Захист вашої конфіденційності вимагає більше, ніж використання a орієнтований на конфіденційність дистрибутив Linux та за допомогою a Password Manager. Багато експертів із безпеки вважають, що найслабшим ланкою будь-якої системи є людина, яка керує нею.
У цій статті ми дізнаємося, що таке соціальна інженерія і чому вона є такою загрозою. Потім ми розглянемо деякі атаки соціальної інженерії, які погані хлопці можуть застосувати проти вас, як в Інтернеті, так і поза ними. Ми обгортаємо це кількома порадами, щоб захистити себе від атак соціальної інженерії.
Що таке соціальна інженерія?
Мерріам-Вебстер визначає соціальну інженерію якуправління людьми відповідно до їх місця та функцій у суспільстві ". Це звучить трохи моторошно. Але в останні роки фраза набула більш маніпулятивного, зловісного значення.
Сьогодні соціальна інженерія означає щось на зразок “маніпулювання людьми для надання вам конфіденційної інформації ". Коли ми говоримо про соціальну інженерію, ми використовуємо саме цей сенс.
Чому соціальна інженерія - це така загроза
Злочинці використовують соціальну інженерію, оскільки це простіше, ніж зламати комп’ютерну систему. Обманути когось сказати вам щось, чого не слід, відносно легко. Більшість людей довіряють іншим.
Не має значення, наскільки захищена ваша комп’ютерна система. Або там, де ви зберігали свої особисті документи. Або скільки охоронців перед вашими кабінетами. Напади соціальної інженерії обходять усе це.
Відомий екс-хакер Кевін Мітнік часто використовував атаки соціальної інженерії, щоб потрапити в "захищені" комп'ютерні системи.
"Той, хто вважає, що лише продукти безпеки пропонують справжню безпеку, погоджується на ілюзію безпеки". - Кевін Д. Мітнік, Мистецтво обману: управління людським елементом безпеки
Зловмисники використовують атаки соціальної інженерії, як в Інтернеті, так і в режимі офлайн. Зараз ми розглянемо деякі найпоширеніші типи атак та те, що ви можете зробити, щоб захиститися від них.
Почнемо з деяких улюблених хакерами атак соціальної інженерії в Інтернеті.
«Хакер - це той, хто використовує комбінацію високих технологій кіберінструменти та соціальна інженерія для отримання незаконного доступу до чужих даних ". - Джон МакАфі
Деякі атаки соціальної інженерії в Інтернеті
Ось декілька найпоширеніших атак соціальної інженерії в Інтернеті:
- Фішинг
- Фішовий фішинг
- Наживка
Фішинг
Згідно зі Веб-сайт Міністерства національної безпеки, фішинг-атака «використовує електронною поштою або зловмисними веб-сайтами для отримання персональної інформації, видаючи себе надійною організацією ".
Ви вже бачили такий вид нападу. Ми всі отримуємо електронні листи від офіційно озвучених організацій із заявою, що у нас проблема з нашим рахунком, або їм потрібно підтвердити інформацію про нашу кредитну картку.
Мета полягає в тому, щоб ви натиснули посилання в електронному листі. Це посилання переведе вас на законний, але фальшивий веб-сайт організації. Веб-сайт буде створений, щоб змусити вас ввести дані вашої кредитної картки, номер соціального страхування або що завгодно, що шахраї хочуть вкрасти.
Фішовий фішинг
Спір-фішинг це тип фішингової атаки, коли зловмисник налаштовує фішинг-електронну пошту, використовуючи особисту інформацію про передбачувану жертву. У грудні 2018 року Служба внутрішніх доходів США (IRS) опублікований попередження про декілька шахрайств із фішинг-списом.
Ці афери мали на меті збирати інформацію, яка триває Форма IRS W-2. Мішенню для цих шахрайств був малий бізнес. Погані хлопці використовували цю інформацію для відкриття рахунків на кредитних картках, подання шахрайських податкових декларацій, відкриття кредитних ліній тощо.
Фішинг-атаки на спис значною мірою покладаються на атаки з попереднім текстом. У наступному розділі ми розглядаємо атаки попереднього тестування.
Наживка
Наживка атаки чимось схожі на фішинг-атаки. Різниця полягає в тому, що атаки приманки пропонують цілі щось, що вони хочуть, а не вирішують проблему. У таких видах атак вам можуть запропонувати безкоштовну музику, копії нових фільмів або будь-який інший вид призу. Щоб отримати приз, вам потрібно буде ввести будь-яку особисту інформацію, яку мошенник шукає.
Атаки приманки також можуть відбуватися в автономному режимі. Одна така атака передбачає залишення USB-палички лежачи десь там працівники цільової компанії можуть їх знайти. Велика ймовірність того, що хтось візьме його та підключить до свого комп’ютера, пускаючи все зловмисне програмне забезпечення, яке воно містить, всередині організації.
Деякі офлайн-атаки на соціальну інженерію
Ось декілька поширених типів атак соціальної інженерії в автономному режимі:
- Попереднє тестування
- Хвост / перекидання
- Vishing (голосовий фішинг)
Попереднє тестування
Попереднє тестування використовує якусь форму брехні, щоб змусити когось відмовитись від інформації, якою вони не повинні ділитися. Атести попереднього тестування можна запускати як в Інтернеті, так і офлайн. Вони часто використовуються для отримання особистої інформації, необхідної для налаштування атак Spear Phishing.
Офлайн-прикладом може бути той, хто телефонує вам, видаючи себе з офісу адвоката. Ви щойно успадкували багато грошей від далекого родича. Все, що вам потрібно зробити, це надати певну інформацію для підтвердження своєї особи, і адвокат передасть вам гроші. привід бо дзвінок - це фальшива спадщина.
Хвост / перекидання
Хвост зазвичай передбачає проходження через якусь електронну систему безпеки з використанням чужого доступу. Хтось, хто слідкує за вами, коли ви проходите електронну безпеку, може взагалі не бути співробітником. Натомість, це може бути хтось, хто їде за вашим доступом, щоб поїхати кудись, кому вони не належать.
Vishing (голосовий фішинг)
Вишинг, або Голосовий фішинг, є офлайн-еквівалентом фішинг-атаки. Існує кілька версій цієї атаки, але всі використовують телефонну систему. Вони прагнуть змусити жертву повідомити номер кредитної картки або якусь іншу особисту інформацію у відповідь на телефонний дзвінок, який прозвучав офіційно.
Ці шахрайства зазвичай використовують VoIP Технологія (Voice over IP) для імітації автоматизованої телефонної системи, яку може використовувати справжня компанія. Раніше телефонні системи вважалися безпечними та надійними, що робило людей більш вразливими до шахрайства Vishing.
Як захиститися від онлайнових атак соціальної інженерії
Ми розглянули деякі найпоширеніші атаки соціальної інженерії, що використовуються сьогодні. Але що ви можете зробити, щоб захиститися від них?
Ось кілька практик, які зменшать ваші шанси на шахрайство:
- Не відкривайте несподівано вкладення електронної пошти. Якщо ви отримаєте несподіване вкладення, велика ймовірність того, що воно є зловмисним. Зверніться до ІТ-відділу компанії (якщо на роботі). Якщо немає роботи, зв’яжіться з відправником (якщо ви їх знаєте). Дізнайтеся, чому ви його отримали, перш ніж відкривати будь-яке несподіване вкладення.
- Шукайте веб-сайти самостійно. Пам'ятайте, що атаки типу фішингу зазвичай спрямовують вас на підроблений веб-сайт. Ви можете уникнути їхньої пастки, шукаючи адресу веб-сайту самостійно, а не натискаючи посилання в електронному повідомленні чи вкладеннях. Якщо ви потрапили на веб-сайт, у якому не впевнені, перегляньте URL (адреса), яка відображається у вікні адреси браузера. Хоча можна зробити точну копію законного веб-сайту, жоден із двох сайтів не може мати однакову URL-адресу. Пошук компанії в пошуковій системі повинен перейти на реальний сайт.
- Ніколи не розкривайте свій пароль нікому в Інтернеті. Жодна законна організація не збирається запитувати у користувача його пароль.
- Використовуйте VPN для додаткової конфіденційності під час перегляду веб-сторінок.
Як захиститися від офлайнових атак соціальної інженерії
Ми також розглянули поширені офлайн-атаки соціальної інженерії. Ось декілька речей, які ви можете зробити, щоб захиститися від офлайн-атак:
- Не повідомляйте особисту інформацію абонентам. Можливо, це було безпечно багато років тому, але зараз це не так. Якщо хтось зателефонує вам і скаже, що ви потребуєте підтвердження якоїсь особистої інформації, киньте слухавку!
- Не дозволяйте нікому задні двері, щоб пройти повз безпеки. Відомо, що звичайні злочинці або колишні співробітники використовують цю техніку, щоб повернутися на місце та викрасти речі чи точну помсту.
- Завжди вимагайте посвідчення особи у кожного, хто з’явиться з проханням надати інформацію.
- Ніколи не підключайте нічого до комп’ютера, якщо ви не знаєте, звідки воно взялося!
- 7
- доступ
- рахунки
- Додатковий
- ВСІ
- навколо
- Art
- стаття
- Box
- браузер
- підприємства
- call
- Кембридж
- шанси
- загальний
- компанія
- кредит
- кредитна картка
- злочинці
- дані
- Попит
- документація
- співробітників
- Машинобудування
- experts
- підроблений
- форма
- Безкоштовна
- функція
- дає
- добре
- хакер
- хакери
- злом
- тут
- Національна Безопаность
- Як
- HTTPS
- Особистість
- зображення
- інформація
- Податкова служба
- IP
- IRS
- IT
- Kaspersky
- провідний
- УЧИТЬСЯ
- LINK
- Linux
- подивився
- основний
- Робить
- гроші
- музика
- пропонувати
- онлайн
- відкрити
- Інше
- Пароль
- Люди
- phishing
- фішинг-атаки
- гравець
- недоторканність приватного життя
- Продукти
- захист
- зменшити
- ресурс
- відповідь
- Умови повернення
- revenue
- прогін
- біг
- сейф
- шахрайство
- Пошук
- Пошукова система
- безпеку
- сенс
- комплект
- Поділитись
- сайти
- невеликий
- малого бізнесу
- So
- соціальна
- Соціальна інженерія
- суспільство
- Софтвер
- Фішовий фішинг
- стандартів
- старт
- система
- Systems
- Мета
- податок
- Технологія
- Поради
- Голос
- Вразливий
- Web
- веб-сайт
- веб-сайти
- ВООЗ
- Вікіпедія
- виграти
- Провід
- Work
- років