Здравствуйте, дорогие друзья! Давно с вами не обсуждали безопасность, а если быть точнее, данные, которые хранятся не только на ваших компьютерах, но и даже у ваших друзей и коллег. Сегодня поведаю о таком понятии, как социальная инженерия. Вы узнаете, что такое социальная инженерия и как себя предостеречь.
Социальная инженерия – это метод несанкционированного доступа к информационным системам, который был основан на особенностях психологического поведения человека. Любому хакеру в прямом или косвенном смысле, представляет интерес, получение доступа к защищенной информации, пароли, данные о банковских картах и т.п.
Основное отличие данного метода является то, что объектом нападения выбирается не машина, а ее пользователь. Методы социальной инженерии основаны на использовании человеческого фактора. Злоумышленник овладевает необходимой ему информацией в беседе по телефону или, проникая в офис под видом работника.
Претекстинг представляет собой набор действий, отвечающих определенному сценарию, заранее подготовленному (претексту). Для получения информации в данной технике используются голосовые средства (телефон, Skype). Представившись третьим лицом и притворившись, что нуждается в помощи, мошенник заставляет собеседника сообщить пароль или зарегистрироваться на фишинговой web-странице и тем самым получает необходимую информацию.
Давайте представим ситуацию. Вы работаете в большой организации, примерно полгода. Вам звонит человек, который представляется, как работник из какого-нибудь филиала. «Здравствуйте, Ваше имя или должность, мы не можем зайти в почту, которая служит для приема заявок в нашей компании. К нам недавно поступила заявка из нашего города, а шеф просто убьет за такую оплошность, подскажите пароль от почты.
Конечно, когда сейчас читаете его просьбу, кажется немного глупым давать пароль человеку, которого вы первый раз слышите. Но так как люди любят помогать по мелочам, (для вас же не трудно сказать 8-16 символов от пароля?) тут может проколоться каждый человек.
Фишинг (выуживание) – этот вид интернет-мошенничества направлен на получение логинов и паролей. Наиболее популярным видом фишинга является направление жертве сообщения по электронной почте под видом официального письма, например, от платежной системы или банка. В письме, как правило, сообщается об утере данных, о неисправностях в системе и содержится просьба ввести конфиденциальную информацию, пройдя по ссылке.
Ссылка перенаправляет жертву на фишинговую страницу, в точности похожая на страницу официального сайта. Распознать фишинговую атаку неподготовленному человеку сложно, но вполне возможно. В таких сообщениях, как правило, содержатся сведения об угрозах (например, о закрытии банковского счета) или, наоборот, обещание денежного приза даром, просьбы о помощи от лица благотворительной организации. Также фишинговые сообщения можно распознать по адресу, куда вас просят зайти.
К самым популярным фишинговым атакам относится мошенничество с использованием бренда известной фирмы. От лица известной фирмы производится рассылка электронных писем, в которых содержится поздравление с определенным праздником (для примера) и информация о проведении конкурса. Для участия в конкурсе требуется срочно изменить данные учетной записи.
Расскажу, личный опыт. Не кидайте в меня камни 😉 . Было это очень давно, когда я интересовался…... Да да фишингом. В то время было очень модно сидеть в Моем мире и я этим воспользовался. Как-то раз я увидел от майл.ру предложение установить «золотой агент» за деньги. Когда вам говорят купи, вы думаете, а вот когда вам скажут что выиграли, люди сразу ведутся.
Все точно до мелочей не помню, но было примерно так.
Написал сообщение: «Здравствуйте, ИМЯ! Команда Майл.РУ рада Вас поздравить Вы выиграли «золотой агент». Каждый 1000-ый наш пользователь получает его бесплатно. Чтобы его активировать, вам надо зайти на свою страницу и активировать его в Настройках – бла бла бла.»
Ну как Вам предложение? А золотой Skype хотите дорогие читатели? Про все технические тонкости не рассказываю, так как есть молодые люди, которые только и ждут подробной инструкции. Но надо отметить то, что 30% пользователей «Моего мира» перешли по ссылке и ввели свой логин и пароль. Данные пароли я удалил, так как это был просто эксперимент.
Смишинг. Сейчас очень популярны сотовые телефоны, а чтобы узнать ваш номер, не составит труда даже школьнику, который сидит с вашим сыном или дочкой за одной партой. Мошенник, узнав номер, отправляет вам фишинговую ссылку, куда просит зайти для активации бонусных денег на вашей карте. Где естественно есть поля ввода персональных данных. Также могут попросить отправить смс с вашими данными от карты.
Вроде бы нормальная ситуация, а подвох совсем рядом.
Поехали дальше…
Кви про кво («услуга за услугу») – вид атаки, подразумевающий звонок мошенника, например от лица службы технической поддержки. Злоумышленник в процессе опроса работника о возможных технических неполадках заставляет его вводить команды, которые позволяют запустить вредоносное программное обеспечение. Которые можно разместить на открытых ресурсах: социальные сети, серверы компании и т.д.
Посмотрите видео для примера:
Вам могут выслать файл (вирус) на почту, потом позвонить и сказать, что пришел срочный документ и надо его посмотреть. Открывая прикрепленный к письму файл, пользователь сам устанавливает на компьютер вредоносную программу, которая позволяет получить доступ к конфиденциальным данным.
Берегите себя и ваши данные. До скорой встречи!
P.S.: Вам надо реальные случаи из жизни? Смотрим видео:
