Что такое социальная инженерия: определение, атаки

Автор: Оливер Джонс Оливер Джонс
Hours обновлено

Что такое социальная инженерия? Означает

Социальная инженерия — это искусство манипулирования пользователями компьютерной системы с целью раскрытия конфиденциальной информации, которая может быть использована для получения несанкционированного доступа к компьютерной системе. Этот термин также может включать в себя такие действия, как использование человеческой доброты, жадности и любопытства для получения доступа к зданиям с ограниченным доступом или принуждение пользователей к установке бэкдорного программного обеспечения.

Знание уловок, используемых хакерами, чтобы заставить пользователей раскрыть важную информацию для входа, среди прочего, имеет основополагающее значение для защиты компьютерных систем.

В этом уроке мы познакомим вас с распространенными методами социальной инженерии и с тем, как можно придумать меры безопасности для противодействия им.

Как работает социальная инженерия?

Социальные инженерные работы

ВОТ,

  • Собрать информацию: Это первый этап: он узнает как можно больше о предполагаемой жертве. Информация собирается с веб-сайтов компаний, других публикаций, а иногда и из бесед с пользователями целевой системы.
  • План атаки: Злоумышленники обрисовывают, как он/она намерены осуществить атаку.
  • Получить инструменты: К ним относятся компьютерные программы, которые злоумышленник будет использовать при запуске атаки.
  • Атака: использовать слабые места целевой системы.
  • Используйте полученные знания: Информация, собранная в ходе тактики социальной инженерии, такая как имена домашних животных, даты рождения основателей организации и т. д., используется в атаках, таких как подбор пароля.

Типы атак социальной инженерии

Методы социальной инженерии могут принимать разные формы.. Ниже приводится список часто используемых методов.

Эксплойт знакомства:

Пользователи менее подозрительно относятся к знакомым людям. Злоумышленник может ознакомиться с пользователями целевой системы до начала атаки методом социальной инженерии. Злоумышленник может взаимодействовать с пользователями во время еды, когда пользователи курят, к которым он может присоединиться, на социальных мероприятиях и т. д. Это делает злоумышленника знакомым пользователям. Предположим, что пользователь работает в здании, для доступа к которому требуется код доступа или карта; злоумышленник может следить за пользователями, когда они входят в такие места. Пользователи больше всего предпочитают держать дверь открытой, чтобы злоумышленник мог войти, поскольку они с ними знакомы. Злоумышленник также может запросить ответы на такие вопросы, как, например, где вы познакомились со своим супругом, имя школьного учителя математики и т. д. Пользователи, скорее всего, откроют ответы, поскольку доверяют знакомому лицу. Эта информация может быть использована для взламывать учетные записи электронной почты и другие учетные записи, которые задают подобные вопросы, если кто-то забывает свой пароль.

Устрашающие обстоятельства:

Люди склонны избегать людей, которые запугивают окружающих. Используя этот метод, злоумышленник может притвориться, что ведет острую ссору по телефону или с сообщником по схеме. Затем злоумышленник может запросить у пользователей информацию, которая будет использована для компрометации безопасности системы пользователей. Пользователи, скорее всего, дают правильные ответы только для того, чтобы избежать конфронтации с злоумышленником. Этот метод также можно использовать, чтобы избежать проверки на контрольно-пропускном пункте.

Фишинг:

Этот метод использует обман и обман для получения личных данных от пользователей. Социальный инженер может попытаться выдать себя за настоящий веб-сайт, такой как Yahoo, а затем попросить ничего не подозревающего пользователя подтвердить имя и пароль его учетной записи. Этот метод также можно использовать для получения информации о кредитной карте или любых других ценных личных данных.

Задняя дверь:

Этот метод подразумевает следование за пользователями, когда они входят в зоны ограниченного доступа. В качестве человеческой вежливости пользователь, скорее всего, впустит социального инженера в зону ограниченного доступа.

Использование человеческого любопытства:

Используя эту технику, социальный инженер может намеренно уронить зараженный вирусом флэш-диск туда, где пользователи смогут легко его подобрать. Пользователь, скорее всего, подключит флэш-диск к компьютеру. Флэш-диск может автоматически запустить вирус, или у пользователя может возникнуть соблазн открыть файл с таким именем, как «Сотрудники». Revaluation Report 2013.docx, который на самом деле может быть зараженным файлом.

Использование человеческой жадности:

Используя эту технику, социальный инженер может заманить пользователя обещаниями заработать много денег в Интернете, заполнив форму и подтвердив свои данные с помощью данных кредитной карты и т. д.

Как предотвратить атаки социальной инженерии?

Вот несколько важных способов защиты от всех типов атак социальной инженерии:

  • Не подключайте неизвестный USB-накопитель к компьютеру.
  • Никогда не нажимайте на ссылки в электронных письмах или сообщениях.
  • Используйте надежные пароли (и менеджер паролей).
  • Используйте многофакторную аутентификацию.
  • Будьте очень осторожны, строя дружбу только в Интернете.
  • Постоянно обновляйте все свое программное обеспечение.
  • Защитите свои компьютерные устройства.
  • Приобретите антивирусное программное обеспечение.
  • Регулярно выполняйте резервное копирование данных.
  • Регулярно уничтожайте конфиденциальные документы.
  • Используйте VPN.
  • Заблокируйте свой ноутбук

Меры противодействия социальной инженерии

Меры противодействия социальной инженерии

Большинство методов, используемых социальными инженерами, включают манипулирование человеческими предубеждениями.. Чтобы противостоять таким методам, организация может:

  • Чтобы противостоять эксплойту знакомства, пользователи должны быть обучены не подменять собой знакомство с мерами безопасности. Даже люди, с которыми они знакомы, должны доказать, что у них есть разрешение на доступ к определенным областям и информации.
  • Для противодействия атакам, вызывающим устрашающие обстоятельства, пользователи должны быть обучены распознавать методы социальной инженерии, позволяющие получить конфиденциальную информацию, и вежливо говорить «нет».
  • Для борьбы с методами фишинга, большинство сайтов, таких как Yahoo, используют безопасные соединения для зашифровать данные и доказать, что они те, за кого себя выдают. Проверка URL-адреса может помочь вам обнаружить поддельные сайты.. Не отвечайте на электронные письма, в которых вас просят предоставить личную информацию..
  • Чтобы противостоять атакам с хвоста, пользователи должны быть обучены не позволять другим использовать их уровень допуска для получения доступа к зонам с ограниченным доступом. Каждый пользователь должен использовать свой собственный уровень доступа.
  • Чтобы противостоять человеческому любопытству, лучше сдать подобранные флешки системные администраторы, которые должны сканировать их на наличие вирусов или других инфекций желательно на изолированной машине.
  • Противодействовать методам, эксплуатирующим человеческую жадность, сотрудники должны быть специалистов об опасности попасться на такие аферы.

Резюме

  • Социальная инженерия — это искусство использования человеческого фактора для получения доступа к несанкционированным ресурсам.
  • Социальные инженеры используют ряд методов, чтобы обмануть пользователей и заставить их раскрыть конфиденциальную информацию.
  • Организации должны иметь политику безопасности, предусматривающую меры социальной инженерии.