Главная - Институт - Цифровая гигиена - Социальная инженерия
Социальная инженерия

Сегодня благодаря разнообразию социальных сетей собрать сведения о человеке очень легко. А опытные мошенники хорошо разбираются в психологии, и могут использовать в своих целях даже минимальные знания о пользователе.

Многие специалисты по информационной безопасности считают, что человек является самой большой уязвимостью в любой системе защиты. Люди зачастую оказываются очень доверчивыми и сами предоставляют мошенникам конфиденциальную информацию. С помощью специальных практик мошенникам добыть необходимую информацию намного проще, нежели получить ее путем взлома системы безопасности.

Социальная инженерия – это способ получения конфиденциальной информации с помощью психологического воздействия на человека. Основной целью социальной инженерии является получение выгоды через доступ к паролям, банковским данным и другим защищенным системам. 

Подробнее: Как социальные инженеры крадут деньги с карт (fincult.info)


ВИДЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

Фишинг — это вид мошенничества, основная суть которого завладение логинами и паролями от важных сайтов, аккаунтов, счетов в банке и другой конфиденциальной информацией путем рассылки писем с ссылками на мошеннический сайт, внешне очень похожий на настоящий. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить его ввести на поддельной странице свои логин и пароль, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.  Более подробно как защититься от фишинга: Фишинг

 

Фарминг. При фарминге на устройство жертвы устанавливается вредоносная программа, которая меняет информацию по IP-адресам, в результате чего обманутый пользователь перенаправляется на поддельные сайты без его ведома и согласия. Подробнее о том, как обезопасить свои устройства от вредоносных программ: Защита от вирусов

 

Вишинг — метод, который заключается в том, что злоумышленники, используя телефонную коммуникацию и, играя определенную роль (сотрудника банка, покупателя и т.д.), под разными предлогами пытаются получить доступ к данным платежной карты или стимулируют жертву к совершению каких-то действий со своим счетом или банковской платежной карточкой.  Подробнее о том, как противостоять телефонному мошенничеству: Защита от телефонного мошенничества

 

Взлом социальных сетей - взламывается страница пользователя и от его имени идут сообщения его друзьям, чаще всего с просьбой "Займи денег до зарплаты". В случае реализации атаки пользователь теряет доступ к своему аккаунту, так как злоумышленники меняют аутентификационные данные (логин и пароль). Подробнее как повысить безопасность при работе в сети-интернет: Общие рекомендации по обеспечению работы в сети интернет

 

СМС-атаки - мошенник создает фейковый аккаунт в социальных сетях либо регистрируется, к примеру, в Viber, с симкарты, которая оформлена не на его. Далее высылает объявление: "Помогите на лечение ребенку", размещая фото и реквизиты. В таких случаях при желании помочь для начала проверьте все данные, включая реквизиты счета.

 

Претекстинг - набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон, и т. п. Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника, должность, название проектов, с которыми он работает, дату рождения). Используя такую информацию, он входит в доверие и получает необходимые ему данные. Для предотвращения утечки информации не выполняйте требования незнакомцев, поставьте в известность своего руководителя структурного подразделения, если предмет разговора носил служебный характер.

 

Кви про кво (в английском языке это выражение обычно используется в значении «услуга за услугу») — злоумышленник представляется, например, сотрудником технической поддержки и информирует о возникновении каких-то проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое вредоносное программное обеспечение на компьютере жертвы. Эта техника предполагает обращение злоумышленника к пользователю, как правило, по электронной почте или телефону. Для предотвращения атаки проверьте номер телефона или адрес электронной почты. Прежде чем выполнить поручения «специалистов технической поддержки» уточните необходимость у отдела защиты информации или своего руководителя.

 

Обратная социальная инженерия — создается такая ситуация, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, мошенник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные. При необходимости обратиться в службу поддержки проверяйте контактные данные. Зачастую номера службы технической поддержки или номер горячей линии находятся на первой официальной странице того или иного учреждения, банка или интернет-магазина. Обратите внимание на адресную строку организации и убедитесь, что сайт действительно является официальным. 

Методов мошенничества, которые используют социальную инженерию, – множество. Перечисленные – это всего лишь их часть. Самые распространенные для нашей страны – фишинг, взлом социальных сетей и вишинг.

Главный способ защиты от мошенников, использующих методы социальной инженерии, это проявление бдительности, осторожности и соблюдение следующих правил:

  • Не открывайте вложения электронной почты, отправленные с неизвестных ресурсов
  • При разговоре по телефону с незнакомым человеком следует быть внимательным и принимать какие-либо решения обдуманно
  • Не соглашайтесь на загрузку, предлагаемую неизвестным программным обеспечением.
  • Не переходите по ссылкам из электронной почты присланные от неизвестных отправителей
  • Не сообщайте реквизиты своей банковской платежной карточки, коды безопасности и другие личные данные незнакомцам ни при каких условиях
  • Будьте внимательны при поступлении любых предложений помощи
  • Регулярно проверяйте ваш компьютер на вирусы

 

Для консультации по вопросам противодействия социальной инженерии обращайтесь в Отдел защит информации