Автор: Метод несанкционированного доступа к информационным ресурсам основанный на особенностях психологии человека. Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т.п.
Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что считается крайне разрушительным, так как злоумышленник получает информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, понимать, что на самом деле хотят взломщики и своевременно организовывать подходящую политику безопасности. (Википедия)
А как это работает на примере?
Вероятно, самый известный прием похищения пароля — это звонок жертве от имени администратора системы или, напротив, администратору — от имени некоторого пользователя. Просьба в обоих случаях одна, — под каким бы то ни было предлогом получить секретную информацию (в данном случае пароль).
Это может выглядеть, например, так: «Ало, здравствуйте! С Вами проводит разъяснительную беседу эксперт по безопасности Вася Пупкин. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому-никому не должны сообщать свой пароль? А помните, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас?…»
Принципы и техники социальной инженерии:
Существует несколько распространенных техник и видов атак, которыми пользуются социальные инженеры. Все эти техники основаны на особенностях принятия людьми решений, известных как когнитивные предубеждения. Для достижения поставленного результата, злоумышленник использует целый ряд всевозможных тактик: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные цели обмана так же могут быть весьма разнообразными.
1. Фишинг — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.
Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте ,и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную, и содержащую форму, требующую ввести конфиденциальную информацию.
2. Претекстинг — это набор действий, проведенный по определенному, заранее готовому сценарию (претексту). Данная техника п использование голосовых средств, таких как телефон, Skype и т.п. для получения нужной информации. Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, злоумышленник просит жертву сообщить пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя совершить необходимое действие или предоставить определенную информацию.
Как распознать Фишинг-атаку?
Практически каждый день появляются новые схемы мошенничества. Большинство людей может самостоятельно научиться распознавать мошеннические сообщения, познакомившись с их некоторыми отличительными признаками. Чаще всего Фишинговые сообщения содержат:
1.сведения, вызывающие беспокойство, или угрозы, например, закрытия пользовательских банковских счетов.
2.обещания огромного денежного приза с минимальными усилиями или вовсе без них.
3.запросы о добровольных пожертвованиях от лица благотворительных организаций.
4.грамматические, пунктуационные и орфографические ошибки.
Самая распространенная фишинг-атака — это «Подложные лотереи»
Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации.
Техник социальной инженерии очень много, и в одну стотью не уместить. Будь бдительны и осторожны;)
