Раздели на сайта
Избор на редактора:
- Създаване на пряк път на работния плот за съученици
- Ако обувките не пасват на Aliexpress: правилните действия в този случай Продуктът Aliexpress е с правилния размер
- Спор на AliExpress Присъединете се към спора на AliExpress
- 3 разпределени информационни бази
- Мениджър на съдържанието - отговорности, заплата, обучение Недостатъци и предимства на работата като специалист по съдържание
- Как да се предпазите от скрит майнинг във вашия браузър?
- Възстановяване на парола в Ask
- Как да включите камерата на лаптоп
- Защо музиката не се възпроизвежда във VKontakte?
- Как да увеличите размера на диск C за сметка на диск D, без да губите данни
реклама
На какво се основава методът на социалното инженерство? Примери за социално инженерство |
Много истински хакери, които постоянно се занимават с хакване, винаги имат на склад няколко SI трика, защото там, където е невъзможно да се намери уязвимост в кода, тя често може да се намери в съзнанието на службата за поддръжка или собственика на e -поща, ICQ или уебсайт... От теория към практика Социалните инженери са много приятни хора за общуване: културни, приятелски настроени, със страхотно чувство за хумор. Имат невероятно гъвкав ум, иновативно мислене и много идеи как по-ефективно да постигнат целите си. Именно към тях се обърнах за помощ при подготовката на материала. Нашите консултанти ще бъдат: GoodGod - създателят на един от най-популярните рускоезични проекти за социално инженерство socialware.ru; Аюми (spylabs.org); Иван е друг майстор на хакването човешки мозъци, който пожела да остане инкогнито. да тръгваме! Отвличане на ICQ номер (без основен имейл)
Ако не искате да се запознаете веднага, спрете този разговор за известно време, защото ако натиснете прекалено силно, ефектът може да е обратен; По-добре се върнете към това малко по-късно под друг предлог. Между другото, ако жертвата е естествено срамежлива, няма да я принудите да се свърже с непознат, така че ще трябва да се включите в „сводничество“, за да се осъществи запознанството. И така, клиентът се обръща към SEO приятел (т.е. към вас). Покажете здравословно недоверие в началото, като задавате въпроси като „Откъде научихте за проекта? От Саша? Ааа, Саша... Да, помня. Добре, сега ще ви разкажа същността на работата. След това ни разкажете за проекта за търсене на ICQ, промоцията на уебсайта, опишете опциите за плащане (200 рубли на ден или 1400 на седмица - нека избере опцията, която е удобна за него). Постоянно фокусирайте вниманието на „клиента“ върху реалистични детайли, така ще го отвлечете от ненужни мисли. Колкото по-интензивна е атаката и толкова повече нова информация, толкова по-малко време има да мисли какво се случва. Накрая опишете схемата за печелене: оставете го да избере сайт от списъка, подготвен в началото, да прегледа whois за имейла, към който е свързан сайтът (нека го направи сам) и да го въведе в полето „Имейл“ в неговия ICQ профил. Не забравяйте да обясните, че ако същият имейл е посочен в данните за ICQ и домейна, тогава колкото по-често се търси ICQ в търсенето, толкова по-високо е класирането на сайта в търсачката. Веднага след като жертвата завърши обвързването, вие възстановявате паролата на посочения имейл и UIN е ваш! Ако паролата не пристигне по имейл, това означава, че номерът вече има основна поща и отвличането трябва да се организира по различен начин. Хакване на поща
Какви схеми работят? Моминското име на майката - започнете тема за родословното дърво или каква смешна фамилия е имала майка ви преди брака. Любимо ястие - тук всичко е ясно. Име на животно - говорим за домашни любимци: минало, настояще и бъдеще, оттогава кодова думаможе да е името на първия подарен хамстер. С номера на паспорта ще е по-трудно. Тук можете да се изкушите да купите например евтин, дефицитен продукт, който се доставя с плащане при доставка, но за да направите поръчка, ви трябват паспортни данни и идентификационен код. Можете да разберете името на първия учител от съучениците на жертвата или да говорите директно с нея за любимите й учители; По-лесно е да получите индекса, като изтеглите базата данни на града и можете просто да разберете от жертвата в кой район живее. Основното тук е изобретателността, въображението и търпението. Има един малък, но важен нюанс. Понякога на въпроса „Любимо ястие“ отговорът може да бъде например телефонен номер, тоест пълно несъответствие между въпроса и отговора. Тук ще трябва да започнете разговор за нелепи комбинации и безсмислието на въпросите за сигурност и след това да започнете отначало, за предпочитане под различен акаунт. Свързване с поддръжката на клиенти Фишинг
земеделие Социално инженерство– метод за получаване на достъп до поверителна информация, пароли, банкови и други защитени данни и системи. Публикуване на тази статия на портала www.. Нито редакторите на сайта, нито авторът на статията носят отговорност за неправилното използване на информацията, получена от статията! Социално инженерствоСоциалното инженерство се счита за най-опасният и разрушителен вид атака срещу организациите. Но за съжаление на конференции по информационна сигурностНа този въпрос почти не се обръща внимание. В същото време повечето случаи в рускоезичния сегмент на Интернет са дадени от чужди източници и книги. Не казвам, че има малко такива случаи в Рунет, просто не говорят за тях по някаква причина. Реших да разбера колко опасно всъщност е социалното инженерство и да преценя какви могат да бъдат последствията от масовото му използване. Социалното инженерство в информационната сигурност и пентестирането обикновено се свързва с целенасочена атака срещу конкретна организация. В тази колекция от случаи искам да разгледам няколко примера за използване на социално инженерство, когато „атаките“ са били извършвани масово (безразборно) или масово насочени (срещу организации в определена област). Нека дефинираме понятията, за да може всеки да разбере какво имам предвид. В тази статия ще използвам термина "социално инженерство" в следваща стойност: „набор от методи за постигане на цел, основани на използването на човешки слабости.“ Не винаги е нещо криминално, но определено има негативна конотация и се свързва с измама, манипулация и други подобни. Но всякакви психологически трикове за получаване на отстъпка в магазин не са социално инженерство. В тази област ще действам само като изследовател; не съм създал злонамерени сайтове или файлове. Ако някой получи имейл от мен с връзка към сайт, значи този сайт е безопасен. Най-лошото нещо, което може да се случи там, е потребителят да бъде проследен от брояча на Yandex.Metrica. Примери за социално инженерствоСигурно сте чували за спам с вградени в тях „сертификати за свършена работа“ или договори с троянски коне. Няма да изненадате счетоводителите с такива писма. Или изскачащи прозорци с „препоръки“ за изтегляне на плъгин за гледане на видеоклипове - това вече е скучно. Разработих няколко по-малко очевидни сценария и ги представям тук като храна за размисъл. Надявам се, че те няма да станат ръководство за действие, а напротив, ще помогнат да направим Runet по-безопасен. Проверен подателПонякога администраторите на сайта, поради пропуск, не активират филтриране за полето „Име“ във формуляра за регистрация (например при абониране за бюлетин или при подаване на заявление). Вместо име можете да вмъкнете текст (понякога килобайти текст) и връзка към злонамерен сайт. В полето за имейл въведете адреса на жертвата. След регистрацията този човек ще получи писмо от услугата: „Здравей, скъпи...“, а след това - нашия текст и връзка. Съобщението от услугата ще бъде най-долу. Как може това да се превърне в оръжие за масово унищожение? Елементарно. Ето един случай от моята практика. През декември 2017 г. една от търсачките откри възможността за изпращане на съобщения чрез резервна форма за свързване на имейл. Преди да изпратя доклад по програмата за награди за грешки, беше възможно да изпращате 150 хиляди съобщения на ден - просто трябваше малко да автоматизирате попълването на формуляра. Този трик ви позволява да изпращате измамни имейли от истински адрес за техническа поддръжка на уебсайт с всички цифрови подписи, криптиране и така нататък. Но цялата горна част се оказва написана от нападател. Получавах и такива писма, не само от големи компании като booking.com или paypal.com, но и от по-малко известни сайтове. А ето и „тенденцията“ от април 2018 г. Имейли от Google AnalyticsЩе ви разкажа за съвсем нов случай - от април 2018 г. От пощата Google AnalyticsНа няколко от адресите ми започна да пристига спам. След като направих малко проучване, открих начина, по който се изпраща. Примери за социално инженерство. Метод на потвърден подател „Как да приложа това?“ – помислих си. И ето какво ми хрумна: измамник може да направи например такъв текст. Примери за социално инженерство. Метод на потвърден подател Примери за социално инженерство. Метод на потвърден подател Това събиране на пароли може да се извършва не само целенасочено, но и масово; просто трябва леко да автоматизирате процеса на събиране на домейни от Google Analytics и анализиране на имейли от тези сайтове. ЛюбопитствоТози метод да накарате човек да кликне върху връзка изисква известна подготовка. Създава се уебсайт за фалшива фирма с уникално име, което веднага привлича вниманието. Е, например, LLC “ZagibaliVigibali”. Чакаме търсачките да го индексират. Сега измисляме някаква причина да изпратим поздравления от името на тази компания. Получателите веднага ще започнат да го търсят в Google и ще намерят нашия уебсайт. Разбира се, по-добре е да направите самото поздравление необичайно, така че получателите да не хвърлят писмото в папката за спам. След като направих малък тест, лесно спечелих над хиляда реализации. Фалшив абонамент за бюлетинКакво пише там?За да привлечете хора от някой форум или сайт с отворени коментари, не е нужно да измисляте изкусителни текстове - просто публикувайте снимка. Просто изберете нещо по-привлекателно (някакъв мем) и го стиснете така, че да не можете да различите текста. Любопитството неизменно кара потребителите да щракнат върху снимка. В моето изследване проведох експеримент и получих около 10k преходи по този примитивен начин. Същият злонамерен метод някога е бил използван за доставяне на троянски коне чрез LJ (Live Journal). как се казвашДа накарате потребителя да отвори файл или дори документ с макрос не е толкова трудно, въпреки че мнозина са чували за свързаните с това опасности. Когато изпращате масови съобщения, дори самото познаване на името на човек сериозно увеличава шансовете за успех. Например, можем да изпратим имейл с текст „Този имейл все още ли е активен?“ или „Моля, напишете адреса на вашия уебсайт.“ В поне 10–20% от случаите отговорът ще съдържа името на подателя (това е по-често срещано в големите компании). И след известно време пишем „Алена, здравей. Какво не е наред с вашия уебсайт (прикачена снимка)?“ Или „Борис, добър ден. Не мога да разбера ценовата листа. Трябва ми 24-та позиция. Прилагам цената." Е, в ценовата листа има банална фраза „За да видите съдържанието, активирайте макроси...“, с всички произтичащи от това последствия. Като цяло лично адресираните съобщения се отварят и обработват порядък по-често. Масова интелигентностТози сценарий не е толкова атака, колкото подготовка за нея. Да кажем, че искаме да разберем името на някой важен служител - например счетоводител или началник на службата за сигурност. Това е лесно да направите, ако изпратите на някой от служителите, които може да имат тази информация, писмо със следното съдържание: „Моля, кажете ми презимето на директора и работния график на офиса. Трябва да изпратим куриер." Искаме работно време, за да прикрием очите си, но искането за бащино име е трик, който ни позволява да не издаваме, че не знаем собственото и фамилното си име. И двете най-вероятно ще се съдържат в отговора на жертвата: пълното име най-често се изписва изцяло. В хода на моето проучване успях да събера имената на повече от две хиляди директори по този начин. Ако трябва да разберете имейла на шефа си, можете спокойно да пишете на секретаря: „Здравейте. Отдавна не съм говорил с Андрей Борисович, адресът му работи ли още? И тогава не получих отговор от него. Роман Генадиевич“. Секретарката вижда имейл, съставен въз основа на истинското име на директора и съдържащ уебсайта на компанията, и дава истинския адрес на Андрей Борисович. В тази статия ще обърнем внимание на понятието „социално инженерство“. Тук ще разгледаме общите. Ще научим и кой е основателят на тази концепция. Нека поговорим отделно за основните методи на социално инженерство, използвани от нападателите. ВъведениеМетоди, които правят възможно коригирането на човешкото поведение и управлението на неговите дейности без използването на технически набор от инструменти обща концепциясоциално инженерство. Всички методи се основават на твърдението, че човешкият фактор е най-разрушителната слабост на всяка система. често тази концепциясе разглеждат на нивото на незаконна дейност, чрез която престъпникът извършва действие, насочено към получаване на информация от субекта-жертва по нечестен начин. Например може да бъде определен типманипулация. Социалното инженерство обаче се използва и от хората в законни дейности. Днес най-често се използва за достъп до ресурси с класифицирана или ценна информация. ОснователОснователят на социалното инженерство е Кевин Митник. Самото понятие обаче дойде при нас от социологията. Той обозначава общ набор от подходи, използвани от приложните социални медии. науки, насочени към промяна на организационната структура, способна да определя човешкото поведение и да упражнява контрол върху него. Кевин Митник може да се счита за основател на тази наука, тъй като именно той популяризира социалните медии. инженерство през първото десетилетие на 21 век. Самият Кевин преди това е бил хакер, насочен към голямо разнообразие от бази данни. Той твърди, че човешкият фактор е най-уязвимата точка на система от всякакво ниво на сложност и организация. Ако говорим за методите на социалното инженерство като начин за получаване (обикновено незаконни) права за използване на поверителни данни, тогава можем да кажем, че те са известни от много дълго време. Но К. Митник успя да предаде важността на тяхното значение и характеристики на приложение. Фишинг и несъществуващи връзкиВсяка техника на социално инженерство се основава на наличието на когнитивни изкривявания. Грешките в поведението се превръщат в „оръжие“ в ръцете на опитен инженер, който в бъдеще може да създаде атака, насочена към получаване на важни данни. Методите за социално инженерство включват фишинг и несъществуващи връзки. Фишингът е интернет измама, предназначена да получи лична информация, като потребителско име и парола. Несъществуваща връзка - използването на връзка, която ще привлече получателя с определени предимства, които могат да бъдат получени чрез щракване върху нея и посещение на определен сайт. Най-често използвани имена големи фирми, като прави фини корекции на имената им. Жертвата, като щракне върху връзката, „доброволно“ ще прехвърли личните си данни на нападателя. Методи, използващи марки, дефектни антивируси и измамни лотарииСоциалното инженерство също използва методи за измама, използвайки известни марки, дефектни антивируси и фалшиви лотарии. „Измами и марки“ е метод за измама, който също принадлежи към раздела за фишинг. Това включва имейли и уебсайтове, които съдържат името на голяма и/или "рекламирана" компания. От техните страници се изпращат съобщения, които ви уведомяват за вашата победа в определено състезание. След това трябва да въведете важни данни сметкаи тяхната кражба. Също така тази формаизмамите могат да се извършват по телефона. Фалшивата лотария е метод, при който на жертвата се изпраща съобщение с текст, че той/тя е спечелил от лотарията. Най-често известието се маскира с имената на големи корпорации. Фалшивите антивируси са софтуерни измами. Използва програми, които приличат на антивируси. В действителност обаче те водят до генериране на фалшиви известия за конкретна заплаха. Те също така се опитват да привлекат потребители в сферата на транзакциите. Вишинг, фрийкинг и претекстКогато говорим за социално инженерство за начинаещи, си струва да споменем и vishing, phreaking и pretexting. Вишингът е форма на измама, която използва телефонни мрежи. Това използва предварително записани гласови съобщения, чиято цел е да пресъздаде „официалното обаждане“ на банкова структура или друга IVR система. Най-често се иска да въведете потребителско име и/или парола, за да потвърдите всяка информация. С други думи, системата изисква потребителят да се удостовери с помощта на ПИН кодове или пароли. Phreaking е друга форма на телефонна измама. Това е хакерска система, използваща манипулиране на звука и тонално набиране. Претекстирането е атака с помощта на предварително обмислен план, чиято същност е да се представи на друг субект. Изключително труден метод за измама, тъй като изисква внимателна подготовка. Quid-pro-quo и методът „road apple“.Теорията на социалното инженерство е многостранна база данни, която включва както методи за измама и манипулация, така и начини за борба с тях. Основната задача на нападателите, като правило, е да извлекат ценна информация. Други видове измами включват: quid-pro-quo, методът „road apple“, сърфиране през рамо, използване на отворени източници и обратни социални медии. инженерство. Quid-pro-quo (от латински - „това за това“) е опит за извличане на информация от компания или фирма. Това става като се свържете с нея по телефона или чрез изпращане на съобщения по имейл. Най-често нападателите се представят за технически персонал. поддръжка, която отчита наличието на конкретен проблем на работното място на служителя. Освен това те предлагат начини за премахването му, например чрез установяване софтуер. Софтуерът се оказва дефектен и допринася за развитието на престъпността. Road apple е метод за атака, който се основава на идеята за троянски кон. Същността му се състои в използването на физически носители и подмяна на информация. Например, те могат да предоставят карта с памет с определено „добро“, което ще привлече вниманието на жертвата, ще я накара да иска да отвори и използва файла или да последва връзките, посочени в документите на флаш устройството. Обектът „пътна ябълка“ се пуска на социални места и изчаква, докато някой субект изпълни плана на нападателя. Събирането и търсенето на информация от отворени източници е измама, при която получаването на данни се основава на психологически методи, способността да се забелязват малки неща и анализ на наличните данни, например страници от социална мрежа. това е достатъчно нов начинсоциално инженерство. Сърфиране през рамо и обратна социална връзка. инженерствоКонцепцията за „сърфиране през рамо“ се определя като буквално гледане на обект на живо. С този тип извличане на данни нападателят отива на обществени места, например кафене, летище, гара и наблюдава хората. Не подценявайте този метод, тъй като много проучвания и проучвания показват, че един внимателен човек може да получи много чувствителна информация просто като бъде наблюдателен. Социалното инженерство (като ниво на социологическо познание) е средство за „улавяне“ на данни. Има начини за получаване на данни, при които жертвата сама предлага на нападателя необходимата информация. Но може да служи и в полза на обществото. Обратни социални Инженерството е друг метод на тази наука. Използването на този термин става подходящо в случая, който споменахме по-горе: самата жертва ще предложи на нападателя необходимата информация. Това твърдение не трябва да се приема като абсурдно. Факт е, че субектите, надарени с власт в определени области на дейност, често получават достъп до идентификационни данни по собствена преценка на субекта. Основата тук е доверието. Важно е да запомните! Персоналът по поддръжката никога няма да поиска от потребителя парола, например. Информираност и защитаОбучението по социално инженерство може да се извършва от индивида както въз основа на лична инициатива, така и въз основа на ръководства, които се използват в специални програми за обучение. Престъпниците могат да използват голямо разнообразие от видове измама, вариращи от манипулация до мързел, лековерност, любезност на потребителя и т.н. Изключително трудно е да се защитите от този тип атака, което се дължи на липсата на съзнание на жертвата, че той (тя ) е измамен. За да защитят своите данни при това ниво на опасност, различни фирми и компании често оценяват обща информация. След това необходимите мерки за защита се интегрират в политиката за сигурност. ПримериПример за социално инженерство (неговото действие) в областта на глобалните фишинг съобщения е събитие, случило се през 2003 г. Като част от тази измама на потребителите на eBay бяха изпратени имейли до: имейл адреси. Те твърдят, че техни акаунти са били блокирани. За да отмените блокирането, трябваше да въведете отново информацията за акаунта си. Писмата обаче били фалшиви. Пренасочват към страница, идентична на официалната, но фалшива. Според експертни оценки загубата не е била твърде значителна (по-малко от милион долара). Определение за отговорностСоциалното инженерство може да бъде наказуемо в някои случаи. В редица държави, например Съединените щати, претекстирането (измама чрез представяне на друго лице) се приравнява на нахлуване в личния живот. Това обаче може да бъде наказуемо от закона, ако информацията, получена по време на претекст, е била поверителна от гледна точка на субекта или организацията. Записвайте телефонен разговор(като метод на социално инженерство) също е предвидено от закона и изисква плащане на глоба от $250 000 или лишаване от свобода до десет години за лица. лица От субектите се изисква да платят $500 000; срокът остава същият. Социално инженерство — неоторизиран достъп до поверителна информация чрез манипулиране на съзнанието на човек. Методите на социалното инженерство се основават на особеностите на психологията и са насочени към използване на човешките слабости (наивност, невнимание, любопитство, търговски интереси). Те се използват активно от социалните хакери както в интернет, така и извън него. Въпреки това по отношение на цифрови технологии, уеб ресурси, компютри, смартфони - „мозъчната мъгла“ на мрежовите потребители се случва по малко по-различен начин. Измамниците поставят „примки“, „капани“ и други трикове навсякъде и по всякакъв начин, в социалните мрежи, в игралните портали, в електронните пощенски кутиии онлайн услуги. Ето само някои примери за методи на социално инженерство: Като празничен подарък... троянски конНезависимо от характер, професия, финансово състояние, всеки човек очаква с нетърпение празниците: Нова година, 1 май, 8 март, Свети Валентин и т.н., за да ги отпразнувате, разбира се, да се отпуснете, да изпълните духовната си аура с позитивизъм и в същото време да обмените поздравления с вашите приятели и другари. В този момент социалните хакери са особено активни. В предпразнични и официални празници изпращат по сметки пощенски услугипощенски картички: ярки, цветни, с музика и... опасен вирустроянски Жертвата, без да знае нищо за такава измама, в еуфорията на забавлението или просто от любопитството, щраква върху пощенската картичка. В същия миг злонамереният софтуер заразява операционната система и след това чака подходящия момент, за да открадне регистрационни данни, телефонен номер платежна картаили заменете уеб страницата на онлайн магазина в браузъра си с фалшива и откраднете пари от акаунта си. Изгодна отстъпка и „зареден“ вирусЧудесен пример за социално инженерство. Желанието да „спестите” трудно спечелените пари е напълно оправдано и разбираемо, но в разумни граници и при определени обстоятелства. Става дума за „не всичко, което блести, е злато“. Измамници под прикритието на най-големите марки, онлайн магазини и услуги, в подходящ дизайн, предлагат да купуват стоки с невероятна отстъпка и освен покупката получават подарък... Правят фалшиви бюлетини, създават групи в социалните мрежи и тематични „теми“ във форумите. Наивните обикновени хора, както се казва, са „водени“ от този ярък рекламен плакат: в бързината те преброяват в главите си колко остава от заплатата, авансовото плащане и кликват върху връзката „купете“, „отидете на сайта, за да купи” и др. След което в 99 от 100 случая, вместо изгодна покупка, те получават вирус на компютъра си или изпращат безплатно пари на социални хакери. Дарение от геймър +300% към умения за кражбаВ онлайн игрите и като цяло в мултиплейър игрите, с редки изключения, оцеляват най-силните: тези, които имат по-силна броня, щети, по-силна магия, повече здраве, мана и т.н. И, разбира се, всеки геймър иска на всяка цена да получи тези ценни артефакти за своя герой, танк, самолет и кой знае какво още. В битки или кампании, със собствените си ръце или за истински пари (функция за дарение) във виртуалния магазин на играта. Да бъдеш най-добрият, първият... достигнал последното ниво на развитие. Измамниците знаят за тези „слабости на геймърите“ и по всякакъв начин изкушават играчите да придобият ценни артефакти и умения. Понякога за пари, понякога безплатно, но това не променя същността и целта на злодейската схема. Примамливите предложения на фалшиви сайтове звучат по следния начин: „изтеглете това приложение“, „инсталирайте корекцията“, „за да получите артикул, отидете на играта“. В замяна на дългоочаквания бонус, акаунтът на играча е откраднат. Ако е добре напомпан, крадците го продават или извличат информация за плащане от него (ако има). Зловреден софтуер + социално инженерство = експлозивна смес от измамаИкони за внимание!Много потребители работят с мишката в операционната система на „автопилот“: щракнете тук, тук; откри това, това, това. Рядко някой от тях се вглежда по-отблизо в вида на файловете, техния обем и свойства. Но напразно. Хакерите прикриват изпълнимите файлове на зловреден софтуер като обикновени Windows папки, снимки или доверени приложения, тоест външно, визуално не можете да ги различите. Потребителят щраква върху папката, нейното съдържание, естествено, не се отваря, защото това изобщо не е папка, а инсталатор на вируси с разширение .exe. И зловреден софтуер "тихо" прониква в операционната система. Сигурният „противоотрова“ срещу подобни трикове е файлов мениджър Total Commander. За разлика от интегрирания Windows Explorer, той показва всички подробности за файла: тип, обем, дата на създаване. Най-голямата потенциална опасност за системата са неизвестните файлове с разширения: “.scr”, “.vbs”, “.bat”, “.exe”. Страхът подхранва доверието
ОбобщавайкиПсихологията и хакерството днес вървят ръка за ръка – тандем от експлоатация на човешки слабости и софтуерни уязвимости. Докато сте в интернет, в празнични и делнични дни, денем и нощем и независимо в какво настроение сте, трябва да бъдете бдителни, да потиснете наивността и да прогоните импулсите за търговска печалба и нещо „безплатно“. Защото, както знаете, само сирене се дава на безценица и то само в капан за мишки. Създавайте само пароли, съхранявайте ги на места и оставайте с нас, защото, както знаем, няма такова нещо като твърде голяма сигурност. Киберпрестъпниците, използващи техники за социално инженерство, през последните години възприеха по-модерни методи, които правят по-вероятно да получат достъп до необходимата информация, използвайки съвременната психология на служителите в предприятието и хората като цяло. Първата стъпка в противодействието на този тип трикове е да разберете самите тактики на нападателите. Нека да разгледаме осем основни подхода към социалното инженерство. ВъведениеПрез 90-те години понятието „социално инженерство” е измислено от Кевин Митник, емблематична фигура в областта на информационната сигурност, бивш сериозен хакер. Хакерите обаче са използвали такива методи много преди да се появи самият термин. Експертите са убедени, че тактиката на съвременните киберпрестъпници е свързана с преследването на две цели: кражба на пароли и инсталиране на зловреден софтуер. Нападателите се опитват да използват социално инженерство, използвайки телефон, имейл и интернет. Нека се запознаем с основните методи, които помагат на престъпниците да получат това, от което се нуждаят. поверителна информация. Тактика 1. Теорията на десетте ръкостисканияОсновната цел на нападател, използващ телефон за социално инженерство, е да убеди жертвата си в едно от двете неща:
Ако престъпник си постави задачата да събере данни за определен служител, той може първо да се свърже с колегите си, опитвайки се по всякакъв начин да извлече данните, от които се нуждае. Помните ли старата теория за шестте ръкостискания? Е, експертите по сигурността казват, че може да има само десет „ръкостискания“ между киберпрестъпник и неговата жертва. Експертите смятат, че съвременни условияВинаги трябва да имате малко параноя, тъй като не знаете какво иска този или онзи служител от вас. Нападателите обикновено се насочват към секретар (или някой, заемащ подобна позиция), за да събират информация за хора по-високо в йерархията. Експертите отбелязват, че приятелският тон много помага на измамниците. Бавно, но сигурно престъпниците прибират ключа към вас, което скоро води до споделяне на информация, която никога не бихте разкрили преди. Тактика 2. Изучаване на корпоративния езикКакто знаете, всяка индустрия има свои специфични формулировки. Задачата на нападателя, който се опитва да получи необходимата информация, е да проучи характеристиките на такъв език, за да използва по-умело техниките за социално инженерство. Цялата специфика се крие в изучаването на корпоративния език, неговите термини и характеристики. Ако киберпрестъпникът говори познат, познат и разбираем език за неговите цели, той по-лесно ще спечели доверие и ще може бързо да получи необходимата му информация. Тактика 3: Заемете музика, за да задържите разговори по време на разговориЗа да извършат успешна атака, измамниците се нуждаят от три компонента: време, постоянство и търпение. Често кибератаките с помощта на социално инженерство се извършват бавно и методично - събирайки не само данни за точните хора, но и така наречените „социални сигнали“. Това се прави, за да се спечели доверие и да се заблуди целта. Например нападателите могат да убедят човека, с когото комуникират, че са колеги. Една от характеристиките на този подход е записването на музика, която компанията използва по време на разговори, докато обаждащият се чака отговор. Престъпникът първо чака такава музика, след това я записва и след това я използва в своя полза. Така, когато има директен диалог с жертвата, нападателите в даден момент казват: „Чакай малко, има обаждане на другата линия“. Тогава жертвата чува позната музика и не остава съмнение, че обаждащият се представлява определена компания. По същество това е просто хитър психологически трик. Тактика 4. Спуфинг (подмяна) на телефонен номерПрестъпниците често използват спуфинг телефонни номера, което им помага да измамят номера на обаждащия се. Например, престъпник може да седи в апартамента си и да се обажда на лице, което представлява интерес, но идентификационният номер на повикващия ще показва номер, собственост на компанията, създавайки илюзията, че измамникът се обажда, използвайки корпоративен номер. Разбира се, нищо неподозиращите служители в повечето случаи ще предоставят поверителна информация, включително пароли, на обаждащия се, ако идентификационният номер на обаждащия се принадлежи на тяхната компания. Този подход също помага на престъпниците да избегнат проследяването, защото ако се обадите обратно на този номер, ще бъдете пренасочени към вътрешната линия на компанията. Тактика 5: Използване на новините срещу васКаквито и да са настоящите новинарски заглавия, нападателите използват тази информация като стръв за спам, фишинг и други измамни дейности. Не напразно експертите напоследък отбелязват увеличаване на броя на спам имейлите, чиито теми са свързани с президентските кампании и икономическите кризи. Пример за това е фишинг атака срещу банка. Имейлът казва нещо подобно: „Друга банка [име на банката] придобива вашата банка [име на банката]. Кликнете върху тази връзка, за да се уверите, че банковата ви информация е актуализирана до приключване на сделката." Естествено, това е опит за получаване на информация, с която измамниците могат да влязат в акаунта ви, да откраднат парите ви или да продадат информацията ви на трета страна. Тактика 6: Възползвайте се от доверието в социалните платформиНе е тайна, че Facebook, Myspace и LinkedIn са изключително популярни сайтове за социални мрежи. Според експертни изследвания хората са склонни да се доверяват на подобни платформи. Скорошен инцидент с фишинг, насочен към потребители на LinkedIn, подкрепя тази теория. По този начин много потребители ще се доверят на имейл, ако той твърди, че е от Facebook. Често срещана техника е да се твърди, че социалната мрежа провежда поддръжка, трябва да „щракнете тук“, за да актуализирате информацията. Ето защо експертите препоръчват на корпоративните служители да въвеждат уеб адреси ръчно, за да избегнат фишинг връзки. Също така си струва да имате предвид, че в много редки случаи сайтовете ще искат от потребителите да променят паролата си или да актуализират своя акаунт. Тактика 7. Тип клякамТази злонамерена техника се отличава с факта, че нападателите използват човешкия фактор, а именно грешки при въвеждане на URL адрес в адресна лента. Така, допускайки грешка само с една буква, потребителят може да се озове на уебсайт, създаден специално за тази цел от нападателите. Киберпрестъпниците внимателно подготвят почвата за typosquatting, така че техният уебсайт ще бъде точно като легитимния, който първоначално сте искали да посетите. По този начин, ако погрешно изпишете вашия уеб адрес, ще се окажете на копие на легитимен сайт, чиято цел е или да продаде нещо, или да открадне данни, или да разпространи зловреден софтуер. Тактика 8. Използване на FUD за влияние върху фондовия пазарFUD е тактика на психологическа манипулация, използвана в маркетинга и пропагандата като цяло, която се състои в представяне на информация за нещо (по-специално, продукт или организация) по такъв начин, че да се посее несигурност и съмнение в аудиторията относно неговите качества и по този начин да предизвика страх от това. Според последното изследване на Avert сигурността и уязвимостите на продукти и дори цели компании могат да повлияят на фондовия пазар. Например, изследователите са проучили влиянието на събития като Microsoft Patch Tuesday върху акциите на компанията, откривайки забележимо колебание всеки месец след публикуване на информация за уязвимостите. Можете също така да си спомните как през 2008 г. нападателите разпространиха невярна информация за здравето на Стив Джобс, което доведе до рязък спад на акциите на Apple. Това е най-типичният пример за използване на FUD за злонамерени цели. Освен това си струва да се отбележи употребата имейлприлагане на техниката „pump-and-dump“ (схема за манипулиране на обменния курс на фондовия пазар или на пазара на криптовалута с последващ срив). В този случай нападателите могат да изпратят имейли, описвайки невероятния потенциал на акциите, които са закупили предварително. Така мнозина ще се опитат да изкупят тези акции възможно най-скоро и те ще поскъпнат. ИзводиКиберпрестъпниците често са изключително креативни в използването на социално инженерство. След като се запознахме с техните методи, можем да заключим, че различни психологически трикове значително помагат на нападателите да постигнат целите си. Въз основа на това трябва да обърнете внимание на всяко малко нещо, което може неволно да разкрие измамник, да проверявате и проверявате отново информацията за хората, които се свързват с вас, особено ако се обсъжда поверителна информация. |
Прочетете: |
---|
Нов
- Ако обувките не пасват на Aliexpress: правилните действия в този случай Продуктът Aliexpress е с правилния размер
- Спор на AliExpress Присъединете се към спора на AliExpress
- 3 разпределени информационни бази
- Мениджър на съдържанието - отговорности, заплата, обучение Недостатъци и предимства на работата като специалист по съдържание
- Как да се предпазите от скрит майнинг във вашия браузър?
- Възстановяване на парола в Ask
- Как да включите камерата на лаптоп
- Защо музиката не се възпроизвежда във VKontakte?
- Как да увеличите размера на диск C за сметка на диск D, без да губите данни
- Причини за неизправности на дънната платка Ако чипсетът на дънната платка изгори