Что такое социальная инженерия

Благодаря разнообразию социальных сетей собрать сведения о человеке очень легко. А опытные мошенники хорошо разбираются в психологии, и могут использовать в своих целях даже минимальные знания о пользователе. Многие специалисты по информационной безопасности говорят, что, как не защищай программы и системы, но есть одно слабое звено – это сам пользователь, пишет портал Центробанка Беларуси. 

Социальная инженерия – это способ получения конфиденциальной информации с помощью психологического воздействия на человека. Основной целью социальной инженерии является получение выгоды через доступ к паролям, банковским данным и другим защищенным системам. 

Социальная инжерерия может принимать разные виды 

Фишинг - это вид мошенничества, основная суть которого завладение логинами и паролями от важных сайтов, аккаунтов, счетов в банке и другой конфиденциальной информацией путем рассылки писем с ссылками на мошеннический сайт, внешне очень похожий на настоящий. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить его ввести на поддельной странице свои логин и пароль, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам. 

Фарминг - при фарминге на персональный компьютер жертвы устанавливается вредоносная программа, которая меняет информацию по IP-адресам, в результате чего обманутый пользователь перенаправляется на поддельные сайты без его ведома и согласия. 

Вишинг - метод, который заключается в том, что злоумышленники, используя телефонную коммуникацию и, играя определенную роль (сотрудника банка, покупателя и т.д.), под разными предлогами выманивают у держателя платежной карточки конфиденциальную информацию или стимулируют его к совершению каких-то действий со своим счетом или банковской платежной карточкой. 

Взлом социальных сетей - взламывается страница пользователя и от его имени идут сообщения его друзьям, чаще всего с просьбой «скинь денег на карточку». Тот, кого взломали, может понять об этом, когда не сможет войти в свой аккаунт, ведь пароль уже изменен. СМС-атаки - мошенник создает фейковый аккаунт в социальных сетях либо регистрируется, к примеру, в Viber, с симкарты, которая оформлена не на его. Далее высылает объявление: «Помогите на лечение ребенку», размещая фото и реквизиты. Если это действительно реальный человек, то реквизиты легко проверяются. Но, к сожалению, люди не часто проверяют такую информацию. 

Претекстинг - набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон, электронная почта и т. п. Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника, должность, название проектов, с которыми он работает, дату рождения). Используя такую информацию, он входит в доверие и получает необходимые ему данные. 

Кви про кво (в английском языке это выражение обычно используется в значении «услуга за услугу») - злоумышленник представляется, например, сотрудником технической поддержки и информирует о возникновении каких-то проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое вредоносное программное обеспечение на компьютере жертвы. Эта техника предполагает обращение злоумышленника к пользователю, как правило, по электронной почте или корпоративному телефону. 

Обратная социальная инженерия - создается такая ситуация, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, мошенник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные. Методов мошенничества, которые используют социальную инженерию, – множество. Перечисленные – это всего лишь их часть. Самые распространенные для нашей страны – фишинг, взлом социальных сетей и вишинг. 

Главный способ защиты от мошенников, использующих методы социальной инженерии, это проявление бдительности и осторожности. 

Поэтому предлагаем запомнить следующие правила безопасности: 

Не открывайте вложения электронной почты, отправленные с неизвестных ресурсов. 

При разговоре по телефону с незнакомым человеком следует быть внимательным и принимать какие-либо решения обдуманно. 

Не используйте логины и пароли и другую конфиденциальную информацию, если вы подозреваете что ваш компьютер заражен. 

Не соглашайтесь на загрузку, предлагаемую неизвестным програмным обеспечением. 

Не переходите по ссылкам из электронной почты. 

Не сообщайте реквизиты своей банковской платежной карточки, коды безопасности и другие личные данные незнакомцам ни при каких условиях. 

Остерегайтесь любых не известных предложений помощи. 

Регулярно проверяйте ваш компьютер на вирусы. 

Повышайте свой уровень финансовой грамотности, чтобы обезопасить себя и идти в ногу со временем.

Фото из открытых источников