Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных кредитной карты эта информация сразу направляется к злоумышленнику. Конечно, мгновенный обмен сообщениями — это еще и один из способов запроса информации. Для распространения этого подхода в организации в политику безопасности следует включить конкретные принципы использования электронной почты, охватывающие перечисленные ниже элементы.
Станьте ценным специалистом широкого профиля в области информационной безопасности на онлайн-магистратуре МИФИ. Чтобы не попасться на крючок, нужно соблюдать базовые правила цифровой безопасности и гигиены, а также заботиться о своем психологическом состоянии. Так или иначе, любые техники социальной инженерии предполагают игру на эмоциях. Страх методично нагнетают, пока не нащупают болезненное место жертвы. В этот момент жертва может на секунду протрезветь и подумать, что есть в этом что-то подозрительное. В общем, разговор тет-а-тет с человеком в состоянии шока и паники — лучший сценарий для злоумышленника.
Как распознать фишинг-атаку
Социальная инженерия — это целенаправленное манипулирование людьми, с помощью как устроен биткоин которого злоумышленники совершают кибератаки, обманывают и получают несанкционированный доступ к данным. Рассказываем, что такое социальная инженерия в кибербезопасности, какие технические и психологические приемы используют злоумышленники. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте ,и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий.
Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований. Одна из особенностей служб мгновенного обмена сообщениями — это неформальный характер общения. Кевин Митник утверждал, что намного проще получить пароль путем обмана, нежели пытаться взломать систему безопасности В 2002 году выходит книга “The Art of Deception” под его авторством, повествующая о реальных историях применения социальной инженерии. Примером обратной социальной инженерии может служить следующий простой сценарий.
- Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем.
- Социальная инженерия — это целенаправленное манипулирование людьми, с помощью которого злоумышленники совершают кибератаки, обманывают и получают несанкционированный доступ к данным.
- Чтобы достичь свей цели, преступник может попытаться вызвать у жертвы следующие эмоции.
- Не пренебрегайте правилами информационной безопасности и принимайте любые решения взвешенно.
- К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», содержат огромное количество данных, которые люди и не пытаются скрыть.
Техники
Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную и содержащую форму, требующую ввести конфиденциальную информацию.
Что такое PII? Как мне удалить мою информацию из интернета?
Теперь уже жертва просит злоумышленника войти в систему под её именем, чтобы попытаться восстановить файл. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Этот тип атаки распространён в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте. Плечевой серфинг (англ. shoulder surfing) включает в себя наблюдение личной информации жертвы через её плечо. Тем самым исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.
Если, щелкнув присланную злоумышленником гиперссылку, пользователь загрузит в корпоративную сеть троянскую программу или вирус, это позволит легко обойти многие виды защиты. Когда злоумышленник присылает по почте простой запрос, его жертва часто выполняет то, о чем ее просят, не задумываясь о своих действиях. Знаменитый компьютерный хакер и консультант по безопасности в известном англоязычном интернет-журнале “Phrack Magazine”, Архангел продемонстрировал возможности техник социальной инженерии, за короткое время получив пароли от огромного количества различных систем, обманув несколько сотен жертв. Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл.
Атаки на водопои
В них могут содержаться ссылки на вредоносные сайты или просьбы перезвонить для «уточнения информации». Мошенник звонит жертве и пытается выудить конфиденциальные данные или деньги. Также мошенники создают поддельные веб-сайты и приложения, имитируя настоящие, чтобы ввести жертв в заблуждение и завладеть их данными», – добавляет эксперт компании «Газинформсервис» Марина Пробетс.
Примеры атак с использованием социальной инженерии
Эмоциональные манипуляции позволяют злоумышленникам добиваться своего практически в любой ситуации. Тактики, используемые злоумышленниками, заставляют людей делать то, чего они никогда не сделали бы в других обстоятельствах. Специалисты по социальной инженерии умеют сбивать своих жертв с толку.
Злоумышленники не проникают в системы принудительно, а скорее убеждают жертву «открыть дверь», предоставляя ключевые данные, неосознанно запуская вредоносное программное обеспечение или совершая мошеннические переводы.Такое манипулирование может осуществляться как онлайн (по электронной почте, в чатах или по телефону), так и лично. La социальная инженерия Его определяют как набор психологических манипулятивных приемов, которые эксплуатируют доверие людей, их неосторожность и эмоциональные решения, чтобы заставить их выполнить какие-либо действия или раскрыть конфиденциальную информацию. Обучая сотрудников тактике, используемой киберпреступниками, компании могут лучше выявлять и пресекать мошеннические схемы. К тому же современные методы социальной инженерии становятся все более изощренными. Из-за этой особенности такие атаки менее предсказуемы и выстроить полноценную защиту только за счет готовых технических решений не получится.
Среди рекомендуемых ресурсов – кампании, продвигаемые Управление интернет-безопасности (OSI) INCIBE, а также руководства и симуляторы от компаний, занимающихся кибербезопасностью. Тем не менее, Активная бдительность, здравый смысл и скептицизм по отношению ко всему незнакомому остаются лучшей защитой от социальной инженерии.. Одна из самых частых ошибок — думать, что хорошего антивируса или решения по кибербезопасности достаточно, чтобы заблокировать риск. В последние годы распространение искусственного интеллекта (ИИ) изменило правила игры в социальной инженерии. В цифровом варианте это происходит, когда кто-то использует открытые сеансы или оставленный без присмотра компьютер с активным сеансом, осуществляя несанкционированный доступ.
Что является лучшей защитой от социальной инженерии?
Человеческий фактор для хакеров всегда будет лазейкой в системе информационной безопасности даже в самой защищенной компании. Обычно определение «социальная инженерия» используют, чтобы обобщить различные способы манипуляции человеком в контексте информационной безопасности (ИБ). Кроме того, можно планировать имитированные фишинговые атаки, устанавливая параметры и время их проведения.
Фишинг
Патриция Данн, президент корпорации Hewlett Packard, сообщила, что HP наняла частную компанию с целью выявить тех сотрудников компании, кто был ответственен за утечку конфиденциальной информации. Мгновенный обмен сообщениями — сравнительно новый способ передачи данных, однако он уже приобрел широкую популярность среди корпоративных пользователей. Для защиты от таких атак, нужно изучить их разновидности, понять что нужно злоумышленнику и оценить ущерб, который может быть причинен организации. Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников.
Безопасная работа в сети
- В общем, разговор тет-а-тет с человеком в состоянии шока и паники — лучший сценарий для злоумышленника.
- Вместе с обновлениями поставщики часто выпускают исправления безопасности.
- Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.
- Некоторые трояны отправляют IP-адрес машины-жертвы атакующей стороне по электронной почте или каким-либо другим способом.
- Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, злоумышленник просит жертву сообщить пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя цель совершить необходимое действие или предоставить определенную информацию.
Регулярные тренинги по информационной безопасности для сотрудников — один из лучших способов снизить риски. Распознать социальную инженерию может быть сложно, так как злоумышленники используют психологические манипуляции, играют на чувствах страха или доверия. Клон-фишинг — это усовершенствованный вид фишинга, где социальный инженер создает копию реального сообщения, которое жертва уже получала. Фишинг – это рассылка поддельных писем, которые имитируют сообщения от руководства, партнеров компании, банков, государственных учреждений или интернет-сервисов. Основная цель социальной инженерии — получить доступ к системам или данным, в том числе составляющим коммерческую тайну, без необходимости преодолевать сложные технические барьеры. Преступники используют доверие, страх, жадность или любопытство, чтобы заставить человека добровольно раскрыть свои данные или выполнить определенные действия.
Заметив вашу переписку с известным брендом, они от лица компании предлагают вам обсудить ваш вопрос в личных сообщениях, где и продолжают атаку. Иногда злоумышленники выбирают более простые методы для проникновения в вашу сеть или устройство. Правдоподобность – ключевой аспект любой атаки с применением социальной инженерии, важность которого сложно переоценить. Узнав, что вам грозит проблема, требующая незамедлительного решения, вы можете забыть о безопасности и передать злоумышленнику свои конфиденциальные данные. Выдавая себя за легитимного пользователя, злоумышленник может обратиться в службу IT-поддержки и узнать ваши личные данные, например имя, дату рождения или адрес. Но такое общение заканчивается после того, как жертва совершит нужное преступнику действие, например передаст информацию или установит вредоносное ПО на свое устройство.
Например, мошенник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью “Заработная плата руководящего состава”. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал «жертву» и создал фальшивый аккаунт человека из ее окружения – ее начальника. Многие современные трояны также могут беспрепятственно обходить файрволы на компьютерах пользователей. Поэтому сегодня многие трояны соединяются с компьютером атакующей стороны, отвечающий за прием соединений соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой. В настоящее время, благодаря NAT-технологии, получить доступ к большинству компьютеров через их внешний IP-адрес невозможно.
Компрометация сети – еще один способ добыть сведения о вашей жизни. Для усиления защиты можно создать вопрос, ответ на который очевиден, но неточен. Не сообщайте посторонним место учебы, имя домашнего питомца, место рождения и другую личную информацию. Дополнительными «факторами» могут быть биометрия, например отпечаток пальца или скан лица, или одноразовые коды, которые будут приходить в текстовом сообщении.
Отравление DNS-кеша – это атака, во время которой на ваше устройство поступает команда о замене легитимного URL-адреса или нескольких URL-адресов на адрес вредоносного сайта. DNS-спуфинг – это атака, во время которой преступники перехватывают ваши запросы к веб-серверам и перенаправляют вас на другие сайты. Такой подход требует от злоумышленника более проактивных действий. Скачайте гайд против телефонных мошенников с бесплатным доступом к Kaspersky Who Сalls. Например, на просматриваемой странице может всплыть фальшивое окно с полями для ввода учетных данных.
