Социальная инженерия

это способ получения конфиденциальной информации с помощью психологического воздействия на человека. Основной целью социальной инженерии является получение выгоды через доступ к паролям, банковским данным и другим защищенным системам.



Виды
  • Подложные предложения и ссылки
    Жертве поступают предложения о выигрыше в лотерее, подарке от известного бренда, замаскированные ссылки на известные сайты с выгодными предложениями, уведомления о необходимости установить ПО для защиты компьютера. После перехода по ссылкам происходит кража данных, которые жертва вводит в предложенной форме или устанавливается вредоносное ПО, похищающее информацию.

  • Телефонный фишинг и фрикинг
    Реализуется путем отправки пользователю голосовых сообщений от несуществующих банков с целью получения пин-кодов карты или одноразовых паролей для проведения финансовых операций. Также здесь может использоваться перехват сигналов тонового набора служебных сигналов во время телефонных звонков
  • Претекстинг
    Мошенник представляется подложной персоной и действует по заранее подготовленному сценарию, располагает частью знаний о человеке. Это может быть псевдосотрудник государственных организаций или внутренних органов, который выманивает у жертвы конфиденциальные данные.

  • Квид про кво (услуга за услугу)
    Атака построена на обращении злоумышленника в интересующую компанию под видом ее персонала по вопросу предоставления ему услуги техподдержки на рабочем месте. Это помогает украсть данные учетных записей и запустить нежелательные процессы.

  • Дорожное яблоко
    Реализуется путем подброса физических носителей информации на территорию интересующей компании, на которых присутствует вредоносный код. Это могут быть CD-диск, флеш-накопитель. Они специально маркируются логотипами и цветами компании, содержат приглашение для использования вроде надписей: «Строго секретно», «Коммерческая тайна», «Доходы компании». Сотрудник использует носитель на своем рабочем месте, после чего происходит кража данных.

  • Плечевой серфинг
    Основывается на невнимательности жертвы, которая уверена в своей безопасности и никак не защищает конфиденциальные данные. Злоумышленник осуществляет контакт в общественном месте с жертвой и свободно подсматривает информацию, которая находится в открытом доступе на экранах мобильных устройств.

Целью социальной инженерии выступают конфиденциальные данные , персональные данные, идентификаторы, пароли в системе для авторизации. Также хакеров интересуют ценные виды информации вроде коммерческой тайны, банковских транзакций. Использование социальной инженерии дает практически неограниченные возможности для киберпреступников для манипуляции жертвой и длительного использования ее в своих целях.
Участником преступной схемы может стать абсолютно любой человек независимо от его положения в обществе, должности, места работы. Существуют многоуровневые схемы фишинга, где создается сеть со множеством жертв, которых используют скрытно, без подозрений и длительное время. Способы социальной инженерии отличаются разнообразием и в большинстве случаев – это спланированные, заранее подготовленные действия, где выбраны жертвы, определены конкретные цели.

Кража и утечка данных с использованием социальной инженерии: возможные последствия
1
Компрометация информации
Компрометация информации. Попадание конфиденциальных сведений в руки третьей стороны грозит высокими финансовыми и репутационными рисками для компании. Могут быть раскрыты коммерческая тайна, внутренние разработки.
.
2
Нарушение доступности и целостности информации.
Нарушение доступности и целостности информации. Преступники могут уничтожить или модифицировать сведения, находящиеся в базах данных, что не позволит использовать их по целевому назначению владельцу.
3
Нецелевое использование информации.
Нецелевое использование информации. Полученные конфиденциальные сведения могут быть использованы для осуществления мошеннических схем, чреватых финансовыми и репутационными потерями компании.

Какие существуют способы защиты от социальной инженерии?

Способы защиты
Обучение основам кибербезопасности
Обучение основам кибербезопасности. Умение выявлять признаки социальной инженерии, избегать нежелательных ситуаций и своевременно реагировать на угрозы снижает риски стать жертво
Использование средств технической защиты
Использование средств технической защиты. Применение антивирусных программ, межсетевых экранов, антишпионского ПО помогает предотвратить большую часть атак. Оптимально использовать комплексные решения, проводить регулярное тестирование сети на проникновение.
Двухфакторная аунтефиукация
Использовать многофакторную аутентификацию везде, где это возможно. Это существенно снижает риски взлома.

Пароли
Регулярно обновлять пароли и не использовать одни и те же варианты в разных местах. Менеджер паролей поможет подобрать надежные пароли, обеспечит их хранение.
This site was made on Tilda — a website builder that helps to create a website without any code
Create a website
How to remove this block?About platformSubmit a complaint