Здрастуйте, дорогі друзі! Давно з вами не обговорювали безпеку, а якщо бути точніше, дані, які зберігаються не тільки на ваших комп’ютерах, але і навіть у ваших друзів і колег. Сьогодні розповім про таке поняття, як соціальна інженерія. Ви дізнаєтесь, що таке соціальна інженерія і як застерегти себе.
Соціальна інженерія – це метод несанкціонованого доступу до інформаційних систем, який був заснований на особливостях психологічного поведінки людини. Будь хакеру в прямому або непрямому сенсі представляє інтерес, одержання доступу до захищеної інформації, паролі, дані про банківські карти і т. п.
Основна відмінність даного методу є те, що об’єктом нападу вибирається не машина, а її користувач. Методи соціальної інженерії засновані на використанні людського фактора. Зловмисник опановує необхідною йому інформацією у розмові по телефону або, проникаючи в офіс під виглядом працівника.
Претекстинг являє собою набір дій, що відповідають певним сценарієм, заздалегідь підготовленим (претексту). Для отримання інформації в цій техніці використовуються голосові засоби (телефон, Skype). Представившись третьою особою і прикинувшись, що потребує допомоги, шахрай змушує співрозмовника повідомити пароль або зареєструватись на фішингової web-сторінці і тим самим отримує необхідну інформацію.
Давайте уявимо ситуацію. Ви працюєте у великій організації, приблизно півроку. Вам дзвонить людина, яка представляється, як працівник з якого-небудь філії. «Доброго дня, Ваше ім’я або посаду, ми не можемо зайти в пошту, яка служить для прийому заявок в нашій компанії. До нас нещодавно надійшла заявка з нашого міста, а шеф просто вб’є за таку помилку, підкажіть пароль від пошти.
Звичайно, коли зараз читаєте його прохання, здається трохи дурним давати пароль людині, якого ви перший раз чуєте. Але так як люди люблять допомагати по дрібницях, (для вас же не важко сказати 8-16 символів від пароля?) тут може проколотися кожна людина.
Фішинг (вивуджування) – цей вид інтернет-шахрайства, спрямований на отримання логінів і паролів. Найбільш популярним видом фішингу є напрямок жертві повідомлення електронною поштою під виглядом офіційного листа, наприклад, від платіжної системи або банку. У листі, як правило, повідомляється про втрату даних, про несправності в системі і міститься прохання ввести конфіденційну інформацію, пройшовши за посиланням.
Посилання перенаправляє жертву на фішинговий сторінку, у точності схожа на сторінку офіційного сайту. Розпізнати фішингову атаку непідготовленій людині складно, але цілком можливо. У таких повідомленнях, як правило, містяться відомості про загрози (наприклад, про закриття банківського рахунку) або, навпаки, обіцянка грошового призу даром, прохання про допомогу від імені благодійної організації. Також фішингові повідомлення можна розпізнати за адресою, куди вас просять зайти.
До найбільш популярним фішинговим атак відноситься шахрайство з використанням бренду відомої фірми. Від імені відомої фірми проводиться розсилка електронних листів, у яких міститься привітання з певним святом (для прикладу) і інформація про проведення конкурсу. Для участі в конкурсі потрібно терміново змінити дані облікового запису.
Розповім, особистий досвід. Не кидайте в мене каміння ? . Було це дуже давно, коли я цікавився…… Так так фішингом. У той час було дуже модно сидіти в Моєму світі і я цим скористався. Як-то раз я побачив від майл.ру пропозицію встановити «золотий агент» за гроші. Коли вам кажуть купи, ви думаєте, а ось коли вам скажуть що виграли, люди відразу ведуться.
Все точно до дрібниць не пам’ятаю, але було приблизно так.
Написав повідомлення: «Привіт, ІМ’Я! Команда Майл.РУ рада Вас привітати Ви виграли «золотий агент». Кожен 1000-ий наш користувач отримує його безкоштовно. Щоб його активувати, вам треба зайти на свою сторінку і активувати його в Налаштуваннях – бла бла бла.»
Ну як Вам пропозиція? А золотий Skype хочете дорогі читачі? Про всі технічні тонкощі не розповідаю, так як є молоді люди, які тільки й чекають докладної інструкції. Але треба відзначити те, що 30% користувачів «Мого світу» перейшли і ввели свій логін і пароль. Дані паролі я видалив, так як це був просто експеримент.
Смишинг. Зараз дуже популярні мобільні телефони, а щоб дізнатися ваш номер, не складе труднощів навіть школяру, який сидить з вашим сином або донькою за однією партою. Шахрай, дізнавшись номер, надсилає вам фішингову посилання, куди просить зайти для активації бонусних грошей на вашій карті. Де, звісно, є поля для введення персональних даних. Також можуть попросити відправити смс-повідомлення з вашими даними від карти.
Начебто нормальна ситуація, а підступ зовсім поруч.
Поїхали далі…
Кві про кво («послуга за послугу») – вид атаки, що припускає дзвінок шахрая, наприклад від особи служби технічної підтримки. Зловмисник в процесі опитування працівника про можливі технічні неполадки змушує його вводити команди, які дозволяють запустити шкідливе програмне забезпечення. Які можна розмістити на відкритих ресурсах: соціальні мережі, сервери компанії і т. д.
Подивіться відео для прикладу:
Вам можуть вислати файл (вірус) на пошту, потім подзвонити і сказати, що прийшов терміновий документ і треба його подивитися. Відкриваючи прикріплений до листа файл, користувач сам встановлює на комп’ютер шкідливу програму, яка дозволяє отримати доступ до конфіденційних даних.
Бережіть себе і ваші дані. До швидкої зустрічі!
P. S.: Вам треба реальні випадки з життя? Дивимося відео:
