Социальная инженерия. Взлом человеческого сознания

21.05.18 в 13:31 other 1020

Будем откровенны: социнженерия — про методы взлома и те самые хакерские атаки, против которых отделы безопасности крупнейших компаний пытаются выстроить мощную защиту. Речь не только о компьютерной безопасности: используя социальные сети или телефон, хакер может получить любые данные.

Методы «классического» хакинга меняются вслед за системами безопасности, но, какую бы мощную систему вы ни выстроили, в ней всегда останется «слабое звено» — человеческий мозг.

Проиллюстрировать атаку «социального инженера» можно на примере классической схемы мошенничества.

Жертве звонит злоумышленник. Представившись сотрудником банка, он говорит, что необходимо проверить уровень безопасности в интернет-банкинге, и просит прислать логин и пароль, а затем — SMS-код, который пришел жертве сразу после того, как та назвала пароль и логин. Злоумышленник благодарит и отключается. Через некоторое время жертва заходит в интернет-банк или пытается снять деньги с карты и обнаруживает, что они пропали. В банке разводят руками, в полиции рассказывают о мошенничестве.

Все, что нужно мошеннику, чтобы узнать ваши данные и получить доступ к счетам, — уточнить банк, в котором вы держите карту, и сыграть на доверии. На эту ловушку попадаются все, кто мало пользуется или вообще не пользуется интернет-банком.

Ловля на живца

Если в описанном выше случае потенциальных жертв спасет широкая огласка схемы мошенничества, то с методами, применяемыми для проникновения к базам данных организаций, бороться намного сложнее. Как бы тщательно вы ни защищали свои данные, подвести вас могут все сотрудники. И не только сотрудники — жертвами становятся и руководители.

Хакеру необязательно предпринимать активные действия. Достаточно расставить ловушки и ждать жертву. Характерный пример — фальшивая техподдержка.

Заглянув на ресепшен в офис крупной фирмы и дождавшись, когда сотрудник удалится, хакер наклеивает стикер с номером техподдержки, которая якобы сотрудничает с компанией. Стикер может быть даже на компьютере сотрудника. На новую наклейку никто не обратит внимания, если их много, а обман никто не заподозрит, особенно если за компьютером работают несколько человек.

Когда с компьютером возникнут проблемы, сотрудник наберет номер фальшивой техподдержки со стикера и позвонит. Хакеру останется узнать необходимую информацию. Конечно, рядовой сотрудник вряд ли даст доступ к счетам компании, но свой кусочек данных злоумышленник получит, а значит, сможет перейти на следующий этап.

Все, что нужно хакеру, — несколько секунд на то, чтобы наклеить стикер. Остальное — дело техники.

Классический фишинг

Банальная подмена адреса сайта или страницы — и хакер получает в свое распоряжение логин и пароль жертвы. Создавать фишинговые сайты не просто, а очень просто: достаточно скопировать дизайн и «натянуть» его на любую подходящую CMS. Остается распространить ссылку. Пользователи редко смотрят на адрес страницы и не обращают внимания на подмену одной или двух букв. Попав на фишинговый сайт, они спокойно вводят свои данные.

Фишинговые приемы используют как для проникновения в корпоративные сети, так и для взлома аккаунтов в социальных сетях. «Зачем взламывать аккаунт, если доступ к нему просто восстановить?» — спросят обычные пользователи. И окажутся неправы. Получив доступ, мошенник начнет писать друзьям пользователя и просить денег «в долг».

Как бороться с социальной инженерией?

Методы социальной инженерии должны знать не только специалисты по компьютерной безопасности. О самых распространенных приемах, методах, которые могут использовать злоумышленники, нужно рассказывать пользователям сайтов и сотрудникам компании, проводить тренинги. Только так можно защитить данные от кражи.

Дополнительно можно использовать и другие методы. В компаниях могут сработать:

  • четкое разграничение уровней доступа к той или иной информации;
  • общение через мессенджеры с видеосвязью;
  • передача важных данных только в рамках корпоративной сети или портала;
  • максимальное удаление компьютеров, сотрудников, занимающихся важной работой, от посетителей.

Увы, ни технически, ни правилами, ни постоянными тренингами защитить данные от атак методами социнженерии не получится. «Взломать» можно любую, самую защищенную систему (и не только компьютерную), вопрос лишь во времени и цене.

Важно! Наша компания не рекомендует заниматься незаконной деятельностью и призывает соблюдать установленные законы.

Комментарии

Войдите, чтобы оставить комментарий

Популярные

Вместе с широкими возможностями Интернет несет в себе и ряд...

Изначально всемирная Сеть задумывалась как пространство без границ, где можно...

В современном мире становится сложнее сохранить личные и корпоративные данные...

В далеком, по меркам темпов развития информационных технологий, 2015 году...

Здравствуйте! Сейчас речь пойдет о такой важной в наше время...

Новые

Итак, это случилось! Слухи, которые будоражили IT-сообщество несколько лет, стали...

От запрета на анонимность до тюрьмы. Наступление на криптовалюты со...

Новый регламент GDPR об ужесточении мер по защите личных данных...

Методы «классического» хакинга меняются вслед за системами безопасности, но, какую...

Самыми распространенными методами организовать сетевую анонимность являются браузер Tor и...

Напишите нам
Есть вопросы?

Нажмите сюда и мы с радостью на них ответим