Kas yra Socialinė inžinerija? 11 pavyzdžių, kurių reikia saugotis
Turinys
Kas iš tikrųjų yra socialinė inžinerija?
Socialinė inžinerija reiškia manipuliavimą žmonėmis, siekiant išgauti jų konfidencialią informaciją. Informacija, kurios nusikaltėliai ieško, gali skirtis. Paprastai asmenys yra nukreipiami į savo banko duomenis arba sąskaitų slaptažodžius. Nusikaltėliai taip pat bando pasiekti aukos kompiuterį, kad įdiegtų kenkėjišką programinę įrangą. Tada ši programinė įranga padeda jiems išgauti bet kokią informaciją, kurios jiems gali prireikti.
Nusikaltėliai naudoja socialinės inžinerijos taktiką, nes dažnai lengva išnaudoti asmenį, įgyjant jo pasitikėjimą ir įtikinti atsisakyti savo asmeninių duomenų. Tai patogesnis būdas nei tiesioginis įsilaužimas į kieno nors kompiuterį be jo žinios.
Socialinės inžinerijos pavyzdžiai
Galėsite geriau apsisaugoti būdami informuoti apie įvairius socialinės inžinerijos būdus.
1. Pretekstas
Pretekstas naudojamas, kai nusikaltėlis nori gauti slaptą informaciją iš aukos, kad galėtų atlikti svarbią užduotį. Užpuolikas bando gauti informaciją per kelis kruopščiai sukurtus melus.
Nusikaltėlis pradeda nuo pasitikėjimo su auka užmezgimo. Tai gali būti padaryta apsimetant savo draugais, kolegomis, banko pareigūnais, policija ar kitomis institucijomis, kurios gali prašyti tokios neskelbtinos informacijos. Užpuolikas užduoda jiems daugybę klausimų, siekdamas patvirtinti jų tapatybę, ir šio proceso metu renka asmens duomenis.
Šis metodas naudojamas norint išgauti iš asmens visokias asmenines ir oficialias detales. Tokia informacija gali apimti asmeninius adresus, socialinio draudimo numerius, telefonų numerius, telefono įrašus, banko duomenis, darbuotojų atostogų datas, su verslu susijusią saugumo informaciją ir pan.
2. Nukreipimo vagystė
Tai yra sukčiavimo tipas, kuris paprastai yra nukreiptas į kurjerių ir transporto įmones. Nusikaltėlis bando apgauti tikslinę įmonę, priversdamas ją pristatyti siuntinį į kitą pristatymo vietą, nei buvo numatyta iš pradžių. Ši technika naudojama pavogti brangias prekes, kurios pristatomos per paštą.
Ši sukčiavimas gali būti vykdomas tiek neprisijungus, tiek prisijungus. Prie personalo, vežančio pakuotes, gali būti kreiptasi ir jie bus įtikinti pristatymą atiduoti į kitą vietą. Užpuolikai taip pat gali gauti prieigą prie internetinės pristatymo sistemos. Tada jie gali perimti pristatymo grafiką ir jį pakeisti.
3 Sukčiavimas
Sukčiavimas yra viena iš populiariausių socialinės inžinerijos formų. Sukčiavimo sukčiavimas apima el. pašto ir teksto žinutes, kurios gali sukelti aukoms smalsumo, baimės ar skubos jausmą. Tekstas ar el. laiškas skatina juos spustelėti nuorodas, kurios nukreiptų į kenkėjiškas svetaines arba priedus, kurie jų įrenginiuose įdiegtų kenkėjiškas programas.
Pavyzdžiui, internetinės paslaugos naudotojai gali gauti el. laišką, kuriame teigiama, kad buvo pakeista politika, dėl kurios reikia nedelsiant pakeisti slaptažodžius. Laiške bus nuoroda į nelegalią svetainę, kuri yra identiška pradinei svetainei. Tada vartotojas įves savo paskyros kredencialus į tą svetainę, laikydamas, kad tai teisėta. Pateikus savo duomenis, informacija nusikaltėliui bus prieinama.
4. „Spear Phishing“.
Tai sukčiavimo sukčiavimo tipas, labiau nukreiptas į konkretų asmenį ar organizaciją. Užpuolikas pritaiko savo pranešimus pagal darbo pozicijas, savybes ir sutartis, susijusias su auka, kad jie atrodytų tikresni. Sukčiavimas su ietis reikalauja daugiau nusikaltėlio pastangų ir gali užtrukti daug daugiau laiko nei įprastas sukčiavimas. Tačiau juos sunkiau atpažinti ir jų sėkmės rodiklis yra geresnis.
Pavyzdžiui, užpuolikas, bandantis sukčiauti organizacijoje, išsiųs el. laišką darbuotojui, kuris apsimeta įmonės IT konsultantu. El. laiškas bus įrėmintas tiksliai panašiai, kaip tai daro konsultantas. Tai atrodys pakankamai autentiška, kad apgautų gavėją. El. laiške darbuotojas bus paragintas pakeisti slaptažodį, pateikdamas nuorodą į kenkėjišką tinklalapį, kuriame bus įrašyta jų informacija ir išsiųsta ją užpuolikui.
5. Vandens skylė
Vandens duobių sukčiai naudojasi patikimomis svetainėmis, kuriose reguliariai lankosi daug žmonių. Nusikaltėlis rinks informaciją apie tikslinę žmonių grupę, kad nustatytų, kuriose svetainėse jie dažnai lankosi. Tada šios svetainės bus patikrintos, ar nėra pažeidžiamumų. Laikui bėgant vienas ar keli šios grupės nariai užsikrės. Tada užpuolikas galės pasiekti saugią šių užkrėstų vartotojų sistemą.
Pavadinimas kilęs iš analogijos, kaip gyvūnai geria vandenį rinkdamiesi savo patikimose vietose, kai yra ištroškę. Jie du kartus negalvoja apie atsargumo priemones. Plėšrūnai tai žino, todėl laukia netoliese, pasiruošę juos pulti, kai jų apsauga nutrūks. Vandens skylės skaitmeniniame kraštovaizdyje gali būti naudojamos kai kurioms niokojančioms atakoms prieš grupę pažeidžiamų vartotojų vienu metu.
6. Kibimas
Kaip matyti iš pavadinimo, kibimas yra susijęs su melagingu pažadu, siekiant sukelti aukos smalsumą ar godumą. Auka įviliojama į skaitmeninius spąstus, kurie padės nusikaltėliui pavogti jų asmens duomenis arba įdiegti kenkėjiškas programas į jų sistemas.
Kibimas gali vykti tiek internetu, tiek neprisijungus. Pavyzdžiui, neprisijungus, nusikaltėlis matomose vietose gali palikti masalą „flash drive“, kuris buvo užkrėstas kenkėjiška programa. Tai gali būti tikslinės įmonės liftas, vonios kambarys, automobilių stovėjimo aikštelė ir kt. „Flash“ diskas turės autentišką išvaizdą, todėl auka jį paims ir įdės į savo darbo ar namų kompiuterį. Tada „flash drive“ automatiškai eksportuos kenkėjišką programą į sistemą.
Internetinės kibimo formos gali būti patrauklios ir viliojančios reklamos, skatinančios aukas ją spustelėti. Ši nuoroda gali atsisiųsti kenkėjiškų programų, kurios užkrės jų kompiuterį kenkėjiška programa.
7. Quid Pro Quo
„Quid pro quo“ ataka reiškia „kažką už kažką“ ataką. Tai kibimo technikos atmaina. Užuot kibęs aukas žadėdamas naudą, quid pro quo ataka žada paslaugą, jei buvo atliktas konkretus veiksmas. Užpuolikas siūlo aukai netikrą naudą mainais už prieigą ar informaciją.
Dažniausia šios atakos forma, kai nusikaltėlis apsimeta įmonės IT personalu. Tada nusikaltėlis susisiekia su įmonės darbuotojais ir siūlo jiems naują programinę įrangą arba sistemos atnaujinimą. Tada darbuotojo bus paprašyta išjungti antivirusinę programinę įrangą arba įdiegti kenkėjišką programinę įrangą, jei norės atnaujinti.
8. Galinis užlenkimas
Užpuolimas už uodegos taip pat vadinamas skraidymu. Tai susiję su nusikaltėliu, siekiančiu patekti į ribotą vietą, kurioje nėra tinkamų tapatybės nustatymo priemonių. Nusikaltėlis gali patekti į jį eidamas už kito asmens, kuriam suteikta teisė patekti į teritoriją.
Pavyzdžiui, nusikaltėlis gali apsimesti pristatymo vairuotoju, kurio rankos pilnos siuntų. Jis laukia, kol pro duris įeis įgaliotas darbuotojas. Tada apgavikas pristatymo vaikinas paprašo darbuotojo laikyti jam duris, taip leisdamas įeiti be jokio leidimo.
9. Medaus spąstai
Šis triukas reiškia, kad nusikaltėlis internete apsimeta patraukliu asmeniu. Asmuo susidraugauja su savo taikiniais ir klastoja su jais internetinius santykius. Tada nusikaltėlis pasinaudoja šiais santykiais, kad išgautų savo aukų asmeninius duomenis, pasiskolintų iš jų pinigų arba verstų jas įdiegti kenkėjiškas programas į savo kompiuterius.
Pavadinimas „medaus spąstai“ kilęs iš senosios šnipinėjimo taktikos, kai moterys buvo naudojamos taikantis į vyrus.
10. Nesąžiningas
Nesąžininga programinė įranga gali pasirodyti kaip nesąžininga antikenkėjiška programa, nesąžiningas skaitytuvas, nesąžiningos baidyklės, anti-spyware ir pan. Tokio tipo kompiuterių kenkėjiškos programos klaidina vartotojus, kad jie susimokėtų už imituotą arba suklastotą programinę įrangą, kuri pažadėjo pašalinti kenkėjiškas programas. Nesąžininga saugos programinė įranga pastaraisiais metais kelia vis didesnį susirūpinimą. Nieko neįtariantis vartotojas gali lengvai tapti tokios programinės įrangos, kurios yra daugybė, auku.
11. Kenkėjiška programa
Kenkėjiškų programų atakos tikslas yra priversti auką įdiegti kenkėjiškas programas į savo sistemas. Užpuolikas manipuliuoja žmogaus emocijomis, kad auka įsileistų kenkėjišką programą į savo kompiuterius. Ši technika apima momentinių pranešimų, tekstinių pranešimų, socialinių tinklų, el. pašto ir kt. naudojimą sukčiavimo pranešimams siųsti. Šie pranešimai priverčia auką spustelėti nuorodą, kuri atvers svetainę, kurioje yra kenkėjiška programa.
Pranešimams dažnai naudojama gąsdinimo taktika. Jie gali pasakyti, kad kažkas negerai su jūsų paskyra ir kad jūs turite nedelsdami spustelėti pateiktą nuorodą, kad prisijungtumėte prie savo paskyros. Tada nuoroda leis jums atsisiųsti failą, per kurį kenkėjiška programa bus įdiegta jūsų kompiuteryje.
Būkite sąmoningi, būkite saugūs
Informuoti save yra pirmas žingsnis siekiant apsisaugoti nuo socialinės inžinerijos atakos. Pagrindinis patarimas – nekreipti dėmesio į bet kokius pranešimus, kuriuose prašoma įvesti slaptažodį ar finansinę informaciją. Norėdami pažymėti tokius el. laiškus, galite naudoti su el. pašto paslaugomis pateikiamus nepageidaujamo pašto filtrus. Patikimos antivirusinės programinės įrangos įsigijimas taip pat padės dar labiau apsaugoti jūsų sistemą.
