Pic

Социално инженерство

Социалното инженерство е термин, който обозначава съвкупността от тактики, използвани от недобронамерени лица, за да манипулират предварително определени хора – техните мишени, в резултат, на което е разкрит достъпът до конфиденциална информация. Информацията, която тези престъпници търсят, може да бъде разнообразна, но в повечето случаи те се стремят към разкриването на важни паролибанкова информация или проникване в чужд компютър, посредством инсталиране на зловреден софтуер.

Измамниците използват методите на социалното инженерство, защото за тях е много по-лесно да използват естествената доверчивост на хората, отколкото да прекарат безброй часове в опити да „хакнат” даден софтуер.

Сигурността се състои в това да знаеш на кого да вярваш и на кого какво да довериш. Всеки един специалист по информационна сигурност ще Ви каже, че най-слабото звено във веригата е човешкият фактор. Няма значение колко ключалки и резета сте поставили, колко алармени системи сте инсталирали или колко пазачи сте наели. Ако Вие или Вашите служители се доверявате с лека ръка на човека, който твърди, че носи пица за отдела на 3 етаж и го пускате в сградата без да поискате дори документи за самоличност, значи нищо не сте постигнали.

Кои са най-често предприеманите от социалните инженери атаки?

Имейл от приятел.

Ако даден престъпник успее да хакне или да получи лична парола, посредством методите на социалното инженерство, той вече има достъп до адресната книга на този човек – и понеже повечето хора използват една и съща парола за всичките си акаунти, той ще може да влезе и в профила му в социалните мрежи.

Следващото действие на измамника, обикновено, е да започне да изпраща имейли (или съобщения) до контактите (приятелите) на потърпевшия.

Тези имейли (съобщения) могат да използват изконни човешки качества, като доверчивост или любопитство.

Имейлите (съобщенията) могат да съдържат линк, препоръчан от Ваш „приятел” или файл за сваляне, например и тъй като Вие сте убедени в достоверността на полученото съдържание, започвате да го разглеждате. И какво следва? Компютърът Ви бива заразен с някакъв вид зловреден софтуер, който ще позволи на социалния инженер да завладее личните Ви данни, респ. данните на Вашите близки.

Тези имейли (съобщения) могат да разказват история или да съдържат някакъв претекст.

Имейлите (съобщенията) могат да съдържат призив за помощ за Ваш „приятел”, изпаднал в беда или пък да са изпратени от името на благотворителна организация, която набира средства за дадена кауза. Разбира се, тези разкази не са реални, те са плод на въображението на социалните инженер, който цели финансова облага за Ваша сметка.

Фишинг.

Фишингът също е метод на социалното инженерство, като едни от най-разпространените негови прояви се изразяват в изпращане на имейли или sms –и от името на легитимни и известни компании, банки, училища, институции с цел пробив в информационната сигурност, било то лична или корпоративна. Повече информация по темата можете да намерите тук.

Примамливи предложения.

Тези методите на социалното инженерство разчитат на това, че ако дадеш на хората нещо, което търсят, много от тях ще бъдат съблазнени от примамливото предложение. Най-често използвани за целта са нашумели наскоро филми, музикални парчета, промоции и т.н.

Интернет потребителите, които повярват на тази измама, получават в замяна вирус, който започва да генерира нови подобни измами срещу тях или техните близки. В резултат, потърпевшите могат да понесат различни видове загуби – от последната си поръчка от EBay до съдържанието на банкова си сметка.

Получаване на отговор на въпрос, който никога не сте задавали.

Престъпниците може да се преструват, че отговарят на Ваше запитване към дадена компания, като в същото време предлагат допълнителна помощ. Те избират компании, които са използвани от много хора, като напр. такива, които се занимават със софтуер или финансиране. Ако не използвате съответния продукт или услуга, най-вероятно, ще игнорирате имейла, обаждането или съобщението. Но ако сте потребител, има голяма вероятност да отговорите, тъй като най-вероятно сте срещнали някакъв проблем.
След като се свържете с измамника, той ще Ви помоли да се идентифицирате, да се впишете в някаква система, като дори може да Ви помоли да му осигурите дистанционен достъп до Вашия компютър. Получавайки исканото, той може да въведе команда, която да му гарантира успешно завръщане към информацията на Вашата машина.

Иницииране на конфликти.

След като получат достъп до даден личен акаунт, някои социални инженери започват да прилагат тактика за иницииране на конфликти, като от името на Ваш познат, с който не поддържате добри взаимоотношения, започват да разпространяват лична или друг вид чувствителна информация. Много от получателите на тази информация ще решат, че тя е достигнала до тях случайно и ще повярват в нейната достоверност. И готово – желаният резултат е постигнат – Вашият престиж е уронен.

Както най-вероятно забелязахте, атаките на социалните инженери имат хиляди вариации, но целта им винаги е една и съща – получаване на достъп до персонална информация, с цел неправомерно използване за лична облага, като дори може да се достигне до нейната продажба на трети лица. Затова, е много важно, да не подминавате с лека ръка тази тема, а да вземете съответните предпазни мерки.