Шкідливе програмне забезпечення - не єдина загроза в Інтернеті, про яку слід турбуватися. Соціальна інженерія є величезною загрозою, і вона може вразити вас у будь-якій операційній системі. Насправді соціальна інженерія може також відбуватися по телефону та в особистих ситуаціях.
Важливо знати соціальну інженерію та бути на сторожі. Програми безпеки не захистять вас від більшості загроз соціальної інженерії, тому вам доведеться захищати себе.
Пояснення соціальної інженерії
Традиційні комп’ютерні атаки часто залежать від пошуку вразливості в коді комп’ютера. Наприклад, якщо ви використовуєте застарілу версію Adobe Flash - або, не дай Бог, Java , що стало причиною 91% атак у 2013 році за даними Cisco - ви можете відвідати шкідливий веб-сайт, і цей веб-сайт використовуватиме вразливість у вашому програмному забезпеченні, щоб отримати доступ до вашого комп'ютера. Зловмисник маніпулює помилками програмного забезпечення, щоб отримати доступ та зібрати приватну інформацію, можливо, за допомогою встановленого ними кейлоггера.
Прийоми соціальної інженерії різні, оскільки вони замість цього передбачають психологічні маніпуляції. Іншими словами, вони експлуатують людей, а не їх програмне забезпечення.
ПОВ'ЯЗАНІ: Інтернет-безпека: злам анатомії фішингового електронного листа
Ви, напевно, вже чули про фішинг , яка є формою соціальної інженерії. Ви можете отримати електронний лист із твердженням, що його надійшли від вашого банку, компанії, що видає кредитну картку, або іншого довіреного бізнесу. Вони можуть направити вас на підроблений веб-сайт, замаскований, щоб виглядати справжнім, або попросити завантажити та встановити шкідливу програму. Але такі трюки соціальної інженерії не повинні включати підроблені веб-сайти чи шкідливе програмне забезпечення. Фішинг-лист може просто попросити вас надіслати відповідь електронною поштою з приватною інформацією. Замість того, щоб намагатися використати помилку в програмному забезпеченні, вони намагаються використати звичайні людські взаємодії. Спір-фішинг може бути ще більш небезпечним, оскільки це форма фішингу, призначена для конкретних людей.
Приклади соціальної інженерії
Одним із популярних трюків у чат-сервісах та онлайн-іграх було зареєструвати обліковий запис з таким ім’ям, як „Адміністратор”, і надсилати людям страшні повідомлення на зразок „ПОПЕРЕДЖЕННЯ. Ми виявили, що хтось може зламати ваш обліковий запис, надішліть відповідь за допомогою пароля для автентифікації. Якщо ціль відповідає своїм паролем, вони впадають у хитрість, і зловмисник тепер має пароль свого облікового запису.
Якщо хтось має на вас особисту інформацію, він може використовувати її для отримання доступу до ваших облікових записів. Наприклад, така інформація, як дата народження, номер соціального страхування та номер кредитної картки, часто використовується для ідентифікації вас. Якщо хтось володіє цією інформацією, він може зв’язатися з компанією та прикинутися вами. Цей фокус вдало використав зловмисник, щоб отримати доступ до Yahoo! Сари Пейлін! Пошти в 2008 році, надавши достатньо особистих даних, щоб отримати доступ до облікового запису через форму відновлення пароля Yahoo! Той самий метод можна використовувати по телефону, якщо у вас є особиста інформація, яку компанія вимагає для автентифікації вас. Зловмисник, який має певну інформацію про ціль, може прикинутися ним і отримати доступ до більшої кількості речей.
Соціальна інженерія також може бути використана особисто. Зловмисник може ввійти в бізнес, повідомити секретаря, що це ремонтник, новий співробітник або інспектор пожежних справ авторитетним і переконливим тоном, а потім блукати залами і потенційно викрасти конфіденційні дані або помилки рослин для здійснення корпоративного шпигунства. Цей фокус залежить від того, що зловмисник представляє себе кимось, ким він не є. Якщо секретар, швейцар чи хтось інший, хто відповідає, не задає занадто багато питань або не придивляється занадто уважно, фокус буде вдалим.
ПОВ'ЯЗАНІ: Як насправді зловмисники "зламують акаунти" в Інтернеті та як захистити себе
Атаки соціальної інженерії охоплюють цілий ряд фальшивих веб-сайтів, шахрайських електронних листів та підлих повідомлень чату аж до видавання себе за когось по телефону чи особисто. Ці атаки мають найрізноманітніші форми, але всіх їх об’єднує одне - вони залежать від психологічних хитрощів. Соціальну інженерію називали мистецтвом психологічних маніпуляцій. Це одна з основні способи «хакерів» насправді «зламати» акаунти в Інтернеті .
Як уникнути соціальної інженерії
Знання соціальної інженерії може допомогти вам боротися з нею. Будьте підозрілими щодо небажаних електронних листів, повідомлень чату та телефонних дзвінків, що вимагають надання приватної інформації. Ніколи не розкривайте фінансову інформацію або важливу особисту інформацію по електронній пошті. Не завантажуйте потенційно небезпечні вкладення електронної пошти та не запускайте їх, навіть якщо електронна пошта стверджує, що вони важливі.
Також не слід переходити за посиланнями в електронному листі на делікатні веб-сайти. Наприклад, не натискайте посилання в електронному листі, який, здається, надійшов від вашого банку, і не ввійдіть. Це може перейти на підроблений фішинг-сайт, замаскований під вигляд сайту вашого банку, але з незначно іншою URL-адресою. Замість цього відвідайте веб-сайт.
Якщо ви отримуєте підозрілий запит - наприклад, телефонний дзвінок з вашого банку вимагає введення персональних даних - зв’яжіться безпосередньо з джерелом запиту та попросіть підтвердження. У цьому прикладі ви зателефонуєте до свого банку і запитаєте, що вони хочуть, а не розголошують інформацію комусь, хто заявляє, що є вашим банком.
Програми електронної пошти, веб-браузери та пакети безпеки, як правило, мають фішинг-фільтри, які попереджатимуть вас, коли ви відвідуєте відомий фішинг-сайт. Все, що вони можуть зробити, це попередити вас, коли ви відвідуєте відомий фішинг-сайт або отримуєте відомий фішинг-лист, і вони не знають про всі фішингові сайти чи електронні листи там. Здебільшого це залежить від вас, щоб захистити себе - програми безпеки можуть допомогти лише трохи.
Це гарна ідея проявляти здорову підозру при обробці запитів на приватні дані та будь-чого іншого, що може бути атакою соціальної інженерії. Підозра та обережність допоможуть захистити вас як в Інтернеті, так і в режимі офлайн.
Кредит зображення: Джефф Тернет на Flickr
