Щоб позначати такі електронні листи, можна використовувати спам-фільтри, які входять у ваші служби електронної пошти. Отримання надійного антивірусного програмного забезпечення також допоможе ще більше захистити вашу систему.
