Соц инженерия это: Что такое социальная инженерия: история, методы, примеры

Содержание

Социальная инженерия – что это такое, атаки с использованием социальной инженерии

Ряд нетехнических манипулирования пользователями, которые используются киберпреступниками во время атак.

Как осуществляются атаки с использованием социальной инженерии? Большинство методов социальной инженерии не требуют особых технических знаний со стороны злоумышленников, а значит использовать эти методы может кто-угодно — от мелких злоумышленников до опытных киберпреступников. Существует много методик, которые подпадают под общее понятие социальной инженерии в области кибербезопасности. Среди самых известных методик — спам и фишинг:

Спам — это массовая рассылка нежелательных писем. Чаще всего спам — это письмо электронной почты, которое отправляется сразу на большое количество адресов, но оно также может быть доставлено и через мгновенные сообщения, SMS и социальные сети. Сам спам не является социальной инженерией, однако в некоторых кампаниях используются его виды, такие как фишинг, целенаправленный фишинг (spearphishing), вишинг (vishing), смишинг (smishing), а также распространение вредоносных вложений или ссылок.

Фишинг — это форма кибератаки, во время которой преступник пытается завоевать доверие жертвы для выманивания конфиденциальной информации. Для получения данных злоумышленники также создают ощущение срочности или применяют тактику запугивания. Стоит отметить, что фишинговые кампании могут быть нацелены на большое количество случайных пользователей или конкретную личность или группу.

Целенаправленный фишинг — это форма фишинга, во время которой злоумышленник отправляет сообщения, направленные на конкретную группу людей или даже просто определенного человека с целью похищения данных или манипулирования ними во вредоносных целях.

Вишинг и смишинг — это методы социальной инженерии, которые подобны фишингу, но осуществляются не через электронную почту. В частности, вишингреализуется через мошеннические телефонные звонки, а для смишинга используются SMS-сообщения, содержащие вредоносные ссылки или информацию.

Выдача себя за другое лицо является другим популярным методом социальной инженерии, во время которого киберпреступники действуют якобы от имени определенного лица, вводя в заблуждение потенциальных жертв. Типичным примером является злоумышленник, который выдает себя за генерального директора определенной компании, заключает и утверждает мошеннические сделки, в то время как реальный генеральный директор находится в отпуске.

Аферы с технической поддержкой — это, как правило, ложные телефонные звонки или Интернет-реклама, в которой злоумышленники предлагают жертвам услуги службы технической поддержки. На самом деле киберпреступники просто пытаются заработать деньги, продавая фейковые услуги или устраняя на самом деле несуществующие проблемы.

Вредоносное программное обеспечение, цель которого вызвать у жертвы чувство страха или тревоги и таким образом заставить ее установить опасный код на устройство. Распространены случаи, когда пользователям отображалось сообщение о якобы заражение устройств угрозой, для удаления которой необходимо скачать антивирус (который на самом деле является вредоносным программным обеспечением).

Кибермошенничество — это схемы злоумышленников, в которых часто используются один или даже несколько методов социальной инженерии, описанных в этом разделе.

Почему компании малого и среднего бизнеса должны бояться социальной инженерии?

Согласно опросу, проведенному Zogby Analytics для Национального альянса по кибербезопасности США в 2019 году, все больше компаний осознают, что они являются целями киберпреступников. В частности, почти половина (44%) компаний с численностью работников 251-500 заявили, что сталкивались со случаями нарушения данных в течение последних 12 месяцев. Опрос также показал, что 88% представителей малого бизнеса считают, что они являются по крайней мере «вероятной» целью для киберпреступников, в том числе почти половина (46%) считают, что они — «очень вероятная» цель.

По оценкам Центра приема жалоб на мошенничество в Интернете (IC3) при ФБР, только в 2018 году в результате кибератак американские компании потеряли более 2,7 миллиардов долларов, в том числе 1,2 миллиарда долларов в результате атак с использованием компрометации деловой переписки (BEC)/компрометации электронных писем (EAC), которые позволяли несанкционированно переводить средства.

Как осуществляются атаки с использованием социальной инженерии?

Существует несколько признаков, которые помогут идентифицировать такую атаку. В частности, одна из них — плохая грамматика и правописание. Еще одной заметной чертой является чувство срочности, которое злоумышленники пытаются создать для уменьшения бдительности жертвы. Любой запрос на конфиденциальные данные также может вызвать подозрение: авторитетные компании никогда не  просят отправить им пароли или другие личные данные по электронной почте или текстовыми сообщениями.
Некоторые из признаков, которые помогут выявить социальную инженерию:

Как правило, злоумышленники не уделяют внимание деталям и присылают сообщение с ошибками, пропущенными словами и плохой грамматикой. Еще один языковой элемент, который может сигнализировать о возможной атаке — это формальные приветствия и фразы.

Большинство злоумышленников не тратят время на создание правдоподобного имени или домена отправителя. Итак, если электронное письмо поступает с адреса, который является набором случайных чисел и символов, или получатель вообще неизвестен, следует переместить письмо в папку спам.

Преступники часто пытаются запугать жертв с помощью фраз, которые вызывают тревогу, например, «срочно пришлите нам свои данные, или ваша посылка будет уничтожена» или  «если вы не обновите свой профиль сейчас, мы его удалим». Банки, компании по доставке, государственные учреждения и даже внутренние отделы компаний обычно общаются нейтрально и просто констатируют факт. Поэтому, если в сообщении пытаются заставить получателя действовать очень быстро, это может быть признаком атаки.

Официальные учреждения и даже отделы компании обычно не требуют отправки конфиденциальной информации по электронной почте или телефону, если об этом предварительно не договаривались.

Это касается розыгрышей подарков в социальных сетях, а также электронных писем с уникальными и ограниченными предложениями.

5 способов защитить свою организацию от атак с использованием социальной инженерии

1. Регулярное обучение по кибербезопасности всех работников, включая топ-менеджмент и ИТ-специалистов. Такое обучение должно показывать и моделировать случаи из  реальной жизни, поскольку методы социальной инженерии рассчитаны на пользователей с низким уровнем осведомленности в кибербезопасности. 2. Совершайте сканирование на наличие слабых паролей, которые могут использовать злоумышленники для попадания в сеть вашей организации. Кроме того, создайте дополнительный уровень защиты с помощью двухфакторной аутентификации.3. Внедряйте решения для защиты, которые предупреждают о возможных случаях мошенничества, а также сообщают об обнаружении спама и фишинга.

4. Создайте понятную политику безопасности с четким планом действий, которые нужно выполнить работникам, если они столкнутся с проявлениями социальной инженерии. 5. Используйте решения для управления, , например, ESET Security Management Center, чтобы обеспечить администраторам полный обзор сети, всех решений для защиты и событий для выявления и обезвреживания потенциальных угроз.

ESET PROTECT
Advanced

Комплексное решение обеспечивает многоуровневую защиту рабочих станций, мобильных устройств и файловых серверов от вредоносных программ с помощью простой в использовании единой консоли управления.

Подробнее

Мощная защита бизнеса Защитите корпоративные рабочие станции и конфиденциальные данные с помощью многоуровневых технологий ESET.

Мощная защита бизнеса Защитите корпоративные рабочие станции и конфиденциальные данные с помощью многоуровневых технологий ESET.

подробнее

подробнее

Похожие темы

Программы-вымогатели

Спам

Троян

Плечевой серфинг

Фишинг

Скрытый майнинг

Брандмауэр

Кража личной информации

Социальная инженерия — методы, которыми хакеры пользуются, чтобы обмануть корпоративных пользователей и обойти самые мощные системы информационной безопасности.

Социальная инженерия — методы, которыми хакеры пользуются, чтобы обмануть корпоративных пользователей и обойти самые мощные системы информационной безопасности. О ловушках, расставляемых доверчивым сотрудникам, — в статье по итогам выступления Кевина Митника на конференции «Информационная безопасность предприятия», прошедшей в Москве в 2005 году.

Кевин Митник — в прошлом хакер, взломавший информационные системы крупнейших компаний мира, а ныне консультант по информационной безопасности, учредитель компании Mitnick Security Consulting. Автор книг «Искусство обмана» и «Искусство вторжения».

Сегодня человеческий фактор в информационной безопасности играет гораздо более важную роль, чем 20 лет назад, когда Интернет не был коммерческим и его пользователями были лишь специалисты. Многие компании, которые думают, что проблему информационной безопасности можно решить просто с помощью аппаратных и программных средств, сильно заблуждаются.

Технологии безопасности, которым мы привыкли доверять, — межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и другие — малоэффективны в противостоянии хакерам, использующим методы социальной инженерии. Необходима мощная работа с персоналом, обучение сотрудников применению политики безопасности и техникам противостояния социоинженерам — только тогда ваша система безопасности будет комплексной.

Непрямая атака
Представьте ситуацию: крупный московский офисный центр. Вы входите в лифт и видите на полу компакт-диск с логотипом известной компании и наклейкой: «Строго конфиденциально. Заработная плата сотрудников за 2005 год». Самая естественная человеческая реакция — взять этот диск, отнести в свой офис и вставить в CD-ROM своего рабочего компьютера. Предположим, вы так и сделали. На диске — файл со знакомой иконкой MS Excel. Вы пытаетесь его открыть, но вместо столбиков цифр и фамилий видите лишь сообщение операционной системы: «ошибка, файл поврежден».

В этот момент на ваш компьютер, помимо вашей воли и вашего ведома, загружается вредоносная программа. В лучшем случае это «троянец», отслеживающий, какие клавиши вы нажимаете и какие совершаете операции, и передающий эту информацию по мгновенно налаженному каналу связи на чужой компьютер. В худшем варианте — вирус, который в считанные мгновения разрушит вашу информационную систему и распространится по локальной сети, пожирая всю корпоративную информационную систему. Вы ведь подключены к локальной сети, правда?
Это типичный пример социальной инженерии — нарушения информационной безопасности компании с помощью воздействия на человека. Есть много способов манипулировать людьми, и любопытство — только один из мотивов, которые можно использовать.

Почему злоумышленники прибегают к социальной инженерии?

  • Это проще, чем взломать техническую систему безопасности.
  • Такие атаки не вычислить с помощью технических средств защиты информации.
  • Это недорого.
  • Риск — чисто номинальный.
  • Работает для любой операционной системы.
  • Эффективно практически на 100%.

База для социоинженера
Первый этап любой атаки — исследование. Используя официальную отчетность компании-жертвы, ее заявки на патенты, сообщения о ней в прессе, рекламные буклеты этой фирмы и, конечно же, корпоративный сайт, хакер пытается получить максимум информации об организации и ее сотрудниках. В ход идет даже содержимое мусорных корзин, если его удается раздобыть. Социоинженер выясняет, кто в компании имеет доступ к интересующим его материалам, кто в каком подразделении работает и где это подразделение расположено, какое программное обеспечение установлено на корпоративных компьютерах…

Словом, все, что только можно.
Хакер всегда стремится выдать себя за того, кто имеет право на доступ к интересующим его данным и кому эти данные действительно нужны по долгу службы. Для этого он должен свободно ориентироваться в терминологии, владеть профессиональным жаргоном, знать внутренние порядки компании-жертвы. Затем следует разработка плана атаки: предстоит изобрести предлог или схему обмана, которые помогут построить доверительные отношения с нужным сотрудником. Если атака прошла успешно и работник организации ничего не заподозрил, хакер, скорее всего, не ограничится одним вторжением, а вернется и будет дальше пользоваться возникшим доверием.

Ошибка резидента (пример из фильма «Дневной дозор»): главный герой (Антон Городецкий), успешно сымитировав личность представителя вражеского стана, пытается проникнуть в этот самый стан. Проходя мимо охранника, он небрежно бросает ему: «Привет, Витек!» — ориентируясь на бейдж с именем стража, приколотый к его пиджаку. Разоблачение следует немедленно: пиджак на охраннике — чужой.

Самые распространенные методы атак:

  • Выяснение, передача или несанкционированная смена паролей
  • Создание учетных записей (с правами пользователя или администратора)
  • Запуск вредоносного программного обеспечения (например, «троянца»)
  • Выяснение телефонных номеров или иных способов удаленного доступа к корпоративной информационной системе
  • Фишинг (электронное мошенничество)
  • Несанкционированное добавление дополнительных прав и возможностей зарегистрированным пользователям системы
  • Передача или распространение конфиденциальной информации.

Прямая атака
В «доэлектронную эру» социальной инженерией пользовались злоумышленники, звонившие по телефону. Например, для того чтобы получить доступ к базе абонентов телефонной компании, достаточно было позвонить туда и представиться сотрудником сервисной службы, совершающим плановую проверку, или работником органов власти, уточняющим данные. Главное — выбрать нужный тон. Этот метод действует и сейчас, а современные средства телефонии только облегчают хакерам задачу. Так, с помощью специальной приставки к аппарату звонящий может изменить тембр голоса. А использование офисной мини-АТС помогает замести следы — усложнить определение номера, с которого звонят. Хакер набирает один из телефонов компании и спрашивает у сотрудника его логин и пароль, представляясь системным администратором. Если это крупная организация, где не все сотрудники знают друг друга, велика вероятность того, что пользователь сообщит социоинженеру интересующие его данные.

Невероятно, но факт: в ходе специального исследования 7 из 10 офисных сотрудниц лондонского вокзала Ватерлоо назвали свои логин и пароль незнакомцу в обмен на шоколадку!

С распространением компьютеров возможности социальной инженерии расширились. Теперь для атаки можно использовать электронную почту или ICQ. Иногда даже не нужно подделывать стиль того, от чьего имени пишешь, и сотрудник все равно ничего не заподозрит. Например, человеку приходит «письмо от начальства»: «Прошу направить мне копию базы данных по клиентам Северного Федерального округа в формате MS Excel в срок до 15.00 сегодня, 5 марта». Он, конечно же, направит — и прости-прощай секретные данные. Или «письмо от системного администратора»: «Уважаемые коллеги! В связи с обновлением версии системы совместной работы ваш логин и пароль изменен. Ваш новый логин и пароль — во вложенном файле». На самом же деле вложение содержит вирус, выводящий из строя операционную систему.

Последнее — реальный пример из недавней практики московской компании «Òàóýð».

Бреши в информационной системе — сотрудники обычно:

  • считают, что корпоративная система безопасности непогрешима, и теряют бдительность
  • легко верят полученной информации, независимо от ее источника
  • считают соблюдение корпоративной политики безопасности пустой тратой времени и сил
  • недооценивают значимость информации, которой владеют
  • искренне хотят помочь каждому, кто об этом просит
  • не осознают пагубных последствий своих действий.

Ключик к каждому
В различных странах люди по-разному подвержены социоинженерному воздействию. Россияне — не самая доверчивая нация, а вот жители США и Японии очень внушаемы. В каждой стране есть свои культурные особенности, которые должен учитывать социоинженер. Например, на западе прекрасно работает «норма взаимности»: если человеку сделать что-то приятное, он будет чувствовать себя обязанным и при первой же возможности постарается отплатить добром.

В Испании атака успешнее всего пройдет, если использовать личное доверие, завязать с жертвой приятельские отношения. А немец скорее поддастся на уловки хакера, если сыграть на его приверженности к корпоративному порядку.

Независимо от национальности, наиболее уязвимы для атак социоинженеров новые сотрудники. Как правило, им еще не успели рассказать о всех существующих корпоративных правилах, они не изучили регламентов информационной безопасности. Новички еще не знают всех своих коллег, особенно лично. К тому же, им свойственна повышенная доверчивость и готовность помочь, дабы зарекомендовать себя как активных и отзывчивых членов команды, на которых можно положиться. Они вряд ли будут интересоваться правами доступа социального инженера, который выдает себя за другого сотрудника, особенно вышестоящего.

Возможно, вас атакуют, если ваш собеседник:

  • проявляет к вам повышенный интерес, преувеличенное внимание и заботу
  • отказывается дать вам свои координаты
  • обращается к вам со странной или необычной просьбой
  • пытается втереться к вам в доверие или льстит вам
  • говорит с вами подчеркнуто начальственным тоном.

Даже самые бдительные сотрудники не всегда могут распознать социальную инженерию. Да они и не должны действовать как детектор лжи. Ключевой фактор успеха — обучение. Политики безопасности должны войти в плоть и кровь каждого, кто работает в компании. И, разумеется, прежде чем втолковывать сотрудникам суть этих политик, нужно их разработать.



Возврат к списку


Что такое социальная инженерия? — Определение, типы и многое другое

Что такое социальная инженерия простыми словами?

Большинство людей думают о киберугрозах как о вредоносных программах или хакерах, использующих уязвимости в программном обеспечении. Однако социальная инженерия — это угроза, когда злоумышленник обманом заставляет целевого пользователя разглашать конфиденциальную информацию, притворяясь знакомым человеком или службой. Злоумышленник может обманом заставить целевого пользователя раскрыть свой пароль или злоумышленник может обманом заставить целевого пользователя отправить деньги, притворившись высокопоставленным руководителем. Цели злоумышленников в кампании социальной инженерии различаются, но, как правило, злоумышленник хочет получить доступ к учетным записям или украсть личную информацию пользователя.

Как работает социальная инженерия?

Злоумышленник может иметь в виду конкретную цель, или злоумышленник может закинуть широкую сеть, чтобы получить доступ к как можно большему количеству частной информации. Прежде чем субъект угрозы проведет атаку с использованием социальной инженерии, его первым шагом является проведение комплексной проверки целевого пользователя или корпорации. Например, злоумышленник может получить имена и адреса электронной почты сотрудников финансового отдела со страницы организации в LinkedIn, чтобы идентифицировать целевых жертв и стандартные операционные процедуры.

Фаза разведки имеет решающее значение для успеха атаки социальной инженерии. Злоумышленник должен полностью понимать организационную структуру бизнеса и нацеливаться на тех, кто имеет полномочия для выполнения действий, необходимых для достижения успеха. В большинстве атак социальная инженерия предполагает, что субъект угрозы притворяется кем-то, кого знает целевой пользователь. Чем больше информации злоумышленник соберет о целевом пользователе, тем больше вероятность того, что атака с использованием социальной инженерии будет успешной.

Собрав достаточно информации, атакующий может предпринять следующие шаги. Некоторые атаки социальной инженерии требуют терпения, чтобы постепенно завоевать доверие целевого пользователя. Другие атаки являются быстрыми, когда субъект угрозы завоевывает доверие в течение ограниченного времени, показывая чувство срочности. Например, злоумышленник может позвонить целевому пользователю и притвориться сотрудником ИТ-поддержки, чтобы заставить пользователя раскрыть свой пароль.

Каковы шаги для успешной атаки социальной инженерии?

Как и большинство эффективных кибератак, социальная инженерия использует определенную стратегию. Каждый шаг требует тщательности, потому что злоумышленник стремится обманом заставить пользователя выполнить определенное действие. Социальная инженерия включает в себя четыре шага. Вот эти шаги:

Сбор информации: Этот первый шаг имеет решающее значение для успеха социальной инженерии. Злоумышленник собирает информацию из общедоступных источников, таких как вырезки из новостей, LinkedIn, социальные сети и целевой бизнес-сайт. Этот шаг знакомит злоумышленника с внутренней работой бизнес-подразделений и процедур.

Установление доверия: В этот момент злоумышленник связывается с целевым пользователем. Этот шаг требует беседы и убеждения, поэтому злоумышленник должен быть готов ответить на вопросы и убедить целевого пользователя выполнить действие. Злоумышленник должен быть дружелюбным и может попытаться связаться с целевым пользователем на личном уровне.

Эксплуатация: После того, как злоумышленник обманом заставил целевого пользователя раскрыть информацию, начинается эксплуатация. Эксплойт зависит от целей злоумышленника, но на этом этапе злоумышленник получает деньги, доступ к системе, крадет файлы или получает коммерческую тайну.

Выполнение: Получив конфиденциальную информацию, злоумышленник может выполнить конечную цель и выйти из мошенничества. Стратегия выхода включает в себя методы заметания следов, в том числе предотвращение обнаружения средствами контроля кибербезопасности целевой организации, которые могут предупредить администраторов о том, что сотрудника только что обманули.

Какая форма социальной инженерии наиболее распространена?

Термин «социальная инженерия» является широким термином, который охватывает многие киберпреступные стратегии. Социальная инженерия связана с человеческим фактором, поэтому злоумышленники нацелены на инсайдеров. Наиболее распространенной формой социальной инженерии является фишинг с использованием сообщений электронной почты. Под зонтиком фишинга находятся вишинг (голос) и смишинг (текстовые сообщения). Целью типичной фишинговой атаки является получение информации для получения денежной выгоды или кражи данных.

В фишинговом электронном письме злоумышленник выдает себя за человека из законной организации или члена семьи. Сообщение может содержать простой ответ или содержать ссылку на вредоносный веб-сайт. Фишинговые кампании могут быть нацелены на конкретных людей в организации — целевой фишинг — или злоумышленник может отправить сотни электронных писем случайным пользователям, надеясь, что хотя бы одно попадется на мошенническое сообщение. Нецелевые фишинговые кампании имеют низкий уровень успеха, но злоумышленнику не требуется много успешных сообщений, чтобы получить необходимую информацию для получения денежной выгоды.

Два варианта фишинга — смишинг и вишинг — преследуют те же цели, что и обычная фишинговая кампания, но используют разные методы. Атака «smishing» использует текстовые сообщения, чтобы сообщить целевым пользователям, что они выиграли приз и должны оплатить стоимость доставки, чтобы получить свои подарки. Для «голосового» фишинга требуется программное обеспечение, изменяющее голос, чтобы обмануть пользователей, заставив их думать, что злоумышленником является кто-то из законной организации.

Какой процент хакеров использует социальную инженерию?

Хакеры часто используют социальную инженерию, потому что она работает. Социальная инженерия и фишинг часто используются в сочетании как более эффективный способ заставить пользователей отправлять деньги или разглашать их конфиденциальную информацию (например, сетевые учетные данные и банковскую информацию). Фактически, большинство электронных писем, получаемых отдельными лицами и корпорациями, являются спамом или мошенническими электронными письмами, поэтому крайне важно интегрировать кибербезопасность в любую систему электронной почты.

По оценкам, 91% кибератак начинаются с сообщения электронной почты. Многие из них используют чувство срочности, чтобы у целевых жертв не было времени понять, что сообщения являются мошенничеством. Только в 3% атак используется вредоносное ПО, а 97% атак приходится на социальную инженерию. В некоторых изощренных атаках целевая жертва получает электронное письмо, а затем дополнительный звонок или сообщение.

Является ли социальная инженерия незаконной?

Социальная инженерия действительно является преступлением, потому что она использует обман, чтобы обманом заставить жертв разглашать конфиденциальную информацию. Типичные последствия приводят к дополнительным преступлениям в виде мошеннического доступа к частной сети, краже денег или личности пользователя, а затем к продаже личных данных на рынках даркнета.

Мошенничество с потребителями часто встречается в атаках с использованием социальной инженерии. Злоумышленник выдает себя за законную организацию, раздающую денежные призы в обмен на финансовые данные или небольшой платеж. После того, как целевая жертва предоставляет финансовые данные, злоумышленник крадет деньги непосредственно с банковского счета или продает номер кредитной карты на рынках даркнета. Кража личных данных и кража денег у целевых жертв являются серьезными преступлениями.

Некоторая социальная инженерия классифицируется как проступок и влечет за собой только штрафы и краткосрочные тюремные сроки. Если преступления связаны с более крупными денежными суммами или направлены против нескольких жертв, они могут повлечь за собой более суровые приговоры и более крупные штрафы. Некоторые преступления приводят к гражданским искам, в которых жертвы выигрывают судебные процессы против преступников и тех, кто участвует в мошенничестве с использованием социальной инженерии.

Насколько распространена социальная инженерия?

По разным причинам, но считается, что социальная инженерия используется в 95-98% целевых атак на отдельных лиц и корпорации. Учетные записи с высоким уровнем привилегий являются распространенной целью, и 43% администраторов ИТ-операций сообщили, что они стали целью атак социальной инженерии. Недавние сотрудники в сфере ИТ, скорее всего, станут целью. Корпорации говорят, что 60% новых сотрудников являются целевыми, а не постоянными сотрудниками.

Поскольку социальная инженерия настолько успешна, количество атак, основанных на фишинге и краже личных данных, за последние годы увеличилось на 500%. Кража личных данных — не единственная цель злоумышленника. Несколько других причин, по которым социальная инженерия является основным вектором атаки, включают:

— Мошеннический доступ к учетной записи для кражи данных или денег
— Финансовый доступ к банковским счетам или счетам кредитных карт
— Простые неприятные причины

Является ли социальная инженерия этичной?

Социальная инженерия является преступлением, поэтому вредоносные угрозы не учитывают этику при нацеливании на отдельных лиц и корпорации. Каждый является целью для злоумышленника, поэтому как отдельные лица, так и сотрудники должны знать, как осуществляется социальная инженерия. Злоумышленник должен знать свою цель и провести разведку, прежде чем проводить кампанию социальной инженерии, поэтому пользователи также должны понимать, как работает социальная инженерия.

Первым сигналом, указывающим на то, что вы стали объектом социальной инженерии, является то, что звонящий или отправитель электронной почты не будет отвечать ни на какие вопросы и отговаривает вас от вопросов, чтобы прояснить, почему у них срочный запрос. Их запросы могут показаться тонкими, но они запрашивают конфиденциальную информацию, не отвечая ни на один из ваших вопросов. В законной финансовой операции организация или банк отвечают на столько вопросов, сколько требуется, пока вы не почувствуете себя комфортно с действиями, которые они требуют от вас.

Еще одним неэтичным сигналом опасности является то, что большинство злоумышленников используют фишинг без голосовых сообщений. Если вы попросите о голосовом разговоре с запрашивающим, злоумышленник откажется. Этот красный флаг не всегда имеет место, но он должен сказать вам, что отправитель электронной почты не является законной организацией. В любом случае следует повесить трубку или прекратить общение с отправителем письма и напрямую позвонить по номеру телефона, указанному на сайте компании.

Некоторая социальная инженерия этична. Когда вы нанимаете белых хакеров для тестирования кибербезопасности на проникновение, они проверяют всех сотрудников на их способность обнаруживать атаки социальной инженерии. В ходе теста на проникновение сертифицированный этичный хакер звонит сотрудникам, чтобы определить, будут ли они разглашать свои сетевые учетные данные или отправлять фишинговые электронные письма со ссылкой, указывающей на вредоносный веб-сайт. Они регистрируют каждого пользователя, который щелкает ссылку, и отмечают пользователей, которые вводят свои учетные данные частной сети. Эта деятельность помогает организациям определить сотрудников, уязвимых для социальной инженерии, и предоставить им больше информации о протоколах кибербезопасности.

Сколько стоит атака с использованием социальной инженерии?

По данным Федерального бюро расследований, социальная инженерия обходится организациям в 1,6 миллиарда долларов по всему миру. Организации ежегодно платят в среднем 11,7 млн ​​долларов за преступления в области кибербезопасности.

Важным компонентом затрат является время, которое требуется организациям для обнаружения утечки данных, что составляет в среднем 146 дней. При атаке с использованием социальной инженерии администраторам и инфраструктуре кибербезопасности гораздо сложнее определить, когда сотрудник стал жертвой атаки. Любой сотрудник с законным доступом может сделать среду уязвимой для злоумышленников, когда они попадут в кампанию социальной инженерии и установят вредоносное программное обеспечение, предоставят злоумышленникам учетные данные или разгласят конфиденциальную информацию.

Что такое социальная инженерия? | IBM

Фишинг

Фишинговые атаки — это цифровые или голосовые сообщения, которые пытаются заставить получателей поделиться конфиденциальной информацией, загрузить вредоносное программное обеспечение, перевести деньги или активы не тем людям или предпринять какие-либо другие действия, наносящие ущерб. Мошенники создают фишинговые сообщения таким образом, чтобы они выглядели или звучали так, как будто они исходят от доверенной или заслуживающей доверия организации или лица — иногда даже лица, которого получатель знает лично.

Существует много типов фишинга:

  • Массовые фишинговые электронные письма рассылаются миллионам получателей одновременно. Похоже, что они отправлены крупным, известным бизнесом или организацией — национальным или глобальным банком, крупным интернет-магазином и т. д. — и делают общий запрос, такой как «, у нас возникли проблемы с обработкой вашей покупки, пожалуйста, обновите ваша кредитная информация .’
  • Целевой фишинг нацелен на конкретного человека, обычно имеющего привилегированный доступ к пользовательской информации, компьютерной сети или корпоративным средствам. Мошенник исследует цель — часто используя социальные сети — чтобы создать сообщение, которое, как кажется, исходит от кого-то, кого цель знает и которому доверяет, или которое относится к ситуациям, с которыми цель знакома. Китобойный промысел — это целевой фишинг, нацеленный на высокопоставленных лиц, таких как генеральный директор или политический деятель. При компрометации деловой электронной почты (BEC) хакер использует скомпрометированные учетные данные для отправки сообщений электронной почты с фактической учетной записи электронной почты авторитетного лица, что значительно затрудняет обнаружение мошенничества.
  • Голосовой фишинг или вишинг — это фишинг, осуществляемый посредством телефонных звонков. Люди обычно испытывают вишинг в виде записанных звонков с угрозами, утверждающих, что они из ФБР. Но компания IBM X-Force недавно определила, что добавление вишинга к целевой фишинговой кампании может увеличить ее успех в 3 раза.
  • SMS-фишинг, или смишинг , — это фишинг с помощью текстового сообщения.
  • Фишинг в поисковых системах включает хакеров, создающих вредоносные веб-сайты, которые занимают высокие позиции в результатах поиска Google по популярным поисковым запросам.
  • Фишинг Angler — это фишинг с использованием поддельных учетных записей в социальных сетях, которые маскируются под официальные учетные записи службы поддержки клиентов или групп поддержки клиентов, которым доверяют.

Согласно отчету IBM Cost of a Data Breach 2021 , фишинг является наиболее распространенным методом доставки вредоносных программ и второй по распространенности причиной утечки данных.

Наживка

Наживка соблазняет (без каламбура) жертв сознательно или невольно передавать конфиденциальную информацию или загружать вредоносный код, соблазняя их ценным предложением или даже ценным предметом.

Мошенничество с нигерийским принцем, пожалуй, самый известный пример этой техники социальной инженерии. Более современные примеры включают бесплатные, но зараженные вредоносным ПО игры, музыку или загрузки программного обеспечения. Но некоторые формы приманки едва ли искусны. Например, некоторые мошенники просто оставляют зараженные вредоносным ПО USB-накопители там, где их найдут люди, а затем захватывают их и используют, потому что «эй, бесплатный USB-накопитель». внимательно следит за уполномоченным лицом в области, содержащей конфиденциальную информацию или ценные активы. Задержка может быть физической — например, следовать за сотрудником через незапертую дверь. Но отключение также может быть цифровым, например, когда человек оставляет компьютер без присмотра, все еще войдя в частную учетную запись или сеть.

Предлог

Предлогая, мошенник создает для жертвы фальшивую ситуацию и выдает себя за подходящего человека для ее разрешения. Очень часто (и наиболее иронично) мошенник утверждает, что жертва пострадала от нарушения безопасности, а затем предлагает исправить ситуацию, если жертва предоставит важную информацию об учетной записи или контроль над компьютером или устройством жертвы. (С технической точки зрения, почти каждая атака с использованием социальной инженерии в той или иной степени связана с предлогом.)

Услуга за услугу

В мошенничестве «услуга за услугу» хакеры предлагают желаемый товар или услугу в обмен на конфиденциальную информацию жертвы. Поддельные выигрыши в конкурсах или кажущиеся невинными вознаграждения за лояльность («спасибо за оплату — у нас есть подарок для вас») — примеры уловок qui pro quo.

Оставить комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *