Вредоносное ПО – не единственная онлайн-угроза, о которой нужно беспокоиться. Социальная инженерия – огромная угроза, и она может поразить вас в любой операционной системе. На самом деле, социальная инженерия может также происходить по телефону и в личных ситуациях.
Важно знать социальную инженерию и быть начеку. Программы безопасности не защитят вас от большинства угроз социальной инженерии, поэтому вы должны защитить себя.
Социальная инженерия объяснила
Традиционные компьютерные атаки часто зависят от обнаружения уязвимости в коде компьютера. Например, если вы используете устаревшую версию Adobe Flash – или, не дай бог, Java, которая, по мнению Cisco, была причиной 91% атак в 2013 году, – вы можете посетить вредоносный веб-сайт и этот веб-сайт. будет использовать уязвимость в вашем программном обеспечении, чтобы получить доступ к вашему компьютеру. Атакующий манипулирует ошибками в программном обеспечении, чтобы получить доступ и собрать личную информацию, возможно, с помощью кейлоггера, который они устанавливают.
Уловки социальной инженерии отличаются, потому что вместо этого они включают в себя психологические манипуляции. Другими словами, они эксплуатируют людей, а не их программное обеспечение.
Вы, наверное, уже слышали о фишинге, который является формой социальной инженерии. Вы можете получить электронное письмо, в котором утверждается, что оно принадлежит вашему банку, компании-эмитенту кредитной карты или другому доверенному предприятию. Они могут направить вас на фальшивый веб-сайт, замаскированный под настоящий, или попросить вас загрузить и установить вредоносную программу. Но такие уловки социальной инженерии не должны включать поддельные веб-сайты или вредоносные программы. Фишинговое письмо может просто попросить вас отправить электронное письмо с личной информацией. Вместо того, чтобы пытаться использовать ошибку в программном обеспечении, они пытаются использовать обычные человеческие взаимодействия. Фишинговый фишинг может быть еще более опасным, так как это вид фишинга, предназначенный для конкретных людей.
Примеры социальной инженерии
Один из популярных приемов в службах чата и онлайн-играх – зарегистрировать учетную запись с именем, например «Администратор», и отправлять людям страшные сообщения, например «ПРЕДУПРЕЖДЕНИЕ. Мы обнаружили, что кто-то может взломать вашу учетную запись, ответьте с помощью пароля, чтобы подтвердить свою личность». Если цель отвечает своим паролем, они попали на уловку, и злоумышленник теперь имеет пароль своей учетной записи.
Если у кого-то есть личная информация о вас, он может использовать ее для получения доступа к вашим учетным записям. Например, такие данные, как дата вашего рождения, номер социального страхования и номер кредитной карты, часто используются для вашей идентификации. Если у кого-то есть эта информация, он может связаться с бизнесом и притвориться вами. Этот трюк, как известно, использовался злоумышленником для получения доступа к Yahoo! Сары Пэйлин. Почтовый аккаунт в 2008 году, предоставив достаточно личных данных, чтобы получить доступ к аккаунту через форму восстановления пароля Yahoo !. Тот же метод может быть использован по телефону, если у вас есть личная информация, которая требуется бизнесу для вашей аутентификации. Злоумышленник с некоторой информацией о цели может притвориться им и получить доступ к большему количеству вещей.
Социальная инженерия также может быть использована лично. Злоумышленник может войти в бизнес, сообщить секретарю о том, что он является ремонтником, новым сотрудником или пожарным инспектором авторитетным и убедительным тоном, а затем бродить по залам и, возможно, красть конфиденциальные данные или ошибки на заводе для выполнения корпоративного шпионажа. Этот трюк зависит от того, как злоумышленник представляет себя кем-то, кем он не является. Если секретарь, швейцар или кто-то еще отвечает, не задает слишком много вопросов или присматривается слишком внимательно, уловка будет успешной.
Атаки социальной инженерии охватывают целый ряд поддельных веб-сайтов, мошеннических писем и гнусных сообщений в чате, вплоть до выдачи себя за кого-то по телефону или лично. Эти атаки бывают самых разных форм, но все они имеют одну общую черту – они зависят от психологической хитрости. Социальная инженерия была названа искусством психологического манипулирования. Это один из основных способов «взлома» аккаунтов в сети.
Как избежать социальной инженерии
Знание социальной инженерии может помочь вам с ней бороться. С подозрением относитесь к нежелательным электронным письмам, сообщениям в чате и телефонным звонкам с просьбой предоставить личную информацию. Никогда не раскрывайте финансовую информацию или важную личную информацию по электронной почте. Не загружайте и не запускайте потенциально опасные вложения электронной почты, даже если в письме утверждается, что они важны.
Вы также не должны переходить по ссылкам в электронной почте на конфиденциальные веб-сайты. Например, не нажимайте на ссылку в электронном письме, которое, по-видимому, принадлежит вашему банку, и войдите в систему. Это может привести вас к поддельному фишинговому сайту, замаскированному под сайт вашего банка, но с немного другим URL-адресом. Посетите веб-сайт напрямую.
Если вы получаете подозрительный запрос – например, телефонный звонок из вашего банка запрашивает личную информацию – обратитесь непосредственно к источнику запроса и запросите подтверждение. В этом примере вы бы позвонили в свой банк и спросили, чего они хотят, вместо того, чтобы разглашать информацию кому-то, кто утверждает, что является вашим банком.
Программы электронной почты, веб-браузеры и пакеты безопасности обычно имеют фильтры фишинга, которые будут предупреждать вас, когда вы посещаете известный сайт фишинга. Все, что они могут сделать – это предупредить вас, когда вы посещаете известный фишинговый сайт или получаете известное фишинговое электронное письмо, и они не знают обо всех фишинговых сайтах или электронных письмах. По большей части, вы сами должны защитить себя – программы безопасности могут помочь лишь немного.
Рекомендуется проявлять здоровую подозрительность при работе с запросами на личные данные и всем остальным, что может быть атакой социальной инженерии. Подозрение и осторожность помогут защитить вас как онлайн, так и офлайн.
Изображение предоставлено: Джефф Тернет на Flickr
