Социальная инженерия: распространенные виды атак

Одним из самых известных видов атак на компании и компьютеры является социальная инженерия. Поэтому приходится тратить много сил и финансовых средств, чтобы усиливать сетевую защиту. Однако злоумышленники тоже не дремлют и постоянно находят лазейки, чтобы совершить кражу данных для различных целей.  Достаточно узнать номер телефона или другие контактные данные, после чего посредством звонков посторонний втирается в доверие и выуживает ценную информацию.

Есть 5 основных видов атак, широко распространенных в сфере социальной инженерии.

Фишинг

Изучая методы социальных атак, можно увидеть, что к фишингу прибегают уже давно, поскольку вероятность успешного получения данных весьма велика. Целью является кража адресов, имен сотрудников, информации о социальном страховании.

Фишинг предполагает отправку пользователям письма со ссылкой на поддельную страницу, которая может быть похожа на настоящую. Например, новость о продукте какой-нибудь известной компании. Письмо не содержит угроз и может быть одобрительно воспринята системами защиты. Угрозу будет содержать сама ссылка, а вернее сайт или картинка, на которую она ведет. Чаще всего будет укороченная ссылка, совсем не существенно отличная от оригинала. После перехода на сайт и происходит кража данных. Так, злоумышленник может использовать вредоносный URL-адрес под видом ссылки на Amazon или Microsoft.

Предлог

Чтобы выудить важные сведения у ответственных сотрудников крупных корпораций, нужен план посерьезнее. Так просто данными завладеть не получится, понадобится определенный сценарий, чтобы сбить объект атаки с толку. Сначала необходимо создать нервную атмосферу: например, представиться сотрудником какой-нибудь инспекции и вынудить сотрудника компании выполнять те или иные действия. Субъекты атаки маскируются под работников проверяющих служб. Конечная цель та же — получить доступ к закрытой информации.

Приманка

Давно расхожий метод, который использует бесплатную приманку. Это может быть доступ к загрузке бесплатных видео, игры с простым скачиванием или любой контент с любопытным содержанием. Умельцы атакуют разными способами: присылают зараженные письма через социальные сети или могут отправлять физические носители по почте. Цель — заразить техническое оснащение, установить скрытое ПО или полностью вывести из строя одно устройство или целую сеть.

Quid Pro Quo

Еще один вид приманки. Жертве предлагают получить вознаграждение за передачу конфиденциальных данных. Они могут предложить сувенир или деньги за секретные пароли или номер карты страхования. Расчет идет на простую психологию: сотрудники офисов считают, что секреты компаний — это не их проблема. Так, за какой-нибудь брелок или авторучку можно купить доступ и просочиться в “мозг” крутого офиса.

Tailgating

Последний способ проникновения — пройти хвостом следом за сотрудником. Для этого можно представиться экспертом по безопасности или войти в качестве доставщика пиццы. Правда, с внедрением чип-карт в кабинетах этот метод применить не так просто. В этом случае злоумышленникам приходится идти на сговор, чтобы обойти защиту.

От социальной инженерии не так и просто уберечься. Поэтому всегда нужно придерживаться советов экспертов, особенно при работе на служебном оборудовании:

  1. Не открывать подозрительные письма и сообщения.
  2. Не делиться данными с незнакомцами, особенно за деньги.
  3. Блокировать доступ к устройствам на время своего отсутствия.

Так же важно не забывать о том, какой вред может нанести социальная инженерия. Услуга установки защиты конфиденциальности и антивирусного ПО как минимум снизит риск заражения самыми очевидными вирусами. В остальном — толькоё бдительность и осторожность позволят уберечь данные от недобросовестных глаз.

Служба поддержки

24/7/365