Приемы атак с использованием Социальной Инженерии и как от них защититься.

Мужчина и женщина стоят рядом на стойке регистрации Вашей компании. На нем темные рваные джинсы и черная толстовка с капюшоном. Она одета в легкий кардиган. Кого бы вы заподозрили в злостном умысле?

виды атак в социальной инженерии

Прошли дни злого актера. В то время как некоторые все еще носят толстовки, самые большие угрозы, исходят из совсем неожиданных сторон: продавец, который предлагает Вам последние и самые большие лакомства без каких-либо обязательств, электронное письмо от вашего ближайшего друга с прикрепленной ссылкой или новый парень во время вашего перекура, который придерживает дверь, пока вы проходите с своему столу.

Эти угрозы используют метод, называемый социальной инженерией. Он используется как метод получения доступа к объектам, системам, данным и всему, что они хотят, используя человеческую психологию. Когда большинство людей работают на эмоциях, социальные инженеры, для достижения своих целей, манипулируют ими. Любой опытный специалист по безопасности скажет вам, что самая слабая область программы для безопасности — это человек, и любой социальный инженер скажет вам, что самый простой способ получить ваш пароль, это когда вы сами его сообщаете.

И хотя тактик социальной инженерии очень много, давайте взглянем наобщие тактики, которые использовались в атаках.

Претекстинг

Претекстинг используется почти во всех видах социальной инженерной атаки. Это искусство лжи, чтобы получить привилегированные данные, как правило, путем исследования человека, чтобы подражать ему. Это может включать в себя знание личных данных, таких как номер социального страхования, дата рождения или имя жены. Это может быть так же просто, как нормально одеваться, олицетворяя человека, продающего страховку. Претекстинг — это отличный способ установить законность в начале атаки.

Фишинг

Фишинг, на сегодняшний день, является одним из наиболее распространенных методов социальной инженерии, который опирается на рассылку большого количества электронных писем. Этот тип атаки основан на обмане людей, чтобы они сами дали злоумышленнику личные данные или деньги. В 2017 , там был всплеск с использованием лже сайта Netflix.

Пользователи получали сообщения, что их аккаунты были приостановлены из-за ошибки в счете. В теле письма была ссылка, которая направила пользователей на сайт, выглядящий устрашающе похожим на страницу входа в Netflix. Пользователи неосознанно передавали свои учетные данные для входа и информацию о кредитной карте.

Целевой фишинг (spear phishing)

Целевой фишинг-это форма фишинга, в которой, в качестве цели, выбирается конкретный человек, или узкая группа людей. В этом случае, злоумышленники максимально подробно собирают сведения о своей цели. Что в конечном итоге, приводит к большей эффективности такого метода.

Вишинг

Вишинг — одна из самых известных (или печально известных) тактик социальной инженерии. Это практика использования телефонных звонков и голосовых сообщений для получения доступа или данных. Человек, разговаривая по телефону, становится более управляемым, тем самым, сам отдавая в том числе, критически важные данные, наподобие паролей.

Watering Hole (водопой)

Watering Hole (или waterhole attack) — это акт размещения вредоносного кода на общедоступных веб-сайтах, которые, как правило, посещают цели. Злоумышленник будет искать потенциальные сайты, которые посетит цель, и искать уязвимости на этих сайтах. Как только уязвимости будут найдены и скомпрометированы, сайт может быть использован для загрузки бэкдора на устройство цели.

виды атак в социальной инженерии

Baiting (приманка)

Приманка, как правило, рассматривается как тип фишинг-атаки, но отличается тем, что используется приманка: скачать бесплатную музыку, фильм, другие виды призов. Чтобы получить свой приз, цель должна только ввести свои учетные данные для входа.

Quid Pro Quo (услуга за услугу)

Quid Pro quo attacks — это обещание чего-то, хорошего или полезного, в обмен на информацию. Информация обычно является паролем (паролями) цели, но информация может включать в себя и личную информацию. Вознаграждение или приз может быть каким угодно. Фактически, некоторые пользователи, как известно, отказываются от своего пароля ради получения дешевой ручки или шоколадки.

Tailgating

Tailgating (или piggybacking) атака, когда злоумышленник проходит через пропускной пункт вслед за человеком, имеющим законный доступ. Средства массовой информации обычно изображают этот вход через входную дверь, где сотрудник сканирует их значок, ворота открываются, когда доступ предоставляется, и два человека проходят до закрытия ворот.

Однако в реальном мире это может быть так же просто, как перенос большой коробки или подноса с пищей, к задней двери, где сотрудники, как известно, задерживаются. Человеческая порядочность открывает дверь для злоумышленника, независимо от того, что дверь требует привилегированного доступа.

Как бороться с социальной инженерией

Новые угрозы наблюдаются на регулярной основе, и есть много дополнительных типов социальных инженерных атак. В то время как это почти невозможно оказаться вне социальных атак, в то же время, от них можно защититься простыми способами.

  • Будьте осторожны при открытии вложений.Если лично вы не знаете отправителя или не запрашивали информацию, то редко когда бывают случаи, когда вы должны открывать такое письмо. Если есть сомнения, стоит уделить дополнительное время, чтобы исследовать его, прежде чем открыть его. Обратитесь к специалисту по информационной безопасности вашей компании.
  • Определить реальный URL из ссылки.При наведении курсора мыши на ссылку, браузер покажет вам реальный URL адрес. Если у вас есть какие-либо подозрения в легитимности URL, используйте поисковую систему, чтобы вручную найти этот сайт.
  • Удаляйте и блокируйте запросы на пароли или финансовую информацию.Никто не должен спрашивать у вас за эту информацию по электронной почте. (Ни банк, ни друг, ни кто-либо еще). Никогда не давайте такую информацию.
  • Когда дело доходит до безопасности, то если это звучит слишком хорошо, чтобы быть правдой, значит вас пытаются обмануть.Принц из Нигерии не раздает миллионы, люди не выигрывают в лотерею, в которую не играли, не получают приз с сайта, на который никогда не заходили.
  • Защитите свои устройства.Блокируйте свой компьютер, когда вы отходите от него. Особенно, если вы работаете в общественном месте, и до вашего компьютера, смогут дотянутся руки злоумышленника. Установите фильтры электронной почты, антивирусное программное обеспечение и брандмауэры. Обязательно применяйте рекомендуемые исправления и обновляйте свои приложения.

Сделайте вдох и притормозите.Никогда не давайте сразу свой пароль. После будет поздно.Злоумышленники любят разыгрывать чувство срочности. Не поддавайтесь этому. Это крайне редкий случай, когда от доступа к вашему компьютеру или к вашей учетной записи – дело жизни и смерти. Притормозите.

Источник.

Поделиться.


 

 

Николай

Добавить комментарий

Ваш e-mail не будет опубликован.