Што е Социјално инженерство? 11 примери на кои треба да внимавате
Содржина
Што точно е социјално инженерство, во секој случај?
Социјалниот инженеринг се однесува на чинот на манипулирање со луѓето за да се извлечат нивните доверливи информации. Видот на информации што ги бараат криминалците може да варира. Обично, поединците се цел на нивните банкарски податоци или лозинките на нивните сметки. Криминалците исто така се обидуваат да пристапат до компјутерот на жртвата за да инсталираат злонамерен софтвер. Овој софтвер потоа им помага да ги извлечат сите информации што им требаат.
Криминалците користат тактики на социјален инженеринг затоа што често е лесно да се искористат личности со тоа што ќе ја добијат довербата и ќе ги убедат да се откажат од своите лични податоци. Тоа е попогоден начин отколку директно хакирање во нечиј компјутер без негово знаење.
Примери за социјално инженерство
Ќе можете подобро да се заштитите со тоа што ќе бидете информирани за различните начини на кои се врши социјалниот инженеринг.
1. Претекстирање
Претекстирањето се користи кога криминалецот сака да пристапи до чувствителни информации од жртвата за извршување на критична задача. Напаѓачот се обидува да ги добие информациите преку неколку внимателно изработени лаги.
Криминалецот започнува со воспоставување доверба кај жртвата. Ова може да се направи со имитирање на нивните пријатели, колеги, банкарски службеници, полиција или други власти кои може да побараат такви чувствителни информации. Напаѓачот им поставува низа прашања со изговор дека ќе го потврди идентитетот и во овој процес собира лични податоци.
Овој метод се користи за извлекување на сите видови лични и официјални детали од некоја личност. Таквите информации може да вклучуваат лични адреси, броеви за социјално осигурување, телефонски броеви, телефонски записи, банкарски детали, датуми за одмор на персоналот, безбедносни информации поврзани со бизниси итн.
2. Кражба со пренасочување
Ова е еден вид измама што генерално е насочена кон курирски и транспортни компании. Криминалецот се обидува да ја измами целната компанија со тоа што ќе ги натера да го достави својот пакет за испорака на различна локација за испорака од онаа што првично беше наменета. Оваа техника се користи за кражба на скапоцени добра што се доставуваат преку поштата.
Оваа измама може да се изврши и офлајн и онлајн. На персоналот што ги носи пакетите може да му се пристапи и да биде убеден да ја остави испораката на друга локација. Напаѓачите може да добијат и пристап до системот за онлајн испорака. Тие потоа можат да го пресретнат распоредот за испорака и да направат измени во него.
3. Фишинг
Фишингот е една од најпопуларните форми на социјален инженеринг. Фишинг измамите вклучуваат е-пошта и текстуални пораки кои можат да создадат чувство на љубопитност, страв или итност кај жртвите. Текстот или е-поштата ги поттикнуваат да кликнат на врски што би доведоа до злонамерни веб-локации или прилози што ќе инсталираат малициозен софтвер на нивните уреди.
На пример, корисниците на онлајн услугата може да добијат е-пошта во која се тврди дека има промена на политиката што бара од нив веднаш да ги променат своите лозинки. Поштата ќе содржи линк до нелегална веб-страница која е идентична со оригиналната веб-страница. Корисникот потоа ќе ги внесе ингеренциите на својата сметка на таа веб-локација, сметајќи дека е легитимна. По поднесувањето на нивните податоци, информациите ќе бидат достапни за криминалецот.
4. Фишинг со копје
Ова е еден вид на фишинг измама што е повеќе насочена кон одреден поединец или организација. Напаѓачот ги прилагодува своите пораки врз основа на работните позиции, карактеристиките и договорите поврзани со жртвата, така што тие може да изгледаат поискрени. Фишингот со копје бара поголем напор од страна на криминалецот и може да потрае многу повеќе време од обичниот фишинг. Сепак, тие се потешко да се идентификуваат и имаат подобра стапка на успех.
На пример, напаѓачот кој се обидува да изврши фишинг со копје на организација ќе испрати е-пошта до вработен кој се претставува како ИТ консултант на фирмата. Е-поштата ќе биде врамена на начин што е сосема сличен на тоа како го прави консултантот. Ќе изгледа доволно автентично за да го измами примачот. Е-поштата ќе го поттикне вработениот да ја смени лозинката со тоа што ќе му обезбеди линк до злонамерна веб-страница што ќе ги сними нивните информации и ќе ги испрати до напаѓачот.
5. Вода-Holing
Измамата со дупчење вода ги користи предностите на доверливи веб-локации кои редовно ги посетуваат многу луѓе. Криминалецот ќе собира информации во врска со целната група на луѓе за да утврди кои веб-страници често ги посетуваат. Овие веб-локации потоа ќе бидат тестирани за ранливости. Со текот на времето, еден или повеќе членови на оваа група ќе се заразат. Напаѓачот потоа ќе може да пристапи до безбедниот систем на овие заразени корисници.
Името доаѓа од аналогијата на тоа како животните пијат вода со собирање на нивните доверливи места кога се жедни. Тие не размислуваат двапати за преземање мерки на претпазливост. Предаторите се свесни за тоа, па чекаат во близина, спремни да ги нападнат кога стражата им е намалена. Отворањето вода во дигиталниот пејзаж може да се искористи за да се направат некои од најразорните напади врз група ранливи корисници во исто време.
6. Мамка
Како што е очигледно од името, мамката вклучува употреба на лажно ветување за да се поттикне љубопитноста или алчноста на жртвата. Жртвата е намамена во дигитална стапица која ќе му помогне на криминалецот да ги украде нивните лични податоци или да инсталира малициозен софтвер во нивните системи.
Мамката може да се одвива и преку онлајн и офлајн медиуми. Како офлајн пример, криминалецот може да ја остави мамката во форма на флеш-уред што е заразен со малициозен софтвер на видни локации. Ова може да биде лифтот, бањата, паркингот итн., на целната компанија. Флеш-уредот ќе има автентичен изглед, што ќе ја натера жртвата да го земе и да го вметне во својот работен или домашен компјутер. Флеш-уредот потоа автоматски ќе извезува малициозен софтвер во системот.
Онлајн формите на мамка може да бидат во форма на атрактивни и примамливи реклами кои би ги поттикнале жртвите да кликнат на неа. Врската може да преземе малициозни програми, кои потоа ќе го заразат нивниот компјутер со малициозен софтвер.
7. Quid Pro Quo
Нападот quid pro quo значи напад „нешто за нешто“. Тоа е варијација на техниката на мамка. Наместо да ги мами жртвите со ветување за корист, нападот quid pro quo ветува услуга доколку се изврши одредена акција. Напаѓачот нуди лажна корист на жртвата во замена за пристап или информации.
Најчестиот облик на овој напад е кога криминалец се претставува како ИТ персонал на една компанија. Криминалецот потоа контактира со вработените во компанијата и им нуди нов софтвер или надградба на системот. Потоа, од вработениот ќе биде побарано да го оневозможи својот антивирусен софтвер или да инсталира злонамерен софтвер доколку сака надградба.
8. опашка
Нападот на опашката се нарекува и пигџибек. Тоа вклучува криминалец кој бара влез во ограничена локација која нема соодветни мерки за автентикација. Криминалецот може да добие пристап со влегување зад друго лице кое е овластено да влезе во областа.
Како пример, криминалецот може да се претставува како возач на доставувач кој има полни раце со пакети. Чека овластен вработен да влезе на вратата. Доставувачот на измамник потоа бара од вработениот да ја држи вратата за него, а со тоа му дозволува да пристапи без никакво овластување.
9. Медна стапица
Овој трик вклучува криминалец да се преправа дека е привлечна личност на интернет. Лицето се спријателува со нивните цели и лажира врска на интернет со нив. Тогаш криминалецот ја користи оваа врска за да ги извлече личните податоци на нивните жртви, да позајми пари од нив или да ги натера да инсталираат малициозен софтвер на нивните компјутери.
Името „медена стапица“ доаѓа од старата шпионска тактика каде што жените се користеле за гаѓање мажи.
10. Нечесниот
Нечесниот софтвер може да се појави во форма на непријателски анти-малициозен софтвер, непријателски скенер, непријателски плашички софтвер, анти-шпионски софтвер и така натаму. Овој тип на компјутерски малициозен софтвер ги доведува во заблуда корисниците да платат за симулиран или лажен софтвер кој ветил дека ќе го отстрани малициозниот софтвер. Нечесните безбедносни софтвери станаа растечка грижа во последниве години. Доверлив корисник може лесно да стане плен на таков софтвер, кој е достапен во многу.
11. Малициозен софтвер
Целта на нападот на малициозен софтвер е да ја натера жртвата да инсталира малициозен софтвер во нивните системи. Напаѓачот манипулира со човечките емоции за да ја натера жртвата да дозволи малициозен софтвер да влезе во нивните компјутери. Оваа техника вклучува употреба на инстант пораки, текстуални пораки, социјални медиуми, е-пошта итн., за испраќање пораки за фишинг. Овие пораки ја мамат жртвата да кликне на врска што ќе отвори веб-локација што содржи малициозен софтвер.
За пораките често се користат тактики за исплашување. Може да кажат дека нешто не е во ред со вашата сметка и дека мора веднаш да кликнете на дадената врска за да се најавите на вашата сметка. Врската потоа ќе ве натера да преземете датотека преку која малициозниот софтвер ќе се инсталира на вашиот компјутер.
Останете свесни, бидете безбедни
Да се информирате е првиот чекор кон заштита од напади од социјален инженеринг. Основен совет е да ги игнорирате сите пораки со кои се бара вашата лозинка или финансиски информации. Можете да користите филтри за спам што доаѓаат со вашите услуги за е-пошта за да ги означите таквите е-пошта. Добивањето доверлив антивирусен софтвер исто така ќе помогне дополнително да го обезбедите вашиот систем.
