Некоторые сайты не позволяют зарегистрировать аккаунт, если пароль не соответствует требованиям к его сложности.
Социальная инженерия — что такое и как работает?
Социальная инженерия – это один из способов получения конфиденциальной информации, которым нередко пользуются мошенники и взломщики. Посредством манипулирования жертвой преступник получает все необходимые данные. Этот метод часто используется в совокупности с другими.
Как работает социальная инженерия?
Принцип работы социальной инженерии довольно прост: преступник выбирает жертву, собирает о ней информацию, которая может понадобиться ему в дальнейшем, и уже после выбирает один из множества способов манипулирования жертвой. Причем при сборе информации злоумышленник может получать её как от самой жертвы в процессе построения доверительных отношений, так и исследуя её социальные сети, ведь многие люди не сильно беспокоятся о том, что они публикуют. При таком подходе уязвимостью в защите становится сам человек, а не программная недоработка.
Само собой, если попросить человека просто написать свой логин и пароль от социальной сети, например, ничего не выйдет. Поэтому для получения конфиденциальных данных социальная инженерия используется как часть других методов: фишинг, использование вирусов и многое другое. Иногда дело может дойти до шантажа и даже угроз.
Виды атак с использованием социальной инженерии
Видов атак, элементом которых является социальная инженерия, достаточно много, значительную часть которых составляет фишинг различного типа. Рассмотрим наиболее известные.
Фишинг
Крупная категория, которая включает в себя такие типы атак, как целевой, голосовой, SMS-фишинг, «Китобойный», клон-фишинг.
Целевой фишинг – это то, с чем сталкивались многие пользователи. Получение очень привлекательного, но достаточно подозрительного предложения на почту является одним из признаков того, что на вас пытаются применить данный метод. В отличие от обычного фишинга, целевой основан на собранной о жертве информации, так как человека гораздо легче заинтересовать, если предложить то, что ему понравится. Поэтому письма подобного характера содержат именно то, что вам будет интересно. При этом жертвой такой атаки может стать как конкретное лицо, так и целая компания.
Голосовой фишинг тоже знаком многим пользователям. Те самые «сотрудники банка», которые звонят вам и предлагают кредит на крайне выгодных условиях, применяют голосовой фишинг. Как уже понятно из примера, схема довольно проста: предложить жертве что-то, что её заинтересует и собрать конфиденциальную информацию. От предыдущего метода отличается лишь тем, что атака совершается не через почту, а сотовую связь.
SMS-фишинг также реализуется через мобильное устройство. Жертва получает сообщение с пугающим содержанием, а также инструкциями о том, что нужно делать, чтобы решить появившуюся проблему. Стандартным примером является сообщение с «номера банка» о блокировке банковского счета, а также просьбой перейти на сайт или связаться с сотрудником «банка» по номеру телефона. Чтобы вы ни выбрали, это приведет к проблемам. В первом случае есть вероятность подхватить шпионский вирус, а во втором – мошенник будет настойчиво убеждать вас в необходимости раскрытия ему личных данных.
«Китобойный» фишинг – это тип фишинг-атаки, направленной на человека с высокой должностью. В случае успеха можно получить доступ к особенно ценной информации или украсть гораздо больше денег, чем если бы это был обычный человек. При этом отличие от других методов заключается лишь в том, кем является жертва. В остальном же, как и при целевом фишинге, используется индивидуальный подход.
Клон-фишинг также является довольно известным методом. Жертве отправляется письмо от имени крупной компании, услугами которой он пользуется. Загвоздка лишь в том, что отправлено оно было не с настоящего адреса, а с поддельного, но очень похожего на действительный. Основная цель – поймать пользователя на невнимательности. Помните, что двух абсолютно одинаковых почтовых адресов быть не может, так что почта мошенника будет отличаться.
Взлом и рассылка от имени пользователя
Чтобы получить как можно больше данных, мошенник, если ему удастся взломать аккаунт пользователя в какой-либо социальной сети, может устроить рассылку от его имени. Например, выпрашивать деньги или личные данные. Не заметив подвоха, эти пользователи могут выполнить просьбу мошенника, думая, что на самом деле общаются со своим знакомым.
Biting
Biting или приманка – метод, основанный на человеческом любопытстве. Злоумышленник оставляет в Интернете ссылку на ресурс или ПО с «кричащим» заголовком. Желая узнать, что же там, обычные пользователи переходят по ссылке, тем самым попадаясь на приманку.
«Водопой»
Суть метода заключается в том, чтобы превратить целый ресурс, будь то сайт или форум, в место, где мошенник сможет собирать информацию о тех, кто этот ресурс посещает. Задача злоумышленника – взломать сайт и внести правки в его код так, чтобы он перенаправлял пользователей в другое место, откуда будет загружено вредоносное ПО на устройство посетителя. Основным фактором здесь является доверие пользователей. Те сайты, которые они давно посещают и которым доверяют, не будут проверяться ими на наличие опасностей.
Rogue Attack
Вид атаки с применением социальной инженерии, суть которой заключается в том, чтобы убедить жертву в том, что услуги злоумышленника ей нужны. Например, после применения сомнительного антивируса, можно увидеть, что он оказался очень эффективным, ведь нашел столько вредоносных программ. Хотя на самом деле он и есть вредоносная программа, и ваш компьютер он не лечит, а калечит, не забывая передавать всю информацию злоумышленнику. Аспект социальной инженерии здесь заключается в том, чтобы убедить вас в необходимости такого «полезного» ПО.
Honey Trap
В Интернете можно повстречать самых разных людей. С некоторыми из них у пользователя может появиться особенно крепкая связь, способная перерасти в виртуальные отношения. Однако если пользователь не знает своего собеседника достаточно хорошо и у него нет уверенных подтверждений того, что по ту сторону экрана тот самый человек, вполне может оказаться, что это мошенник, ловко играющий с его чувствами. Чем выше доверие, тем сильнее развязываются руки злоумышленника. Так, он может начать просить деньги на мелкие нужды или прикрываться «трагической ситуаций», которой на самом деле не происходило. А имея компрометирующий материал тот может перейти к шантажу или даже угрозам.
«Услуга за услугу»
Метод, который очень похож на Rogue Attack с тем лишь отличием, что действиями жертвы руководит мошенник. Как правило, он может представиться работником технической поддержки копании и сообщить пользователю о проблеме, обнаруженной на его устройстве. После этого он предлагает свои услуги помощи в решении возникшей проблемы и, получив согласие жертвы, диктует ей дальнейшие распоряжения, помогая пользователю заразить свое устройство или передать важные данные обманщику.
Защита от атак с использованием социальной инженерии
Чтобы не оказаться жертвой применения социальной инженерии, нужно оставаться внимательным. Внимательность – главное оружие в борьбе с данной угрозой.
- Применяйте двухэтапную аутентификацию. Даже в случае кражипаролей и логинов мошенник не сможет ими воспользоваться, так как ему необходимо подтверждение с вашего номера телефона.
- Используйте только лицензионное, надежное ПО. В особенности антивирусные программы. Не стоит скачивать такие программы с торрентов или неофициальных сайтов, так как там они могут быть заражены.
- Проверяйте адреса сообщений, полученных на почту, и не спешите открывать архивы и другие файлы, которые пришли вместе с ними. Если вы не ждали подобного сообщения, лучше отправить его в спам.
- Регулярно меняйте пароли.
- Не доверяйте незнакомцам и не передавайте им личные данные, если не имеете полной уверенности в том, что этому лицу можно доверять и оно является тем, за кого себя выдает.
- Регулярно обновляйте свои устройства и ПО, чтобы избежать взлома при помощи системных уязвимостей. Информации о том, чем вы пользуетесь, злоумышленнику уже может быть достаточно, чтобы подобрать к вам правильный ключ.
Заключение
Социальная инженерия является удобным средством для взлома и кражи личных данных. Если программу невозможно обмануть, так как она четко следует заложенным в неё алгоритмам и, чтобы обойти их, нужно искать уязвимости, то взаимодействовать с людьми гораздо проще. Их можно убедить в том, что необходимо мошеннику, а их поведение непредсказуемо, так что они вполне могут попасться на уловки преступника. Видов атак, в которых применяется социальная инженерия, довольно много, но способы защиты от них достаточно простые, нужно лишь сохранять внимательность и продумывать свои действия перед тем, как взаимодействовать с подозрительными данными.
Вам также может понравиться
Инструкция по созданию QR-кода, по которому можно автоматически подключиться к определенному Wi-Fi.
Надежный пароль складывается из нескольких параметров. Очень важно его длина.
Кибертерроризм — нелегальные действия в интернете, несущие угрозу личности, государственной безопасности.