Што такое сацыяльная інжынерыя? 11 прыкладаў, на якія варта звярнуць увагу
Змест
Што такое сацыяльная інжынерыя?
Сацыяльная інжынерыя адносіцца да акту маніпулявання людзьмі з мэтай атрымання іх канфідэнцыйнай інфармацыі. Інфармацыя, якую шукаюць злачынцы, можа адрознівацца. Як правіла, людзі становяцца мішэнню для іх банкаўскіх рэквізітаў або пароляў іх уліковых запісаў. Злачынцы таксама спрабуюць атрымаць доступ да кампутара ахвяры, каб усталяваць шкоднаснае праграмнае забеспячэнне. Затым гэта праграмнае забеспячэнне дапамагае ім здабываць любую інфармацыю, якая ім можа спатрэбіцца.
Злачынцы выкарыстоўваюць тактыку сацыяльнай інжынерыі, таму што часта лёгка выкарыстаць чалавека, заваяваўшы яго давер і пераканаўшы яго адмовіцца ад сваіх асабістых дадзеных. Гэта больш зручны спосаб, чым непасрэдна ўзламаць чыйсьці кампутар без іх ведама.
Прыклады сацыяльнай інжынерыі
Вы зможаце лепш абараніць сябе, калі будзеце інфармаваныя аб розных спосабах сацыяльнай інжынерыі.
1. Прэтэкставанне
Падстава выкарыстоўваецца, калі злачынец хоча атрымаць доступ да канфідэнцыйнай інфармацыі ад ахвяры для выканання важнага задання. Зламыснік спрабуе атрымаць інфармацыю з дапамогай некалькіх старанна прадуманых хлусні.
Злачынца пачынае з усталявання даверу да ахвяры. Гэта можа быць зроблена, выдаючы сябе за сваіх сяброў, калег, супрацоўнікаў банка, паліцыі ці іншых органаў, якія могуць запытваць такую канфідэнцыяльную інфармацыю. Зламыснік задае ім серыю пытанняў пад падставай пацверджання сваёй асобы і пры гэтым збірае асабістыя даныя.
Гэты метад выкарыстоўваецца для атрымання рознага роду асабістых і афіцыйных звестак пра чалавека. Такая інфармацыя можа ўключаць у сябе асабістыя адрасы, нумары сацыяльнага страхавання, нумары тэлефонаў, тэлефонныя запісы, банкаўскія рэквізіты, даты адпачынку супрацоўнікаў, інфармацыю аб бяспецы, звязаную з бізнесам, і гэтак далей.
2. Дыверсійны крадзеж
Гэта тып махлярства, які звычайна накіраваны на кур'ерскія і транспартныя кампаніі. Злачынец спрабуе падмануць мэтавую кампанію, прымусіўшы яе даставіць свой пакет у іншае месца дастаўкі, чым першапачаткова задуманае. Гэты метад выкарыстоўваецца для крадзяжу каштоўных тавараў, якія дастаўляюцца па пошце.
Гэта махлярства можа праводзіцца як у аўтаномным рэжыме, так і ў інтэрнэце. Можна звярнуцца да персаналу, які нясе пасылкі, і пераканаць яго пакінуць дастаўку ў іншым месцы. Зламыснікі таксама могуць атрымаць доступ да сістэмы онлайн-дастаўкі. Затым яны могуць перахапіць графік дастаўкі і ўнесці ў яго змены.
3. фішынгу
Фішынг - адна з самых папулярных форм сацыяльнай інжынерыі. Фішынгавыя махлярствы ўключаюць электронную пошту і тэкставыя паведамленні, якія могуць выклікаць у ахвяраў пачуццё цікаўнасці, страху або тэрміновасці. Тэкст або электронны ліст падахвочваюць іх націскаць спасылкі, якія вядуць на шкоднасныя вэб-сайты або ўкладанні, якія ўсталёўваюць шкоднасныя праграмы на іх прылады.
Напрыклад, карыстальнікі інтэрнэт-сэрвісу могуць атрымаць паведамленне па электроннай пошце аб тым, што была зменена палітыка, якая патрабуе ад іх неадкладна змяніць свае паролі. Пошта будзе ўтрымліваць спасылку на нелегальны вэб-сайт, які ідэнтычны арыгінальнаму вэб-сайту. Затым карыстальнік будзе ўводзіць уліковыя дадзеныя свайго ўліковага запісу на гэтым сайце, лічачы яго законным. Пасля прадастаўлення іх звестак інфармацыя будзе даступная злачынцу.
4. Фішынг
Гэта тып фішынгавага махлярства, больш арыентаваны на канкрэтнага чалавека або арганізацыю. Зламыснік наладжвае свае паведамленні ў адпаведнасці з пасадамі, характарыстыкамі і кантрактамі ахвяры, каб яны выглядалі больш сапраўднымі. Фішынг патрабуе больш намаганняў з боку злачынца і можа заняць значна больш часу, чым звычайны фішынг. Аднак іх цяжэй ідэнтыфікаваць і яны маюць лепшы ўзровень поспеху.
Напрыклад, зламыснік, які спрабуе ажыццявіць фішынг на арганізацыю, адправіць электронны ліст супрацоўніку, выдаючы сябе за ІТ-кансультанта фірмы. Электронны ліст будзе аформлены такім жа чынам, як гэта робіць кансультант. Гэта будзе здавацца дастаткова сапраўдным, каб падмануць атрымальніка. Электронны ліст будзе прапаноўваць супрацоўніку змяніць свой пароль, даючы яму спасылку на шкоднасную вэб-старонку, якая будзе запісваць іх інфармацыю і адпраўляць яе зламысніку.
5. Вада-Holing
Афёра з вадой выкарыстоўвае перавагі надзейных вэб-сайтаў, якія рэгулярна наведвае вялікая колькасць людзей. Злачынец будзе збіраць інфармацыю аб мэтавай групе людзей, каб вызначыць, якія сайты яны часта наведваюць. Затым гэтыя вэб-сайты будуць правераны на ўразлівасці. З часам адзін або некалькі членаў гэтай групы будуць заражаныя. Затым зламыснік зможа атрымаць доступ да бяспечнай сістэмы гэтых заражаных карыстальнікаў.
Назва паходзіць ад аналогіі з тым, як жывёлы п'юць ваду, збіраючыся ў сваіх надзейных месцах, калі адчуваюць смагу. Яны не задумваюцца аб мерах засцярогі. Драпежнікі ведаюць пра гэта, таму яны чакаюць побач, гатовыя напасці на іх, калі іх ахова апусціцца. Прамыванне вады ў лічбавым ландшафце можа быць выкарыстана для здзяйснення некаторых з самых разбуральных нападаў на групу ўразлівых карыстальнікаў адначасова.
6. Цканне
Як відаць з назвы, цкаванне прадугледжвае выкарыстанне ілжывага абяцання, каб выклікаць у ахвяры цікаўнасць або прагнасць. Ахвяра завабліваецца ў лічбавую пастку, якая дапаможа злачынцу выкрасці яе асабістыя дадзеныя або ўсталяваць шкоднасныя праграмы ў іх сістэмы.
Цкаванне можа адбывацца як праз інтэрнэт, так і па-за сеткай. У якасці аўтаномнага прыкладу злачынец можа пакінуць прынаду ў выглядзе флэшкі, заражанай шкоднасным ПЗ, у бачных месцах. Гэта можа быць ліфт, ванная пакой, паркоўка і г.д. мэтавай кампаніі. Флешка будзе мець аўтэнтычны выгляд, што прымусіць ахвяру ўзяць яе і ўставіць у свой працоўны або хатні кампутар. Затым флэшка аўтаматычна экспартуе шкоднасныя праграмы ў сістэму.
Інтэрнэт-формы цкавання могуць быць у выглядзе прывабнай і павабнай рэкламы, якая заахвочвае ахвяр націскаць на яе. Спасылка можа загрузіць шкоднасныя праграмы, якія потым заразяць іх кампутар шкоднаснымі праграмамі.
7. Quid Pro Quo
Атака quid pro quo азначае атаку «нешта за нешта». Гэта разнавіднасць тэхнікі цкавання. Замест таго, каб цкаваць ахвяр абяцаннем выгады, атака quid pro quo абяцае паслугу, калі канкрэтнае дзеянне было выканана. Зламыснік прапануе фальшывую выгаду ахвяры ў абмен на доступ або інфармацыю.
Самая распаўсюджаная форма гэтай атакі - калі злачынец выдае сябе за ІТ-персанал кампаніі. Затым злачынец звязваецца з супрацоўнікамі кампаніі і прапануе ім новае праграмнае забеспячэнне або абнаўленне сістэмы. Затым супрацоўніку будзе прапанавана адключыць антывіруснае праграмнае забеспячэнне або ўсталяваць шкоднаснае праграмнае забеспячэнне, калі ён хоча абнавіць.
8. Хвастнік
Атаку хвоста таксама называюць падцягваннем. Гэта ўключае ў сябе злачынца, які імкнецца трапіць у закрытае месца, дзе не прадугледжаны належныя меры аўтэнтыфікацыі. Злачынец можа атрымаць доступ, прайшоўшы ззаду іншага чалавека, якому дазволена ўвайсці ў зону.
Напрыклад, злачынец можа выдаць сябе за кіроўцу-дастаўшчыка, у якога поўныя рукі пакетаў. Ён чакае, пакуль у дзверы ўвойдзе ўпаўнаважаны супрацоўнік. Затым дастаўшчык-самазванец просіць супрацоўніка прытрымаць яму дзверы, тым самым дазваляючы яму атрымаць доступ без усялякага дазволу.
9. Мядовая пастка
Гэты прыём заключаецца ў тым, што злачынец прыкідваецца прывабным чалавекам у Інтэрнэце. Чалавек сябруе са сваімі мэтамі і падрабляе адносіны з імі ў Інтэрнэце. Затым злачынец выкарыстоўвае гэтыя ўзаемаадносіны, каб атрымаць асабістыя дадзеныя сваіх ахвяр, пазычыць у іх грошы або прымусіць іх усталяваць шкоднасныя праграмы на свае кампутары.
Назва "мядовая пастка" паходзіць ад старой шпіёнскай тактыкі, калі жанчыны выкарыстоўваліся для нападу на мужчын.
10. Нягоднік
Нягоднае праграмнае забеспячэнне можа з'яўляцца ў выглядзе падробленага анты-шкоднаснага ПЗ, падробленага сканера, адпужвальнага праграмнага забеспячэння, антышпіёнскага ПЗ і г.д. Гэты тып камп'ютэрнага шкоднаснага ПЗ прымушае карыстальнікаў плаціць за імітацыю або падробленае праграмнае забеспячэнне, якое абяцае выдаліць шкоднаснае ПЗ. У апошнія гады фальшывае праграмнае забеспячэнне для бяспекі выклікае ўсё большую заклапочанасць. Нічога не падазравалы карыстальнік можа лёгка стаць ахвярай такога праграмнага забеспячэння, якое даступна ў вялікай колькасці.
11. Шкоднасныя праграмы
Мэта атакі шкоднасных праграм - прымусіць ахвяру ўсталяваць шкоднасныя праграмы ў свае сістэмы. Зламыснік маніпулюе чалавечымі эмоцыямі, каб прымусіць ахвяру дапусціць шкоднаснае ПЗ на свой кампутар. Гэты метад прадугледжвае выкарыстанне імгненных паведамленняў, тэкставых паведамленняў, сацыяльных сетак, электроннай пошты і г.д. для адпраўкі фішынгавых паведамленняў. Гэтыя паведамленні прымушаюць ахвяру перайсці па спасылцы, якая адкрые вэб-сайт, які змяшчае шкоднаснае ПЗ.
Для паведамленняў часта выкарыстоўваецца тактыка запужвання. Яны могуць сказаць, што з вашым уліковым запісам нешта не так і што вы павінны неадкладна націснуць на прадстаўленую спасылку, каб увайсці ў свой уліковы запіс. Затым па спасылцы вы загрузіце файл, праз які шкоднасная праграма будзе ўсталявана на ваш кампутар.
Будзьце ў курсе, будзьце ў бяспецы
Інфармаванне - гэта першы крок да абароны сябе ад атакі сацыяльнай інжынерыі. Асноўная парада - ігнараваць любыя паведамленні з запытам пароля або фінансавай інфармацыі. Вы можаце выкарыстоўваць спам-фільтры, якія пастаўляюцца з вашымі службамі электроннай пошты, каб пазначыць такія электронныя лісты. Атрыманне надзейнага антывіруснага праграмнага забеспячэння таксама дапаможа яшчэ больш абараніць вашу сістэму.
