Социальная инженерия — это искусство манипуляции, влияния или обмана с целью получения контроля над вашей компьютерной системой. Хакер может использовать телефон, электронную почту, почтовую переписку или прямой контакт для получения незаконного доступа. Примерами могут служить фишинг, целевой фишинг и атаки с использованием корпоративной электронной почты.
Кто же промышляет социальной инженерией? Это может быть хакер из США, который хочет нанести ущерб или разладить работу какого-то предприятия. Это может быть член киберпреступной группировки из Восточной Европы, который пытается проникнуть в вашу сеть и украсть деньги с вашего банковского счета. Или это может быть китайский хакер, который пытается проникнуть в сеть вашей организации с целью корпоративного шпионажа.
10 ТЕХНИК СОЦИНЖЕНЕРИИ, КОТОРЫЕ ИСПОЛЬЗУЮТ ХАКЕРЫ
Претекстинг
Придуманный сценарий используется для привлечения потенциальной жертвы, чтобы попытаться увеличить вероятность того, что жертва клюнет. Это ложный мотив, который обычно включает некоторые реальные сведения о жертве, в попытке получить еще больше информации. Например, дату рождения, идентификационный код, адрес проживания.
Диверсионная кража
Мошенничество, которое осуществляется профессиональными ворами и обычно направленное на транспортную или курьерскую компанию. Цель состоит в том, чтобы обмануть компанию и заставить ее доставить груз не по назначению, а прямо в руки злоумышленника.
Фишинг
Попытка получить конфиденциальную информацию, такую как имена пользователей, пароли и данные кредитных карт, маскируясь под известную организацию. Обычно злоумышленники используют цепляющую внимание электронную почту, которая обходит спам-фильтры. В письмах они выдают себя за представителей популярных социальных сайтов, банков, аукционов или IT-администраторов. Это вызывает доверие у людей и заманивает в сети.
Целевой фишинг
Небольшая, целенаправленная атака по электронной почте на конкретного человека или организацию с целью пробить их защиту. Атака spear phishing проводится после изучения цели и имеет особый персонализированный компонент, который подталкивает цель сделать что-то против ее же интересов.
Атаки watering hole
Это стратегия компьютерной атаки, при которой злоумышленник исследует, какие веб-сайты часто использует организация/человек, и заражает их них вредоносным ПО. Со временем один или несколько членов целевой группы заражаются сами, и злоумышленник получает доступ к защищенным системам.
Бэйтинг
В этом случае злоумышленник подбрасывает что-либо жертве, чтобы она начала действовать. Это может быть сайт одноранговой или социальной сети в виде загрузки (порно) фильма или USB-накопитель с надписью «План увольнения Q1», оставленный в общественном месте, чтобы жертва нашла его. После использования устройства или загрузки вредоносного файла компьютер жертвы заражается, что позволяет преступнику завладеть сетью.
Quid Pro Quo
В переводе с латыни означает «что-то за что-то», в данном случае это выгода для жертвы в обмен на информацию. Хороший пример – хакеры, выдающие себя за службу ИТ-поддержки. Они будут звонить всем, кого смогут найти в компании, и говорить, что у них есть быстрое решение, и «вам просто нужно отключить ваш AV». Любой, кто на это купится, получит вредоносное ПО типа ransomware, установленное на его компьютере.
Преследование
Метод, используемый социальными инженерами для получения доступа в здание или другую защищенную зону. Наблюдатель ждет, пока авторизованный пользователь откроет и пройдет через защищенный вход, а затем следует прямо за ним.
Медовая ловушка
Уловка, которая заставляет мужчин взаимодействовать с вымышленной привлекательной женщиной в Интернете. Пошло от старой шпионской тактики, в которой использовалась настоящая женщина.
Обман
Техника также известна как Rogue Scanner, rogue anti-spyware, rogue anti-malware или scareware, rogue security software — это форма компьютерного вредоносного ПО, которое обманывает или вводит в заблуждение пользователей, заставляя их платить за поддельное или имитированное удаление вредоносного ПО. В последние годы мошеннические программы безопасности стали растущей и серьезной угрозой безопасности компьютеров. Оно очень популярно, и существуют буквально десятки таких программ.
Источник: knowbe4
