Вредоносное ПО - не единственная онлайн-угроза, о которой следует беспокоиться. Социальная инженерия - огромная угроза, и она может поразить вас в любой операционной системе. Фактически, социальная инженерия также может происходить по телефону и при личной встрече.
Важно знать о социальной инженерии и быть начеку. Программы безопасности не защитят вас от большинства угроз социальной инженерии, поэтому вам нужно защитить себя.
Объяснение социальной инженерии
Традиционные компьютерные атаки часто зависят от обнаружения уязвимости в коде компьютера. Например, если вы используете устаревшую версию Adobe Flash - или, не дай бог, Джава , который, по данным Cisco, стал причиной 91% атак в 2013 году - вы можете посетить вредоносный веб-сайт, и этот веб-сайт будет использовать уязвимость в вашем программном обеспечении для получения доступа к вашему компьютеру. Злоумышленник манипулирует ошибками в программном обеспечении, чтобы получить доступ и собрать личную информацию, возможно, с помощью установленного им кейлоггера.
Уловки социальной инженерии отличаются, потому что они включают в себя психологические манипуляции. Другими словами, они эксплуатируют людей, а не свои программы.
СВЯЗАННЫЕ С: Безопасность в Интернете: раскрытие анатомии фишингового письма
Вы, наверное, уже слышали о фишинг , которая является формой социальной инженерии. Вы можете получить электронное письмо от своего банка, компании, выпускающей кредитную карту, или другого надежного предприятия. Они могут направить вас на поддельный веб-сайт, замаскированный под настоящий, или попросить вас загрузить и установить вредоносную программу. Но такие уловки социальной инженерии не обязательно связаны с поддельными веб-сайтами или вредоносным ПО. Фишинговое письмо может просто попросить вас отправить ответ по электронной почте с личной информацией. Вместо того, чтобы пытаться использовать ошибку в программном обеспечении, они пытаются использовать обычные человеческие взаимодействия. Целевой фишинг может быть еще более опасным, поскольку это форма фишинга, предназначенная для конкретных людей.
Примеры социальной инженерии
Одна из популярных уловок в чат-сервисах и онлайн-играх заключалась в том, чтобы зарегистрировать учетную запись с именем типа «Администратор» и отправлять людям пугающие сообщения, такие как «ВНИМАНИЕ: мы обнаружили, что кто-то может взламывать вашу учетную запись, ответьте своим паролем, чтобы аутентифицироваться». Если цель отвечает своим паролем, она попалась на уловку, и теперь у злоумышленника есть пароль от учетной записи.
Если у кого-то есть личная информация о вас, он может использовать ее для доступа к вашим учетным записям. Например, такая информация, как дата вашего рождения, номер социального страхования и номер кредитной карты, часто используется для вашей идентификации. Если у кого-то есть эта информация, он может связаться с компанией и притвориться вами. Этот прием был широко использован злоумышленниками для получения доступа к Yahoo! Сары Пэйлин. Почтовый аккаунт в 2008 году, отправив достаточно личных данных, чтобы получить доступ к учетной записи через форму восстановления пароля Yahoo !. Тот же метод можно использовать по телефону, если у вас есть личная информация, необходимая для вашей аутентификации. Злоумышленник с некоторой информацией о цели может выдать себя за них и получить доступ к большему количеству вещей.
Социальную инженерию также можно использовать лично. Злоумышленник может войти в бизнес, авторитетным и убедительным тоном сообщить секретарю, что он ремонтник, новый сотрудник или пожарный инспектор, а затем бродить по залам и потенциально украсть конфиденциальные данные или установить ошибки для выполнения корпоративного шпионажа. Этот трюк зависит от злоумышленника, представляющего себя тем, кем он не является. Если секретарь, швейцар или кто-либо другой ответственный не задаст слишком много вопросов или не присмотрится слишком внимательно, уловка будет успешной.
СВЯЗАННЫЕ С: Как злоумышленники на самом деле «взламывают учетные записи» в Интернете и как защитить себя
Атаки социальной инженерии охватывают диапазон поддельных веб-сайтов, мошеннических электронных писем и гнусных сообщений в чатах вплоть до выдачи себя за кого-то по телефону или лично. Эти атаки бывают самых разных форм, но все они имеют одну общую черту - они зависят от психологических уловок. Социальную инженерию называют искусством психологической манипуляции. Это один из основные способы, которыми «хакеры» фактически «взламывают» учетные записи в Интернете .
Как избежать социальной инженерии
Знание о существовании социальной инженерии может помочь вам в борьбе с ней. С подозрением относитесь к нежелательным электронным письмам, сообщениям в чате и телефонным звонкам, в которых запрашивается личная информация. Никогда не раскрывайте финансовую или важную личную информацию по электронной почте. Не загружайте потенциально опасные вложения электронной почты и не запускайте их, даже если в письме говорится, что они важны.
Вы также не должны переходить по ссылкам в электронном письме на конфиденциальные веб-сайты. Например, не нажимайте на ссылку в электронном письме, которое, похоже, пришло от вашего банка, и не входите в систему. Это может привести к поддельному фишинговому сайту, замаскированному под сайт вашего банка, но с несколько другим URL. Вместо этого посетите веб-сайт напрямую.
Если вы получили подозрительный запрос - например, телефонный звонок из вашего банка с запросом личной информации - свяжитесь напрямую с источником запроса и попросите подтверждения. В этом примере вы бы позвонили в свой банк и спросили, что они хотят, вместо того, чтобы разглашать информацию кому-то, кто утверждает, что является вашим банком.
В программах электронной почты, веб-браузерах и пакетах безопасности обычно есть фишинговые фильтры, которые предупреждают вас, когда вы посещаете известный фишинговый сайт. Все, что они могут сделать, - это предупредить вас, когда вы посетите известный фишинговый сайт или получите известное фишинговое письмо, и они не знают обо всех фишинговых сайтах или электронных письмах. По большей части вам решать, как защитить себя - программы безопасности могут помочь лишь немного.
Хорошая идея - проявить здоровую подозрительность при работе с запросами на личные данные и всем остальным, что может быть атакой социальной инженерии. Подозрение и осторожность помогут защитить вас как в сети, так и вне ее.
Кредит изображения: Джефф Тернет на Flickr
