Веб-культура Что такое социальная инженерия? [MakeUseOf Объясняет]

Что такое социальная инженерия? [MakeUseOf Объясняет]

  • Mark Lucas
  • 0
  • 3925
  • 1268
Реклама

Вы можете установить самый сильный и самый дорогой брандмауэр в отрасли. Как работает брандмауэр? [MakeUseOf Объясняет] Как работает брандмауэр? [MakeUseOf Объясняет] Есть три компонента программного обеспечения, которые, по моему мнению, составляют основу достойной настройки безопасности на вашем домашнем ПК. Это антивирус, брандмауэр и менеджер паролей. Из них ... Вы можете обучить сотрудников основным процедурам безопасности и важности выбора надежных паролей. Как создавать надежные пароли, которые вы можете легко запомнить, как создавать надежные пароли, которые вы можете легко запомнить. Вы даже можете заблокировать серверную комнату - но как вы защищаете компанию от угрозы социальных атак?

С точки зрения социальной инженерии, сотрудники являются слабым звеном в цепочке мер безопасности. Сделайте макияж безопасности для своего сайта WordPress с помощью WebsiteDefender Получите макияж безопасности для своего сайта WordPress с помощью WebsiteDefender С ростом популярности Wordpress проблемы безопасности никогда не были более актуальными - но кроме того, чтобы просто быть в курсе, как новичок или пользователь среднего уровня может оставаться в курсе событий? Вы бы даже ... на месте. Люди не только подвержены основным человеческим ошибкам, но и целенаправленным атакам со стороны людей, надеющихся убедить их отказаться от конфиденциальной информации. Сегодня мы будем изучать некоторые социальные методы, используемые для обмана и обмана.

Основы социальной инженерии

Социальная инженерия - это действие, направленное на то, чтобы манипулировать человеком, чтобы получить доступ к конфиденциальным данным, используя базовую психологию человека. Разница между атаками социальной инженерии и, например, хакером, пытающимся получить доступ к веб-сайту, заключается в выборе используемых инструментов. Хакер может искать слабость в программном обеспечении безопасности или уязвимость на сервере, тогда как социальный инженер будет использовать социальные методы, принуждая жертву свободно выдавать информацию или доступ..

В этой тактике нет ничего нового, и она существует до тех пор, пока люди решили, что обманывать друг друга - это приемлемый способ зарабатывать на жизнь. Теперь, когда общество эволюционировало, полагаясь на непосредственную природу Интернета и информацию по запросу, все больше людей, чем когда-либо, подвергаются атакам социальной инженерии в больших масштабах..

В большинстве случаев злоумышленник не встретится лицом к лицу со своей жертвой, вместо этого полагаясь на электронную почту, мгновенные сообщения и телефонные звонки для проведения атаки. Существуют различные методы, которые широко рассматриваются как атаки социальной инженерии, поэтому давайте рассмотрим их более подробно..

Методы социальной инженерии

Фишинг

Один из наиболее известных методов, благодаря осведомленности провайдеров электронной почты, таких как Google и Yahoo, фишинг является довольно простым и очень широко используемым примером социальной инженерии..

Этот метод чаще всего используется по электронной почте. Это тип мошенничества, в ходе которого жертва убеждается в том, что вы законно запрашиваете конфиденциальную информацию. Один из наиболее распространенных типов фишинговых атак - это обращение к жертвам. “проверить” их банковского счета или информации PayPal Как защитить свой счет PayPal от хакеров Как защитить свой счет Paypal от хакеров, чтобы избежать приостановки их счетов. Злоумышленник или фишер часто приобретает домен, предназначенный для имитации официального ресурса, а несоответствия в URL-адресе часто выдают игру.

Фишинг в Интернете становится все легче обнаружить и сообщить о нем благодаря методам фильтрации, используемым провайдерами электронной почты. Также рекомендуется никогда не разглашать конфиденциальную или финансовую информацию по электронной почте - ни одна легитимная организация никогда не попросит вас сделать это - и дважды проверять URL-адреса на предмет легитимности, прежде чем вводить важные учетные данные..

Телефонная техника или “вишинг”

Интерактивный голосовой ответ (IVR) или vishing (голосовой фишинг) включает использование методов, аналогичных описанным выше, через телефон или интерфейс VoIP. Существует множество различных техник vishing, и они:

  • Прямой вызов жертвы с использованием автоматического “Ваша кредитная карта была украдена” или же “необходимо срочное действие” мошенничество, а затем запрос “проверка безопасности” для того, чтобы восстановить нормальный доступ к учетной записи.
  • По электронной почте жертве, поручая им затем позвонить по номеру телефона и проверить информацию учетной записи, прежде чем предоставить доступ.
  • Использование искусственных интерактивных телефонных методов или прямого взаимодействия с человеком для извлечения информации, например,. “нажмите 1 для ... ” или же “введите номер вашей кредитной карты после звукового сигнала”.
  • Вызов жертвы, убеждение их в угрозе безопасности на их компьютере и указание им приобрести или установить программное обеспечение (часто вредоносное ПО или программное обеспечение удаленного рабочего стола) для решения проблемы..

Я лично принимал участие в мошенничестве с программным телефоном и, хотя я ни за что не поддался, не удивлюсь, если кто-то сделает это благодаря применяемой тактике запугивания. Моя встреча включала “Сотрудник Microsoft” и некоторые вирусы, которых не было. Вы можете прочитать все об этом здесь Специалисты по компьютерным технологиям Cold Calling: не поддавайтесь такому мошенничеству [Предупреждение о мошенничестве!] Техники по компьютерным технологиям Cold Calling: не поддавайтесь такому мошенничеству [Alert!] Вы, наверное, слышали термин «не мошенник мошенник», но я всегда любил «не мошенник технический писатель» сам. Я не говорю, что мы непогрешимы, но если ваша афера связана с Интернетом, Windows ... .

травля

Эта особая техника опирается на одну из самых больших слабостей человечества - любопытство. Умышленно оставляя физический носитель - будь то дискета (маловероятно в наши дни), оптический носитель или (чаще всего) USB-накопитель, где он может быть обнаружен, мошенник просто отсиживается и ждет, пока кто-нибудь не воспользуется устройством.

Много ПК “автозапуск” Устройства USB, поэтому, когда вредоносные программы, такие как трояны или клавиатурные шпионы, подключены к USB, тогда компьютер может заразиться, даже не подозревая об этом. Мошенники часто одевают такие устройства в официальные логотипы или ярлыки, которые могут вызвать интерес у потенциальных жертв.

предлог,

Этот метод включает в себя убеждение жертвы отказаться от информации, используя придуманный сценарий. Сценарий обычно основан на информации, собранной о жертве, чтобы убедить их в том, что мошенник на самом деле является авторитетной или официальной фигурой..

В зависимости от того, какую информацию ищет мошенник, предлог может включать основную личную информацию, такую ​​как домашний адрес или дату рождения, к более конкретной информации, такой как суммы транзакций на банковском счете или расходы по счету..

Tailgating

Один из немногих методов, перечисленных здесь, вовлекающих мошенников, которые физически вовлечены в атаку, задняя дверь описывает практику получения доступа в ограниченную зону без разрешения, следуя за другим (законным) сотрудником в зону. Для многих мошенников это избавляет от необходимости приобретать карты доступа или ключи и представляет потенциальное серьезное нарушение безопасности для вовлеченной компании.

Эта конкретная тактика основывается на обычной вежливости, такой как удержание двери для кого-то, и стала такой проблемой, что многие рабочие места занялись оперативным решением проблемы с помощью уведомлений о входах, таких как уведомление, использованное Apple на картинке выше..

Другие техники

Есть несколько других методов, связанных с социальной инженерией, таких как что-то для чего-то “услуга за услугу” Техника часто используется против офисных работников. Quid pro quo включает в себя злоумышленника, изображающего из себя, например, сотрудника службы технической поддержки, отвечающего на звонок. Атакующий держит “перезвонить” пока он или она не найдет кого-то, кто действительно нуждается в поддержке, не предложит ее, но в то же время извлечет другую информацию или покажет жертве вредоносные загрузки программного обеспечения.

Другой метод социальной инженерии известен как “кража” и на самом деле не связано с компьютерами, интернетом или телефонным фишингом. Вместо этого это общий метод, используемый для убеждения законных курьеров в том, что доставка должна быть получена в другом месте..

Заключение

Если вы подозреваете, что какое-то лицо пытается обмануть вас мошенничеством в области социальной инженерии, вам следует уведомить об этом власти и (если применимо) вашего работодателя. Методы не ограничиваются тем, что было упомянуто в этой статье - все время разрабатываются новые мошенничества и уловки - так что будьте начеку, задавайте вопросы и не становитесь жертвами мошенника.

Лучшая защита от этих атак - это знание, поэтому сообщите своим друзьям и семье, что люди могут и будут использовать эту тактику против вас..

Были ли у вас встречи с социальными инженерами? Знала ли ваша компания рабочую силу об опасностях социальной инженерии? Добавьте свои мысли и вопросы в комментариях ниже.

Кредиты на изображения: волк в овечьей шкуре (Shutterstock), USB-накопитель NetQoS Symposium (Michael Coté), измельчитель бумаги (Sh4rp_i)




3 игры для PlayStation, которые заставляют нас по-другому смотреть на видеоигры
азартные игры
Настройки графики ПК Что все это значит?
азартные игры
Является ли Wildstar следующей отличной MMORPG?
азартные игры
О современных технологиях, просто и доступно.
Ваш гид в мире современных технологий. Узнайте как использовать технологии и гаджеты, которые нас окружают каждый день и научитесь открывать интересные вещи в Интернете.