BTC$29880

ETH$3666

Шукати

Що таке соціальна інженерія (Social engineering)?

Соціальна інженерія — це складний процес маніпулювання людськими діями та використання психологічних методів для отримання конфіденційної інформації або доступу до захищених даних. Цей підхід не використовує технічні уразливості, а намагається використовувати довіру, доброзичливість або вразливості у поведінці людей для досягнення своїх цілей.

Що таке соціальна інженерія?

Соціальна інженерія — це маніпулювання людьми для отримання конфіденційної інформації або здійснення певних дій, які можуть бути корисними для зловмисників. Це підходить, коли атакують не технічні системи, а саміх користувачів чи співробітників, використовуючи психологічні та маніпулятивні методи.

Зазвичай соціальна інженерія охоплює отримання доступу до конфіденційних даних, таких як паролі, особиста інформація чи фінансові деталі, через використання маніпуляційних технік. Це може бути відправленням фішингових листів, телефонними шахрайствами, підробкою ідентифікаційних даних, встановленням довіри або зловживанням довіри через соціальні мережі.

Ця техніка дуже ефективна через те, що спрямована на людський фактор, а не технічні системи, тому її важко виявити за допомогою традиційних засобів кібербезпеки. Основна ідея полягає у використанні довіри та вразливостей у поведінці людей для отримання несанкціонованого доступу або інформації.

Поняття соціальної інженерії було введено Кевіном Мітніком і досить часто згадується в ряді статей та доповідей з тематики безпеки мереж та інформації.

Техніки атак з використанням соціальної інженерії

Існує безліч технік соціальної інженерії, і вони можуть бути використані для здійснення атак на інформаційні системи чи отримання конфіденційної інформації. Ось кілька основних технік:

Байтінг(Baiting)

Байтінг — це техніка соціальної інженерії, що полягає в розміщенні привабливого (або «приманюючого») контенту для спонукання людей до певних дій. Ця техніка використовується з метою вибудовування довіри та спонукання цільової аудиторії до звантаження вірусних файлів, переходу за посиланням, або виконання інших дій, що можуть призвести до компрометації безпеки.

Приклади байтінгу охоплюють ситуації, коли зловмисники розміщують фальшиві файли з програмами чи відео, які виглядають цікаво та привабливо для користувачів. Наприклад, це може бути завантаження «піратських» копій популярного програмного забезпечення, безплатних музичних альбомів, фільмів або ігор.

Коли користувачі спробують отримати цей контент, вони можуть стати жертвами шкідливих програм, вірусів або розкрили свої особисті дані через фішингові атаки. Baiting використовує власне бажання людей отримати щось «безплатно» або зацікавити їх чимось цікавим, що веде до потенційних загроз безпеці.

У контексті соціальної інженерії, байтінг використовується для створення психологічного тиску на людей, примушуючи їх виконати певні дії, які зазвичай залишають їх уразливими перед шкідливими наслідками.

Фішинг (Phishing)

Фішинг є методом атаки в рамках соціальної інженерії, що полягає в обмані користувачів з метою отримання їхніх конфіденційних даних, таких як паролі, номери банківських карток або інша особиста інформація. Атаки фішингу зазвичай відбуваються через електронну пошту, соціальні мережі, повідомлення або вебсайти, які виглядають автентично, але насправді контролюються зловмисниками.

Фішингові повідомлення або вебсайти зазвичай підробляють легітимний вигляд відомих організацій, таких як банки, соціальні мережі, поштові сервіси або компанії, що використовуються потенційною жертвою. Мета — переконати користувача натиснути на посилання або ввести свої особисті дані на фішинговому вебсайті.

Після цього зловмисники використовують отримані дані для різних шахрайських дій, таких як крадіжка особистих фінансових даних, доступ до облікових записів або навіть ідентичність.

Фішингові атаки можуть бути розробленими та досить підступними, здатними викликати відчуття терміновості або небезпеки для переконання користувача у необхідності негайної відповіді. Це одна з найпоширеніших і небезпечних форм атак на приватні дані та конфіденційну інформацію.

Псевдоантивірус (scareware, програма-страшилка)

Псевдоантивірус, або Scareware, це вид шкідливого програмного забезпечення, яке вдається захистом від вірусів або шкідливих програм, проте насправді є шахрайським продуктом. В контексті соціальної інженерії це використовується для маніпулювання користувачами та змушення їх виконати дії, такі як придбання фіктивного антивірусу чи внесення особистої інформації. Цей вид атаки створює вигляд термінової ситуації, наприклад, попередження про велику кількість вірусів на комп’ютері, щоб змусити користувача виконати дії, які вигідні для атакувальника, але зазвичай шкідливі для користувача.

Scareware прагне залякати користувачів, намагаючись змусити їх придбати непотрібне антивірусне програмне забезпечення або робити інші операції, що можуть бути шкідливими для їх комп’ютерів чи безпеки даних. Це типова схема, де шахраї вигадують фальшиві попередження про віруси чи втрату даних, щоб намагатися продати своє програмне забезпечення або послуги, які насправді непотрібні.

Такі псевдоантивірусні програми часто пропонують «безкоштовні» сканування, що потім показують вигадані проблеми та вимагають оплату для їх видалення. Вони також можуть перенаправляти користувачів на сайти з шкідливим вмістом або вимагати особистої інформації для «покращення безпеки».

Ця стратегія соціальної інженерії використовується для виклику паніки та створення тиску на користувачів, щоб вони відкликалися на вимоги шахраїв. Це часта форма інтернет-шахрайства, спрямованого на недосвідчених користувачів, які можуть легко піддатися цій підступній схемі.

Претекстинг (Pretexting)

Претекстинг — це форма соціальної інженерії, яка використовується зловмисниками для створення вигаданої ситуації або обставини, щоб отримати доступ до конфіденційної інформації або виконати певні дії від потенційної жертви.

Цей метод зазвичай містить вигадання обґрунтування або сценарію, який виглядає правдоподібно і виправдовує запит на інформацію або дії від людини, яка може бути ціллю атаки. Наприклад, це може бути вигаданий телефонний дзвінок від особи, яка представляється працівником підтримки або з надзвичайною ситуацією, запит на інформацію або доступ до системи.

Основна мета претекстингу полягає в тому, щоб отримати доступ до конфіденційних даних або системи шляхом маніпуляції та підштовхування людей до виконання певних дій або надання інформації, яка може бути використана для зловживання.

Цей метод соціальної інженерії зазвичай базується на спробі зловмисників виглядати як авторитетна або достовірна особа чи ситуація, щоб отримати довіру потенційних жертв і здійснити атаку. Його ефективність полягає у здатності атакувальників переконати людину в тому, що їхні дії або запити є легітимними та потребують негайної відповіді.

«Дорожнє яблуко»

«Дорожнє яблуко» — це техніка, в якій зловмисник підкидає жертві підроблений фізичний носій інформації, наприклад, флеш-накопичувач, CD або DVD. Носій може містити шкідливе програмне забезпечення, яке може зашкодити комп’ютеру жертви або отримати доступ до її конфіденційної інформації.

Зловмисник може підкинути «дорожнє яблуко» в будь-якому місці, де може бути велика кількість людей, наприклад, у громадському транспорті, на паркувальному місці або в офісі.

Методи протидії соціальній інженерії

Протидія соціальній інженерії включає ряд стратегій та практик, які спрямовані на захист від маніпуляцій та атак, що базуються на соціальному інженерстві. Ось кілька методів для запобігання:

  1. Навчання персоналу: Проведення регулярних навчань та тренінгів для персоналу щодо методів соціальної інженерії, впізнавання фішингу, правил обробки конфіденційної інформації.
  2. Строга політика безпеки: Розробка та впровадження строгих правил безпеки, включаючи обмеження доступу до конфіденційних даних та механізмів перевірки ідентифікації.
  3. Перевірка безпеки інфраструктури: Регулярна перевірка систем безпеки, виявлення слабких місць, вдосконалення заходів захисту даних.
  4. Строгий контроль доступу: Застосування принципу найменших привілеїв, обмеження доступу до чутливої інформації та підвищення контролю над правами доступу.
  5. Використання технологічних засобів: Використання програмних засобів, які виявляють та блокують спроби соціальної інженерії, такі як антивіруси, захист пошти тощо.
  6. Запровадження двофакторної автентифікації: Використання систем, що підтверджують особу за допомогою двох або більше способів автентифікації.
  7. Політика з обмеженням відомостей: Установлення правил щодо розголошення конфіденційної інформації, навіть у випадку запитів від надійних джерел.
  8. Створення свідомої культури безпеки: Виховання у персоналу усвідомленості щодо важливості безпеки та впровадження звичок, які забезпечують захист від соціально-інженерних атак.

Хто такий Кевін Мітнік?

Кевін Мітнік — це американський хакер, який був відомий своїми злочинами у сфері комп’ютерної безпеки в 1980-х і 1990-х роках.

Він став відомим завдяки своїм вмінням у соціальній інженерії та комп’ютерному вторгненні. Мітнік використовував свої навички для проникнення в комп’ютерні системи корпорацій та урядових установ.

Він був заарештований в 1995 році та засуджений до п’яти років ув’язнення. Після звільнення з в’язниці у 2000 році він став публічною фігурою та автором книг про комп’ютерну безпеку.

Мітнік народився в 1963 році в Лос-Анджелесі, штат Каліфорнія. Він почав цікавитися комп’ютерами в ранньому віці та швидко навчився зламувати системи безпеки. У 16 років він зламав комп’ютерну мережу DEC і скопіював програмне забезпечення компанії, за що був звинувачений і засуджений у 1988 році. Він був засуджений до 12 місяців ув’язнення, після чого отримав три роки умовно-дострокового звільнення. Наприкінці свого перебування під наглядом Мітнік зламав комп’ютери голосової пошти Pacific Bell. Після того, як був виданий ордер на його арешт, Мітнік втік, ставши втікачем на два з половиною роки.

У 1995 році Мітнік був заарештований ФБР. Він був засуджений до п’яти років ув’язнення за крадіжку комп’ютерної інформації та порушення Федерального закону про зв’язок.

Після звільнення з в’язниці Мітнік став публічною фігурою. Він виступав з лекціями про комп’ютерну безпеку і написав кілька книг на цю тему. Він також заснував компанію KnowBe4, яка надає послуги з навчання користувачів комп’ютерної безпеки.

Мітнік є неоднозначною фігурою. Деякі люди вважають його злочинцем, який завдав шкоди компаніям і уряду. Інші вважають його героєм, який висвітлив проблеми комп’ютерної безпеки.

Висновок

Можна зазначити, що соціальна інженерія являє собою складний і хитрий спосіб атаки на інформаційні системи, в якому нападник використовує соціальні навички та маніпулювання для отримання конфіденційної інформації чи отримання доступу до захищених ресурсів. Цей метод атаки може призвести до серйозних наслідків для індивідів, компаній та установ, і вимагає від користувачів уваги, обізнаності та обережності у віртуальному та реальному житті. Заходи протидії соціальній інженерії охоплюють навчання персоналу, використання технологічних засобів та вивчення типових тактик атак для запобігання подібним загрозам.