Чем опасна социальная инженерия

Сегодня благодаря разнообразию социальных сетей и других онлайн-платформ собрать информацию о человеке стало очень просто. Опытные мошенники знают, как использовать эти данные в своих целях, и могут успешно атаковать даже самые защищенные системы. Многие эксперты по информационной безопасности считают, что самым слабым звеном в цепи безопасности является пользователь – сам человек. Здесь мы расскажем, что такое социальная инженерия, и чем она опасна. 

Социальная инженерия – это метод, который используется мошенниками для получения конфиденциальной информации, такой как пароли, банковские данные и другие защищенные данные, путем психологического манипулирования жертвой. Целью социальной инженерии является получение выгоды за счет получения доступа к личным данным и ресурсам человека. Аферисты используют различные методы, например, подделку идентификационных данных, создание фальшивых сайтов, эмоциональное шантажирование, чтобы убедить жертву раскрыть личную информацию.

Перечисляем самые распространенные: 

Взлом социальных сетей — это процесс взлома страницы пользователя, после чего злоумышленники посылают от его имени сообщения его друзьям, в которых просят отправить деньги на карту. Пользователь понимает, что его страницу взломали, когда не может зайти в свой аккаунт, так как пароль уже был изменен. Кстати, здесь мы рассказывали, как легко создать и запомнить сложный пароль.  

СМС-атаки — это метод, при котором мошенник создает фейковый аккаунт в социальных сетях или регистрируется в мессенджере, используя SIM-карту, зарегистрированную на кого-то другого. Затем мошенник отправляет объявления о сборе денег на лечение ребенка, прикрепляя фотографии и реквизиты. Обычно люди не проверяют такую информацию, что делает их уязвимыми для мошенничества.

Фишинг - это вид мошенничества, основная цель которого - получение конфиденциальной информации, такой как логины и пароли от важных сайтов, аккаунтов и банковских счетов. Мошенники рассылают письма или сообщения с ссылками на поддельные сайты, которые визуально похожи на настоящие. После того как пользователь переходит на поддельный сайт, мошенники пытаются убедить его ввести свои данные с помощью различных психологических приемов. Это позволяет мошенникам получить доступ к конфиденциальной информации и использовать ее в своих целях.

При фарминге злоумышленники устанавливают вредоносную программу на компьютер жертвы, которая изменяет информацию по IP-адресам, что приводит к перенаправлению пользователя на поддельные сайты без его ведома и согласия.

Вишинг — это метод мошенничества, при котором злоумышленники, выдавая себя за сотрудников банка или покупателей, по телефону выманивают у держателя платежной карточки конфиденциальную информацию или принуждают его к совершению определенных действий с его счетом или банковской картой.

Метод «квид про кво» предполагает, что злоумышленник представляется сотрудником технической поддержки и информирует жертву о проблемах на ее рабочем месте. Затем он убеждает жертву устранить эти проблемы и в процессе этого заставляет ее выполнить действия, которые позволяют злоумышленнику выполнить определенные команды или установить вредоносное программное обеспечение на компьютере жертвы. Этот метод чаще всего используется при обращении злоумышленника к жертве через электронную почту или корпоративный телефон.

Претекстинг - это последовательность действий, выполненных в соответствии с заранее составленным сценарием, чтобы заставить жертву раскрыть информацию или выполнить определенные действия. Обычно атака происходит с использованием голосовых средств, таких как Skype, телефон или электронная почта. Чтобы провести этот вид атаки, злоумышленнику необходимо иметь некоторую информацию о жертве, такую как ее имя, должность, проекты, над которыми она работает, и дату рождения. Используя эту информацию, злоумышленник находит доверие у жертвы и получает нужную ему информацию.

Обратная социальная инженерия создает ситуацию, в которой жертва вынуждена обратиться за помощью к злоумышленнику. Например, мошенник может отправить письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые проблемы на компьютере жертвы. Пользователь затем связывается с злоумышленником сам и в процессе «исправления» проблемы злоумышленник получает нужную ему информацию.

Фото из открытых источников