Свежие комментарии

  • geo1804
    - который мужественно справляется с бабами и ребятишкамиЧто такое “настоя...
  • Mir Tesen
    Опечатки бывают... В следующем же предложении информация дана корректно. Спасибо за замечание, исправили!10 фактов о Маври...
  • Андрей Баканин
    "Мавритания богата полезными ископаемыми, особенно железом и рудой." Источник: https://infonotes.ru/10-faktov-o-mavri...10 фактов о Маври...

Социальная инженерия, что это такое. Как избежать атаки и обезопасить себя?

Социальная инженерия, что это такое. Как избежать атаки и обезопасить себя?

 

Целью большинства кибератак является доступ к конфиденциальной информации. Которую можно продать в темной сети, получить выкуп или использовать для крупномасштабных сбоев. Большой процент таких атак имеет компонент социальной инженерии.

Социальную инженерию можно определить как манипулирование ничего не подозревающими (а часто даже подозрительными людьми). С целью разглашения частной или конфиденциальной информации. Или совершения действия, которое может быть использовано хакерами.

Характер информации, которой делятся жертвы, может быть разным. Но она может включать в себя личную информацию, финансовую информацию и все остальное. Что преступники могут использовать для доступа к вашему компьютеру, банковским счетам и т. д.

Социальная инженерия сейчас в моде, потому что это чисто психологическая игра. Преступники используют распространенную человеческую черту доверять. И эксплуатируют человеческие эмоции. Такие как беспокойство, страх, разногласия, разочарование и многое другое.

Такие методы атаки популярны, потому что гораздо проще использовать такие естественные склонности. Чем создавать сложные коды для взлома программного обеспечения, используя уязвимость. Кроме того, если преступникам повезет, результаты будут намного быстрее.

Задумайтесь об этом на секунду. Что лучше – человек, которого обманывают, заставляя добровольно поделиться паролем. Или хакер, пытающийся раскопать пароль, используя набор хакерских методов?

 

Задумайтесь об этом на секунду. Что лучше - человек, которого обманывают, заставляя добровольно поделиться паролем. Или хакер, пытающийся раскопать пароль, используя набор хакерских методов?

 

 

Как обнаружить атаку социальной инженерии?

Существует много методов социальной инженерии. Но большинство из них имеют общую черту. А именно они создают ощущение срочности и любопытства. И они, как правило, от кого-то, кого вы знаете.

 

Электронная почта друга

 

Это довольно распространенный тип атаки. Киберпреступник взламывает электронную почту друга, получая доступ к его/ее паролю. Взлом электронной почты вашего друга дает преступнику доступ к списку контактов друзей, в котором есть и вы. И помните, этот друг, обычно, не знает, что его/ее аккаунт электронной почты был взломан.

Затем преступник создает электронное письмо и отправляет его всем контактам. Если преступник имеет доступ к контактам вашего друга в социальных сетях, то сообщения отправляются и им. Но и это еще не все. Есть очень большая вероятность, что друзья друзей этого человека также получат письмо или сообщение.

Здесь преступник играет с законом больших чисел. Не все станут жертвами. А это означает, что не все предпримут необходимые действия с электронной почтой. Преступник увеличивает свои шансы, рассылая электронные письма и сообщения максимально широкой аудитории.

 

Это довольно распространенный тип атаки. Киберпреступник взламывает электронную почту друга, получая доступ к его/ее паролю. Взлом электронной почты вашего друга дает преступнику доступ к списку контактов друзей, в котором есть и вы.

 

Итак, о чем эти сообщения?

Почему эти сообщения являются такой большой проблемой? Как люди становятся жертвами получаемых ими электронных писем. Настолько, что разглашают чрезвычайно конфиденциальную информацию?

Односложный ответ на эти вопросы – Доверие. Подумайте о сценарии, в котором вы получаете фишинговое письмо якобы от своего друга. Ваш первый инстинкт – не игнорировать его. Потому что он исходит от человека, которому вы доверяете – вашего друга. Именно это действие определит, станете ли вы жертвой атаки.

 

Содержание письма:

Ссылка: электронное письмо задает тон для нажатия на ссылку. В сообщениях может быть ощущение срочности. И, возможно, тайны, которые заставят вас щелкнуть по этой ссылке.

Так, киберпреступник теперь получит доступ к вашей машине, и вы станете жертвой киберпреступления. И вы можете даже не знать о том, что это произошло.

Загрузки: вы можете не думать о вложении, которое является частью электронного письма, потому что оно от вашего друга. Это может быть Word, Excel, файл PDF, изображение, видео, музыкальный файл или что-то еще.

Вас обманули так же, как обманули вашего друга. И теперь настала очередь вашей электронной почты использоваться для отправки подобных писем. Атака продолжает расправлять крылья. Этому может не быть конца.

 

Односложный ответ на эти вопросы - Доверие. Подумайте о сценарии, в котором вы получаете фишинговое письмо якобы от своего друга. Ваш первый инстинкт - не игнорировать его. Потому что он исходит от человека, которому вы доверяете - вашего друга. Именно это действие определит, станете ли вы жертвой атаки.

 

Электронная почта от надежного знакомого или источника

 

Важно отметить, что массовые 85% утечек данных связаны с человеческим фактором. Это означает, что вы, я и все остальные подвержены фишинговым атакам. И, как правило, это человек, который совершает неправильное действие, что приводит к утечке данных.

Беглое изучение электронного письма или сообщения не скажет вам, является ли оно фишинговым. Крайне важно, чтобы мы все время были в напряжении. И, естественно, с подозрением относились к тому, что мы видим в наших входящих чатах или SMS.

Это подводит нас ко второму аспекту атаки социальной инженерии. Когда вы получаете электронное письмо не от друга, а от человека или организации, которым вы безоговорочно доверяете.

Как правило, они выдают себя за финансовые компании, и причину найти несложно. Если электронное письмо от вашего банка, вы обязательно откроете его и прочитаете. Ведь мы всегда беспокоимся о своих финансах. И именно этим беспокойством чаще всего пользуются преступники.

 

Убедительное сообщение – фокус социальной инженерии

 

Беглое изучение электронного письма или сообщения не скажет вам, является ли оно фишинговым. Крайне важно, чтобы мы все время были в напряжении. И, естественно, с подозрением относились к тому, что мы видим в наших входящих чатах или SMS.

 

Нужна помощь!

Это самый старый трюк, и он пытается использовать наши тонкие чувства. Ваш “друг” находится в больнице и ему срочно нужны деньги, иначе его не вылечат. Это письмо может быть отправлено больницей или другом. Вас просят отправить деньги на конкретный счет (подробности указаны в письме). Как вы уже могли догадаться, это письмо было не от вашего друга и не от больницы, а от преступника.

 

Беспокоящий коллега

Вы получаете электронное письмо от коллеги, который хочет получить от вас срочную деловую информацию. И указанный коллега находится под огромным давлением, чтобы выполнить конкретную задачу. Ваша информация поможет выполнить эту задачу. Да, вас просят поделиться информацией, которой вы не должны делиться.

 

От босса

Представьте, что вы получаете электронное письмо от своего начальника. В котором вас просят предоставить обновления или информацию. Или сообщение может попросить вас одобрить транзакцию для вашего босса. От чего будет трудно отказаться. Вероятность того, что люди попадутся на это письмо, довольно высока!

 

Письмо от доверенной организации

Вы получаете уведомление от компании, которая, как вы знаете, уже отправляла вам электронные письма и сообщения. Вы не задумываетесь над такими сообщениями, прежде чем открывать их. Сообщение требует, чтобы вы срочно предоставили личную информацию. И в основном подтвердили свои учетные данные, нажав на ссылку.

 

Вы получаете уведомление от компании, которая, как вы знаете, уже отправляла вам электронные письма и сообщения. Вы не задумываетесь над такими сообщениями, прежде чем открывать их. Сообщение требует, чтобы вы срочно предоставили личную информацию. И в основном подтвердили свои учетные данные, нажав на ссылку.

 

Атака “доброты”

Электронное письмо, которое сыграет на ваших благотворительных инстинктах. Вас попросят пожертвовать на доброе дело или благотворительность. И есть все шансы, что вы попадетесь на эту удочку.

 

Победитель

ВЫ выиграли приз, или родственник оставил вам много денег, или что-то в том же духе. Все, что вам нужно сделать, это отправить свои банковские реквизиты. Физический адрес и некоторые другие персональные данные, и деньги ваши. Не поддавайтесь на это.

 

Методы социальной инженерии

Есть множество тактик социальной инженерии, используемых преступниками. Но схема сосредоточена на следующем:

 

Приманка

Преступники подвешивают что-то перед предполагаемой жертвой. Если этот человек клюнет на приманку, последствия будут катастрофическими. Эта приманка может принимать форму некоторых бесплатных вещей. Таких как купоны на скидку; новый фильм; новейшую музыку; бесплатные электронные книги; бесплатные учетные данные для приложений для знакомств; популярные игры, доступные бесплатно; и многое другое в том же духе.

Всегда помните: если сделка выглядит слишком хорошо, чтобы быть правдой, скорее всего, это неправда.

 

Преступники подвешивают что-то перед предполагаемой жертвой. Если этот человек клюнет на приманку, последствия будут катастрофическими. Эта приманка может принимать форму некоторых бесплатных вещей.

 

Ответ на “вопрос”

Очень часто вы могли сталкиваться с письмами и сообщениями, которые отвечают на какой-то вопрос. Который вы не помните, задавали ли. Ну, это потому, что вы никогда этого не делали.

Теперь представьте, если вы получили ответ на “запрос”. И все, что вам нужно сделать, это подтвердить свою личность. Вы делаете это, не осознавая, что “исправление” на самом деле является тактикой социальной инженерии.

Результат – вы делитесь информацией с преступником.

 

Разрушение доверия

Фишеры используют недоверие как искусство. Они знают, на какие кнопки нужно нажать, чтобы вызвать недоверие и конфликт между людьми. Сценарий, созревший для запуска атаки социальной инженерии.

Преступник может получить доступ к вашей социальной сети и начать отправлять сообщения. Которые ставят вас в неловкое положение. Как правило, это делается поэтапно. Преступники будут просить деньги, чтобы дать вам контроль над учетной записью или просто остановить эти сообщения.

 

Так как же защитить себя?

 

Вздохните: да, фишинговое сообщение вызовет чувство срочности. Но это не значит, что вы должны действовать, не подумав. Прочтите это сообщение. Прочтите еще раз. Только после этого принимайте решение.

 

Преступник может получить доступ к вашей социальной сети и начать отправлять сообщения. Которые ставят вас в неловкое положение. Как правило, это делается поэтапно. Преступники будут просить деньги, чтобы дать вам контроль над учетной записью или просто остановить эти сообщения.

 

Ключ к успеху – исследование: не все электронные письма являются попыткой фишинга. Итак, убедитесь, что вы общаетесь с реальным человеком или компанией, когда получаете письмо от доверенного лица с просьбой предпринять определенные шаги. Один из простых способов сделать это – позвонить и подтвердить, отправили ли они письмо.

Надежные пароли: мы говорили о том, что хакеры получают контроль над электронной почтой и используют их в атаках. Одна из причин, по которой они могут это сделать, слабые пароли.

Скажите “нет” переходам по ссылкам. Знак опасности должен мигать перед вашими глазами, когда вы видите ссылку в электронном письме или сообщении. Да, вы можете увидеть фактический URL-адрес, если наведете курсор на URL-адрес, но это не защитит вас.

Не скачивайте: будьте крайне осторожны с тем, что вы загружаете, и с источником загрузки. В идеале вам следует загружать только с надежных сайтов. Кроме того, если и до тех пор, пока вы не будете абсолютно уверены, не загружайте файлы из электронных писем или сообщений.

Остерегайтесь слова “Бесплатно!”: Нет ничего бесплатного. Вы платите за это свою цену, а когда дело доходит до социальной инженерии, цена за попытку получить что-то бесплатно огромна. Так что не верьте тем письмам, в которых говорится: “Нажмите на эту ссылку, чтобы получить бесплатный подарок/купон/фильм и т.д.”

Нет, вы ничего не выиграли. Когда вы получите электронное письмо, в котором говорится, что нигерийский принц оставил вам огромное поместье стоимостью в миллионы долларов, посмейтесь и удалите это электронное письмо. Если вы получили сообщение о том, что выиграли в лотерею (о чем понятия не имеете, потому что никогда в жизни не покупали лотерейный билет). Посмейтесь еще и удалите это сообщение.

Что еще вы можете сделать, чтобы обезопасить себя?

 

 

Ссылка на первоисточник

Картина дня

наверх