В 1990-х годах социальная инженерия стала еще более распространенной с появлением Интернета. Поддельные веб-сайты и электронные письма, которые выглядели законными, усыпляли бдительность новоиспеченных пользователей глобальной сетью и заставляли поступиться мерами безопасности. Социальная инженерия – это методы манипуляции людьми для получения доступа к конфиденциальной информации. Основной целью социальной инженерии является обман человека для получения ценных данных или вынуждения его совершить действия, на которые этот человек обычно не пошел бы. Чаще всего спам — это письмо электронной почты, которое отправляется сразу на большое количество адресов, но оно также может быть доставлено и через мгновенные сообщения, SMS и социальные сети.
Основные методы социальной инженерии
К примеру, злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью «Заработная плата руководящего состава». Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство. Кибермошенников, которые используют эти приёмы на практике, называют социальными инженерами. Пытаясь найти как запатентовать песню доступ к системе или ценным данным, они используют самое уязвимое звено — человека. Самый простой пример — телефонный звонок, где злоумышленник выдаёт себя за кого-то другого, пытаясь узнать у абонента конфиденциальную информацию, играя на чувствах человека, обманывая или шантажируя его.
- Согласно статистике, количество атак с использованием социальной инженерии в 2020 году выросло на 147%.
- Поэтому так много разводов связано с обещанием денег — и поэтому от них страдают те, кто сильнее нуждается.
- В 1950-х и 1960-х годах социальные инженеры нанимались компаниями для разработки маркетинговых кампаний, которые бы обращались к эмоциям и желаниям потребителей.
- С течением времени социотехнический фактор стал все более распространенным и разнообразным.
Техники
Под угрозой окажется не только скомпрометированная организация, но и ее партнеры, которым преступник может отравить письмо с уведомлением о смене реквизитов для оплаты услуг, где будут указаны его личные счета. Получив письмо со знакомого email-адреса, партнеры могут не проверить личность отправителя и оплатить поддельные счета. Если информацию можно использовать для кражи https://coinranking.info/ денежных средств или для приобретения любой другой выгоды, она вызывает интерес у злоумышленников.
Фишинг
Использование платформ по обучению навыкам безопасного поведения в сети Интернет становится важным элементом цифровой грамотности. Из проверенных нами платформ можем рекомендовать решения от компаний Start X и Phishman. как выглядит bitcoin Методы социальной инженерии в XX веке активно использовали тоталитарные режимы[2][4][5].
Создайте понятную политику безопасности с четким планом действий, которые нужно выполнить работникам, если они столкнутся с проявлениями социальной инженерии. Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы. Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации[6]. Вероятность успешного обмана также повышается, когда мошенникам удается вычислить актуальные потребности человека.
Последствия успешных атак
Банки, компании по доставке, государственные учреждения и даже внутренние отделы компаний обычно общаются нейтрально и просто констатируют факт. Поэтому, если в сообщении пытаются заставить получателя действовать очень быстро, это может быть признаком атаки. Вредоносное программное обеспечение, цель которого вызвать у жертвы чувство страха или тревоги и таким образом заставить ее установить опасный код на устройство. Распространены случаи, когда пользователям отображалось сообщение о якобы заражение устройств угрозой, для удаления которой необходимо скачать антивирус (который на самом деле является вредоносным программным обеспечением).
В то время как большинство компаний концентрируют свои усилия по обеспечению безопасности на технических уязвимостях, человеческий фактор остается самым слабым звеном. Раз за разом происходят инциденты, которые показывают, что просто позвонить сотруднику или отправить искусно составленное электронное письмо – это все, что нужно хакерам, чтобы проникнуть даже в самые надежные сети. Совершайте сканирование на наличие слабых паролей, которые могут использовать злоумышленники для попадания в сеть вашей организации. Кроме того, создайте дополнительный уровень защиты с помощью двухфакторной аутентификации.
Социáльная инженерия — в контексте информационной безопасности — психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации. Следует отличать от понятия социальной инженерии в социальных науках — которое не касается разглашения конфиденциальной информации. Совокупность уловок с целью сбора информации, подделки или несанкционированного доступа от традиционного «мошенничества» отличается тем, что часто является одним из многих шагов в более сложной схеме мошенничества[1]. Платформы предоставляют возможность загружать собственные курсы, специально разработанные для обучения сотрудников в соответствии с уникальными потребностями организации.
Троянский конь(или троянская программа) – это вредоносная программа, используемая злоумышленником для сбора, разрушения или модификации информации, нарушения работоспособности компьютера или использования ресурсов пользователя в своих целях. Данная техника зачастую эксплуатирует любопытство, либо другие эмоции цели. Чаще всего злоумышленник отправляет жертве электронное сообщение, содержащее „интересный“ контент, обновление антивируса, или другую информацию, способную ее заинтересовать. Открывая прикрепленный к письму файл, пользователь устанавливает себе на машину вредоносное программное обеспечение, позволяющее мошеннику получить доступ к конфиденциальной информации.
Тем самым исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями. Квид про кво (от лат. Quid pro quo — «то за это») — в английском языке это выражение обычно используется в значении «услуга за услугу». Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону (используя актёрское мастерство[8]) или электронной почте.
В контексте сетевой безопасности так называют любую атаку, когда злоумышленник каким-то образом маскирует себя или свои действия под что-то, чему пользователь доверяет. Например, он может изучить соцсети жертвы, подделать профиль друга или родственника, а потом написать от его имени и попросить взаймы. На самом деле типичный интернет-мошенник уже давно никого не взламывает.
Он собирает данные о человеке в открытых источниках, а потом с их помощью уговаривает его перевести деньги. Когда аферисты притворяются сотрудниками полиции, Центробанка и ФСБ — это как раз пример такого способа обмана. Можешь занять 5000 рублей до понедельника», — получали такое сообщение в соцсетях от «друзей»?
Важно защищаться от социальной инженерии, поскольку она может привести к потере денег и другой личной информации, а также к компрометации систем безопасности и утечке данных. Это могут быть номера банковских счетов, детали электронных переводов или даже информация о заработной плате сотрудников. В некоторых случаях социальные инженеры также пытаются заставить вас загрузить на компьютер незаметно для вас вредоносное программное обеспечение – программы, которые могут быть использованы в злонамеренных целях. Ее истоки уходят к временам Древнего Рима и Древней Греции — тогда были популярны специально подготовленные ораторы, которые участвовали в дипломатических переговорах и были способны убедить собеседника в том, что он не прав. Социальная инженерия как метод атаки на информационные системы появилась в середине XX века. Одним из первых известных случаев была история Фрэнка Абангалса, который в 1960-х годах выдавал себя за пилота авиакомпании Pan Am и летал бесплатно по всему миру, обманывая персонал аэропортов.
И вроде бы, человек всё делает так, как сказано в письме но… он попался! Преступники продумали каждый его шаг, именно поэтому им удаётся заставлять людей делать то, что они хотят. Иллюстрацию того, на что способен умелый социальный инженер можно найти в кинематографе. Возможно, вы смотрели фильм «Поймай меня, если сможешь», основанный на реальных событиях — на истории легендарного мошенника Фрэнка Уильяма Абигнейла-младшего.
Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы[5]. Злоумышленник может представиться сотрудником технической поддержки и сообщить о неполадках в работе ПО, предложить помощь в их устранении и выманить авторизационные данные работника. Уполномоченные лица не вызывают подозрения у людей, поэтому им часто доверяют логины и пароли. Если преступнику стали известны данные бухгалтера для входа в корпоративную систему, он получит доступ к финансовым операциям компании и может украсть деньги со счета фирмы.
Они также дают рекомендации по созданию надежных паролей, защите личной информации и обеспечению безопасности при использовании публичных Wi-Fi сетей. С увеличением числа онлайн-платформ, социальных сетей и цифровых технологий можно ожидать, что методы злоумышленников будут развиваться в будущем. Осведомленность о методах и практиках социальной инженерии поможет компаниям и частным лицам укрепить кибербезопасность и предотвратить подобные атаки в будущем. Социальная инженерия представляет собой серьезную, но часто игнорируемую угрозу для бизнеса.
Когда злоумышленник присылает по почте простой запрос, его жертва часто выполняет то, о чем ее просят, не задумываясь о своих действиях. Электронные письма могут содержать гиперссылки, склоняющие сотрудников к нарушению защиты корпоративной среды. Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает злоумышленнику нужную ему информацию.