При атаках с применением социальной инженерии злоумышленник пытается получить доступ к данным или услугам, налаживая отношения с людьми, доверием которых он может воспользоваться. Первая линия защиты - сохранять бдительность. Злоумышленник может втянуть вас в разговор, который станет больше похож на допрос. Однако лучший способ защитить себя от социальной инженерии - это знать, кому можно доверять, и самому быть надежным. Вы должны определить всех, кто может получить доступ к вашему счету или повлиять на него, и убедиться, что у них есть веские причины для этого.
Что такое атака социальной инженерии?
Атака с помощью социальной инженерии - это форма взлома, при которой злоумышленник пытается получить доступ или информацию, используя доверие. Это очень эффективная атака, поскольку она использует ваше желание помочь людям, любопытство и наивность. Социальный инженер может сделать вас невольным соучастником, используя манипуляции высокого уровня, чтобы получить все, что хочет злоумышленник. Это одна из форм хакерства, но вместо взлома компьютеров социальные инженеры пытаются получить к ним доступ, обманом заставляя сотрудников выдать информацию или загрузить вредоносное ПО.
Техники социальной инженерии
Атаки социальной инженерии могут осуществляться по телефону, по электронной почте или с помощью текстовых сообщений. Социальный инженер может позвонить в компанию и попросить доступ в закрытую зону или выдать себя за кого-то, чтобы заставить другого человека открыть электронный почтовый ящик от его имени.
Социальные инженеры используют множество различных тактик для достижения своих целей. Например, они могут заявить, что звонят из службы поддержки компании и попросить удаленный доступ, чтобы исправить что-то на вашем компьютере или в сети. Или они могут заявить, что им нужен ваш пароль или другая личная информация, например, банковские реквизиты, чтобы решить проблему с вашим банковским счетом.
В некоторых случаях социальные инженеры даже выдают себя за сотрудников правоохранительных органов и угрожают судебным разбирательством, если вы откажетесь выполнить их требования о предоставлении информации. Хотя компаниям важно серьезно относиться к этим угрозам, помните, что полиция никогда не будет звонить кому-то и спрашивать пароли по телефону!
Цель социальной инженерии
Социальная инженерия часто используется в фишинговых атаках, которые представляют собой электронные письма, которые кажутся полученными из надежного источника, но на самом деле направлены на кражу вашей личной информации. В таких письмах обычно содержится вложение с вредоносным программным обеспечением (часто называемым вредоносным ПО), которое заразит ваш компьютер, если его открыть.
Цель социальной инженерии всегда одна и та же: получить доступ к чему-то ценному без необходимости работать для этого.
1. Кража конфиденциальной информации
Таким образом, социальные инженеры могут попытаться обманом заставить вас сообщить свой пароль и логин (например, имя пользователя/адрес электронной почты), чтобы получить доступ к вашему почтовому ящику или профилю в социальных сетях, где они могут украсть личную информацию, например, номера кредитных карт и данные банковского счета, полученные в результате предыдущих операций.
2. Кража личных данных
Они также могут использовать эту информацию, чтобы присвоить себе личность жертвы и осуществлять вредоносные действия, выдавая себя за нее, в дальнейшем, если они не решат уничтожить ее немедленно.
Пример атаки социальной инженерии
Использование обмана и хитрости для получения преимуществ началось задолго до широкого распространения персональных компьютеров и всемирной паутины. Но мы можем заглянуть еще дальше в историю, чтобы увидеть некоторые из самых вопиющих случаев атак с помощью социальной инженерии.
В самом последнем инциденте, произошедшем в феврале 2020 года, был использован фишинг с использованием поддельного счета за ремонт успешно обманули Барбару Коркоран из шоу ABC "Shark Tank" почти 400 000 долларов.
Если вы стали жертвой атак социальной инженерии, важно знать, как защитить себя от них. Узнайте о предупреждающих признаках потенциальной угрозы и о том, как защитить себя.
Как распознать атаку социальной инженерии?
1. Доверяйте своей интуиции
Если вы получаете электронные письма или телефонные звонки, которые звучат подозрительно, не сообщайте никакой информации, пока не удостоверитесь в своей личности. Это можно сделать, позвонив непосредственно в компанию или связавшись с человеком, который якобы прислал письмо или оставил сообщение на голосовой почте.
2. Не предоставляйте свою личную информацию
Если кто-то просит у вас номер социального страхования или другие частные данные, это признак того, что он пытается воспользоваться вашим доверием и впоследствии использовать его против вас. Рекомендуется не сообщать никакой информации, если в этом нет необходимости.
3. Необычные просьбы без контекста
Социальные инженеры обычно делают большие запросы без указания контекста. Если кто-то просит деньги или другие ресурсы, не объясняя, зачем они ему нужны, вероятно, здесь происходит что-то подозрительное. Лучше проявить осторожность, если кто-то обращается с подобной просьбой - никогда не знаешь, какой ущерб можно нанести, получив доступ к банковскому счету!
Вот несколько способов, с помощью которых вы можете обнаружить атаки социальной инженерии:
- Получение электронного письма от человека, который утверждает, что он из вашего ИТ-отдела, с просьбой сбросить пароль и предоставить его в электронном или текстовом сообщении
- Получение электронного письма от человека, выдающего себя за представителя вашего банка, с просьбой предоставить личную информацию, например, номер счета или PIN-код
- Получение электронного письма от человека, выдающего себя за представителя вашего банка, с просьбой предоставить личную информацию, например, номер счета или PIN-код
- Человек, утверждающий, что он из отдела кадров компании, запрашивает информацию о компании
Типы атак социальной инженерии
Нападение на людей с помощью атак социальной инженерии - отличный способ мошенничества. Это может происходить несколькими способами.
Получение доступа: Хакеры могут получить доступ к вашему банковскому счету, оформив кредит на имя другого человека. При таком мошенничестве часто звонят по телефону или отправляют электронное письмо друзьям и родственникам, которых затем просят сделать денежный перевод, чтобы быстро возместить хакерам ущерб, нанесенный ими жизни жертвы.
Кража личной информации: Еще один распространенный способ обманом заставить людей передать свои личные данные - это поверить, что они выиграли приз или конкурс, в котором никогда не участвовали, но на который подписались. И когда им поступают звонки с просьбой удостовериться, что они получат приз, как только сообщат свои данные, жертвы попадают в ловушку злоумышленников.
Фишинг: В ходе этой атаки злоумышленники отправляют электронные письма, которые выглядят как письма от законных компаний или организаций, но содержат вредоносные ссылки или вложения. Более того, это одна из самых распространенных атак социальной инженерии во всем мире.
Претекстинг: Еще одна массовая атака социальной инженерии включает в себя создание ложной личности или сценария для получения доступа к личной информации. Один из наиболее ярких примеров социальной инженерии - получение злоумышленниками доступа к манипуляциям с людьми посредством текстовых сообщений.
Плечевой серфинг: Это атака, при которой злоумышленник заглядывает кому-то через плечо, чтобы получить доступ к конфиденциальной информации. Иногда злоумышленник - это не кто иной, как ваши близкие друзья или любимые, которые будут шантажировать вас, как только получат информацию, которую всегда хотели получить. Поэтому необходимо следить за такими людьми и никогда не сообщать им все личные данные.
Слежка: Атака хвостом - это когда злоумышленник следует за человеком, которому разрешено войти в здание или охраняемую зону, не имея на это разрешения. Это не так распространено, как другие атаки социальной инженерии, но все же опасно и может оставить разрушительные следы.
5 способов защиты от атак социальной инженерии
Здесь мы собрали несколько полезных советов или идей, которые помогут защитить себя от социальных атак или предотвратить атаки социальной инженерии:
1. Неизвестные отправители (электронные письма по сравнению с текстовыми сообщениями)
Обратите пристальное внимание на адрес электронной почты отправителя и содержание сообщения. Важно знать, что не нужно нажимать на ссылки подозрительных документов.
2. Прекратите делиться личной информацией
Подумайте, прежде чем делиться личной информацией, такой как пароли и номера кредитных карт. Ни одна законная компания или частное лицо никогда не должны запрашивать такую конфиденциальную информацию. Всегда используйте надежные пароли и регулярно меняйте их. Избегайте использования одних и тех же паролей для нескольких учетных записей, чтобы не стать жертвой атак социальной инженерии.
3. Уровни безопасности
По возможности используйте двухфакторную аутентификацию. Она может добавить дополнительный уровень безопасности, требуя от пользователей вводить код, отправленный на мобильный телефон, а также имя пользователя и пароль. Всегда устанавливайте коды аутентификации с вашим электронным адресом и номером телефона, чтобы, если кто-то получит доступ к любой из этих систем, он не смог воспользоваться вашей учетной записью напрямую.
4. Антивирусное программное обеспечение
Установите антивредоносных программ и антивирусное программное обеспечение на всех ваших устройствах. Следите за обновлением этих программ, чтобы они могли защитить вас от новейших угроз. Однако если на ваших устройствах установлен антивирус, он может стать отличной защитой от атак социальной инженерии.
5. Всегда помните о любых рисках
Это поможет, если вы всегда будете учитывать риски. Убедитесь, что любой запрос на информацию является точным, дважды и трижды перепроверив его. Следите за новостями о кибербезопасности, если вас затронула недавняя утечка информации.
Заключение
Чтобы защитить себя от атак социальной инженерии, вы должны научиться использовать меры предосторожности против них. Поскольку мы уже предоставили вам некоторые стандартные методы атак социальной инженерии, которые используются в мире уже несколько веков, убедитесь, что вы начали применять эти меры предосторожности прямо сейчас. Атаки социальной инженерии могут в считанные секунды разрушить жизнь человека, его профессиональную деятельность. Всегда защищайте свои устройства, пароли и другие входы в систему с помощью двух установленных кодов проверки подлинности для внешнего уровня защиты.
Прежде чем делать что-либо еще, поговорите с надежным ИТ-специалистом или экспертом по безопасности, таким как PowerDMARC. Они помогут вам понять риски атак с использованием социальной инженерии и способы их минимизации.
- Как найти лучшего поставщика решений DMARC для вашего бизнеса? - 25 апреля 2024 г.
- PowerDMARC и Zendata заключили партнерство для повышения безопасности доменов - 25 апреля 2024 г.
- PowerDMARC сотрудничает с CNS для развития практики безопасности электронной почты на Ближнем Востоке - 24 апреля 2024 г.