Господарство

Що таке соціальна інженерія?

Соціальна інженерія – найкраща зброя шахрая. А точніше, метод несанкціонованого доступу до інформації або системам зберігання інформації без використання технічних засобів. Основна метою соціальних інженерів, як і інших хакерів і зломщиків, отримання доступу до захищених систем, щоб викрасти інформацію, паролі, дані про кредитні картки і т.п. Основною відмінністю від простого злому є те, що в даному випадку в ролі об’єкта атаки вибирається не машина, а її оператор. Тому всі методи і техніки соціальних інженерів грунтуються на використанні слабкостей людського фактора, а це вважається вкрай руйнівним, тому, що зловмисник отримує інформацію, наприклад, за допомогою звичайної телефонної розмови або шляхом проникнення в організацію під виглядом її службовця. Для захисту від атак даного виду слід знати про найбільш поширених видах шахрайства, розуміти, чого хочуть зломщики і своєчасно організовувати відповідну політику безпеки.

Соціальна інженерія придбала міцний зв’язок з кіберзлочинністю, але насправді це поняття з’явилося давно і спочатку не мало вираженого негативного відтінку. Якщо ти думаєш, що соціальна інженерія – така вигадка з книг-антиутопій або сумнівна психологічна практика, то ця стаття змінить твою думку.

Розглянемо приклади соціальної інженерії:

Щоб досягти своїх цілей зловмисники експлуатують людська цікавість, доброзичливість, ввічливість, лінь, наївність і інші найрізноманітніші якості. Атака на людину (так хакери називають соціальну інженерію) може проводитися за багатьма сценаріями, залежно від ситуації, але існує кілька найбільш поширених технік роботи зловмисників.

1. Фішинг – даний метод виявляється в значній мірі ефективним через неуважність користувача.

приклад: На твою електронну пошту приходить лист від якогось невідомого ресурсу. До листа додано посилання по якій пропонується перейти. Перейшовши за посиланням тебе попросять авторизуватися. Ти вводиш пароль і логін навіть не подивившись на адресу сайту, а шахраї таким чином отримують необхідні для злому дані, після чого роблять будь-які дії на твоїй сторінці.

2. Троян – вірус, який отримав свою назву за принципом роботи, подібному з троянським конем з давньогрецького міфу. Ти скачувати програму або навіть картинку і все, вірус вже на твоєму комп’ютері. За допомогою його відбувається крадіжка даних. Найчастіше вірус скачується автоматично при банальному переході по посиланню.

Але чому цей вид крадіжки називають соціальною інженерією? Тому що розробники вірусу добре розуміють, як зробити файл максимально привабливим, щоб ти 100% на нього клікнув або скачав.

3. Кви про кво (Від латинського quid pro quo) – перекладається як “то за що”. Доступніше – це працює за принципом “послуга за послугу”. Шахрай представляється співробітником служби технічної підтримки. Деякі навіть не звернуть уваги, і з радістю розкажуть необхідну інформацію. Ще й виконають всі необхідні шахраєві дії.

також існує зворотна інженерія. Це вид атаки, при якому ти сам звертаєшся до зловмисника і надаєш йому потрібні відомості.

Зворотній інженерія досягається декількома шляхами:

Ситуація підлаштована таким чином, що твоя система починає неправильно працювати, і ти намагаєшся знайти фахівця для допомоги. Все зроблено так, що фахівець до якого ти звернувся, і є шахрай. Виправляючи “нібито” твою проблему, хакер здійснює необхідні для злому дії. Іноді, щоб отримати необхідну інформацію йому мало одного доступу до комп’ютера, потрібне спілкування безпосередньо з жертвою. Цей метод гарний ще тим, що при виявленні злому, фахівець залишається поза підозрою.

Методи захисту:

Найголовніше – це пильність і скептицизм. Уважно дивись на адресу ресурсу, на якому збираєшся вводити свої особисті дані.

Якщо тобі подзвонили і представилися співробітником будь-якої організації або сайту, то важливо розуміти, що він вже повинен володіти всією необхідною інформацією і йому не потрібно знати твої конфіденційні дані. Для ідентифікації особистості часто необхідно назвати останні цифри будь-яких даних, а якщо тебе просять назвати їх цілком, то тут вже варто насторожитися.

Працюючи з важливою інформацією, важливо відчувати, що відбувається навколо тебе. Досить велика кількість даних було підглянуто через плече жертви.

Чи не переходь по посиланню на ресурс, якщо чітко не розумієш куди ти намагаєшся потрапити і навіщо. Пам’ятай, найбільша перевага лиходія – твоє цікавість. Краще проігнорує ситуацію, тоді в твоєму житті мало що зміниться. Ніколи не розголошують свої особисті дані без вагомої причини.