Хакеры и злоумышленники всегда пытаются получить информацию другими способами, если они не могут получить доступ в противном случае. Они постоянно ищут информацию, которую могут получить от жертвы, и наносят ущерб ресурсам, предоставляемым в сети. Социальная инженерия - это нечто отличное от физических мер безопасности (таких как серфинг на плечах и вождение мусорного контейнера). Серфинг на плечах - это техника непосредственного наблюдения, например, просмотр через плечо жертвы для получения информации - что он/она печатает или какой пароль, PIN-код, схема безопасности блокирует вход жертвы. Dumpster дайвинг это современная форма утилизации отходов, таких как бумаги, бумажные копии, документация, бумажные документы, которые выбрасываются в большие коммерческие, жилые, промышленные и строительные контейнеры. Хакеры делают это знаменитое вождение мусорного контейнера, чтобы искать определенную информацию от того, что выброшенные отходы.

Что такое социальная инженерия?

Это вектор атаки, основанный главным образом на человеческом взаимодействии и часто вовлекающий людей в обман. Другими словами, социальная инженерия относится к психологическим манипуляциям человека с целью выполнения действий, взаимодействуя с ними и затем переходя в нормальные позы безопасности. Это как обман доверия, который используется для сбора информации, получения несанкционированного доступа путем обмана или мошенничества.

Подробнее о тактике социальной инженерии

Многие атаки социальной инженерии напрямую зависят от желания людей. Эта техника взлома имеет то преимущество, что не требует знания кода. Несмотря на свою простоту, риски, связанные с этой атакой, серьезны. Любой может стать жертвой этих атак, и каждый должен внимательно следить за тем, чтобы кто-то запрашивал личную или личную информацию. Этот метод использует преимущества самых слабых звеньев в системе защиты организации, то есть людей, и, следовательно, этот хакерский трюк также называется «хакерством людей», которое включает в себя использование доверчивой природы человека. Эксперты по безопасности рекомендуют ИТ-отделам и организациям часто проводить тестирование на проникновение, в котором используются методы социальной инженерии, которые помогают администраторам выявлять тех сотрудников, которые подвергаются определенным типам атак, и определять, кому из сотрудников требовалось дополнительное обучение и осведомленность о таких угрозах. Преступники используют социальную инженерию, поскольку ее легче выполнять, используя свою естественную склонность полагать, что она заключается в поиске способов взлома вашей системы или программного обеспечения.

Типы социальной инженерии

1. Человеческая социальная инженерия.
2. Компьютерная социальная инженерия.
3. Мобильная социальная инженерия.

Уловки, которые вы можете использовать для социальной инженерии

• Эксплуатировать, используя знакомство.
• Получить работу в целевой организации.
• Создание враждебной ситуации.
• Сбор и использование информации.
• Чтение языка тела.

Распространенные атаки социальной инженерии

Обычно бывает, что мы получаем электронное письмо от друга, который может содержать вложение, связанное с каким-либо вредоносным кодом, и когда этот парень загружает это вложение, вредоносный код начинает выполняться. Таким образом, чтобы убедить жертву скачать приложение - это важная часть социальной инженерии. Если преступнику удастся взломать или создать социальный пароль электронной почты жертвы, то он сможет получить доступ к списку контактов этого человека и другим компромиссным паролям других сайтов социальных сетей, которым для входа требуется поддержка этой взломанной электронной почты. И поскольку большинство людей используют один и тот же или Подобный пароль везде, хакер может положить свои грязные руки и войти на другие сайты тоже.

Другие типы уловок, используемых для социальной инженерии, могут использовать доверие жертвы и любопытство.

1. Атака на основе ссылок:вам дали ссылку от вашего друга или кого-то из ваших знакомых, и, поскольку ссылка исходит от друга, и вам любопытно, вы доверяете предоставленной им/ей ссылке и щелкаете по ней. Этим одним щелчком мыши вы можете заразиться вредоносным ПО или ваш друг-криминалист может получить несанкционированный доступ к вашему компьютеру/учетной записи.
2. Другой похожий случай - это то, что происходит, когда есть какая-либо картинка, фильм, видео, документ и т.д. Которые содержат вредоносную программу, связанную или встроенную, и вы доверяете вложению и загружаете его; преступник может захватить вашу машину и заниматься преступной деятельностью с вашего компьютера или с использованием вашего IP-адреса.

Эффективные последствия этой атаки

Социальная инженерия имеет неблагоприятные и серьезные последствия; поскольку эта тактика состоит в том, чтобы принуждать кого-то к информации и вести к нечестно полученной прибыли. Тип информации, которую могут получить социальные инженеры:

• Пароль пользователя или администратора.
• Защитные ключи и значки для доступа к любому зданию.
• Интеллектуальная собственность, такая как исходные коды, проектные спецификации или другая документация, связанная с исследованиями.
• Списки клиентов и перспективы продаж.
• Конфиденциальная и личная информация также может быть целью хакера для любой организации.

В случае утечки какой-либо информации это может привести к различным последствиям, таким как финансовые потери, ухудшение морального состояния сотрудников, снижение лояльности клиентов и т.д.

Поведения, уязвимые для социальной инженерии

• Человеческая природа и доверие являются основой этого вектора атаки.
• Страх серьезных потерь.
• Игнорирование и пренебрежение интенсивностью социальной инженерии делает организацию легкой мишенью.
• Жертвы обращаются за помощью, и с должным моральным долгом они становятся жертвами социальных инженеров.

Фазы социальной инженерии атаки

• Исследование целевой компании:через вождение мусорного контейнера и информацию с веб-сайтов.
• Выберите жертву:определите любого разочарованного сотрудника целевой компании.
• Развивайте отношения:с этим выбранным сотрудником.
• Эксплуатировать отношения:используя эти отношения; захватить всю конфиденциальную информацию и современные технологии, которые использует целевая организация.

Телефонные системы, используемые для социальной инженерии

Злоумышленники и хакеры также могут использовать функцию набора по имени, которая является встроенной функцией для большинства систем голосовой почты для получения информации. Чтобы получить доступ к этой функции, хакерам обычно нужно нажать 0 после вызова основного номера компании или после того, как хакер введет чей-либо ящик голосовой почты. Используя этот метод социальной инженерии на основе телефона, злоумышленники могут защитить свою личность, скрывая, откуда они звонят. Различные способы:

• Использование бытовых телефонов.
• Использование бизнес телефонов.
• Использование VOIP-серверов.

Контрмеры

Организации могут минимизировать риски безопасности путем:

• Создание надежных структур для персонала/сотрудников.
• Выполнять необъявленные периодические тесты каркаса безопасности.
• Использование надлежащей службы управления отходами для защиты организаций от водителей мусорных контейнеров.
• Установление политик безопасности и протоколов.
• Обучение сотрудников защите от манипуляций со стороны посторонних и обучение их вежливому отказу в отношениях или обмену информацией от незнакомцев, которые могут быть хакерами.

Источник: канал Инкогнито