185

Мошенничество и социальная инженерия: как не стать жертвой?

Социальная инженерия – это метод получения необходимого доступа к информации, основанный на особенностях психологии людей.

Самое слабое звено в системе обеспечения безопасности – человек.

Почему люди уязвимы для атак?

1. Теряют бдительность.

2. Легко верят полученной информации, независимо от ее источника.

3. Считают соблюдение политики информационной безопасности пустой тратой времени и сил.

4. Недооценивают значимость информации, которой владеют.

5. Искренне хотят помочь каждому, кто об этом просит.

6. Не осознают пагубных последствий своих действий.


Приемы, применяемые злоумышленниками наиболее часто и успешно в попытках манипулировать людьми:

1. Авторитетность

Людям свойственно желание услужить человеку с авторитетом (властью). Злоумышленник получит нужный ответ, если человек уверен, что спрашивающий имеет власть или право задавать этот вопрос.

Пример:

Злоумышленник пытается выдать себя за авторитетное лицо одного из подразделений организации (например, руководителя IT-подразделения) или должностное лицо, выполняющее задание организации.


2. Умение расположить к себе

Люди имеют привычку удовлетворить запрос располагающего к себе человека или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами.

Пример:

В разговоре злоумышленник пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что это ему близко. Также он может сообщить, что он из той же школы, места, или что-то похожее. Злоумышленник может даже подражать жертве, чтобы создать сходство, видимую общность.


3. Взаимность

Когда кто-то делает что-то для нас, мы чувствуем желание отплатить взаимностью. Эта сильная черта человеческой натуры проявляется тогда, когда получивший подарок не ждал (не просил) его.

Пример:

Злоумышленник звонит по случайному номеру в организации и представляется работником Службы техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» работник отвечает на многочисленные вопросы злоумышленника, зачастую, не задумываясь сообщая злоумышленнику конфиденциальную информацию (например, пароли, учетные записи), вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.


4. Ответственность

Люди имеют привычку исполнять обещанное. Пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия.

Пример:

Злоумышленник связывается с подходящим новым работником организации, выдает себя за работника подразделения и предлагает придумать сложный пароль для доступа к информации. Мошенник пытается давать рекомендации по выбору пароля и в целом довольно ответственно (в глазах сотрудника) подходит к своим обязанностям. Когда сотрудник говорит свой пароль, то мошенник утверждает, что пароль правильный и предлагает его сохранить. Сотрудник следует его указанием, так как чувствует, что согласился с человеком и не хочет его подвести.


5. Социальная принадлежность

Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения.

Пример: мошенники приезжает в подразделение с проверкой и называют друг друга по имени. Человек верит им, так как это реальные имена сотрудников компании.


6. Ограниченное количество «бесплатного сыра»

Одна из потенциально опасных для безопасности информации человеческих черт – вера в то, что объект делится частью информации, на которую претендуют другие, или что эта информация доступна только в этот момент.

Пример:

Злоумышленник рассылает электронные письма, сообщающие, что первые 300 зарегистрировавшихся на новом сайте выиграют 3 билета на премьеру фильма. Когда ничего не подозревающий человек регистрируется на сайте, его просят ввести адрес электронной почты и пароль. Многие люди, даже не задумываясь, введут запрашиваемые данные.


Методы социальной инженерии


1. Претекстинг (Pretexting) - это набор действий, проведенный по определенному, заранее подготовленному сценарию (претексту), в результате которого жертва может выдать какую- либо информацию или совершить определенное действие. Претекстинг предполагает использование голосовых средств связи (телефон, Skype и т.д.).

Пример:

Мошенник звонит человеку и представляется работником Банка. Под каким-либо предлогом он просит сообщить личные данные или данные банковских карт.

Возможно, Вас атакуют, если Ваш собеседник:

проявляет к Вам повышенный интерес;

преувеличенное внимание и заботу;

отказывается дать Вам свои координаты;

обращается к Вам со странной или необычной просьбой;

пытается втереться к Вам в доверие или льстит Вам;

говорит с Вами подчеркнуто начальственным тоном.


2. Фишинг (password harvesting fishing – «ловля паролей») - получение необходимой информации напрямую от владельца без технических мероприятий по взлому и без финансовых затрат при помощи электронной почты, сервисов мгновенных сообщений или SMS-сообщений.

Классическая схема фишинг-атаки:

Вам пришло электронное письмо или SMS-сообщение с просьбой перейти по указанной ссылке.

При переходе по ссылке открывается сайт-подделка.

Вам предлагают ввести Ваш логин и пароль.

Не задумываясь, Вы вводите данные, и готово – злоумышленник уже получил доступ к ранее защищенной информации на настоящем сайте.

Да и без ввода данных, просто после открытия сайта-двойника на Ваш компьютер вполне может попасть некий «троян» непредсказуемого назначения.

Мошенничество и социальная инженерия: как не стать жертвой? Социальная инженерия, Безопасность, Мошенничество, Интересное, Длиннопост
Мошенничество и социальная инженерия: как не стать жертвой? Социальная инженерия, Безопасность, Мошенничество, Интересное, Длиннопост

3. «Троянский конь» - вредоносная программа, которая используется для сбора, разрушения или модификации информации, нарушения работоспособности компьютера или использования ресурсов пользователя в чужих целях.

Ссылки на зараженные сайты могут быть отправлены по электронной почте, через социальные сети, системы мгновенного обмена сообщениями.

Мобильные вирусы часто доставляются SMS-сообщениями.

Пример:

Многие пользователи Facebook столкнулись c «трояном» Facebook.310, который «перекочевывал» на компьютер пользователя Facebook после того, как он «щелкал» на фальшивый видеоролик с сообщением о необходимости обновления видеоплеера.

Вместо обновления устанавливался «троян» Facebook.310, который действовал в Facebook от имени пользователя: устраивал рассылки, ставил «лайки», писал комментарии, открывал доступ к фотоальбому, вступал в группы и т.д.

Вместе с ним устанавливался второй троян-backdoor IRC.Bot.2344, который обеспечивал злоумышленникам внешнее управление компьютером пользователя Facebook, делая зараженный компьютер частью бот-сети, осуществляющей сетевые атаки на сайты коммерческих компаний и государственных структур, платежные системы.

Мошенничество и социальная инженерия: как не стать жертвой? Социальная инженерия, Безопасность, Мошенничество, Интересное, Длиннопост

4. «Кви про кво» (от латинского Quid pro quo – «услуга за услугу») - метод социальной инженерии, заключающийся в обращении злоумышленника к жертве по электронной почте или телефону с целью получения интересующей информации взамен на оказанную «помощь».

Пример:

Человек получает звонок отзлоумышленника, который называет себя интернет-провайдером. Звонящий рассказывает, что некоторые компьютеры заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере.

Злоумышленник делится информацией, как решить проблему. Затем он просит выполнить некоторые действия.

Человеку неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса. Он готов отплатить, сделав что-нибудь для «доброго человека». Например, ответить на пару вопросов…


5. "Дорожное яблоко" - - это разновидность «троянского коня», только вместо письма или SMS-рассылки Вам подкидывают носитель информации, содержащий вредоносное программное обеспечение (флеш-носитель, CD/DVD, переносной жесткий диск и т.д.).


6. Самое тривиальное, но тем не менее опаснейший метод социальной инженерии:

"Подсматривание через плечо" - метод, который включает в себя наблюдение личной информации жертвы через ее плечо.


Обратная социальная инженерия

Обратная социальная инженерия - жертва сама предлагает злоумышленнику нужную ему информацию.

Цель обратной социальной инженерии - заставить жертву саму обратиться к злоумышленнику за «помощью».

«Как такое может произойти? Бред!» – подумаете Вы.

На самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы, пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности.

Пример:

Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог.

Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить.

Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы.

Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник «неохотно» соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы.

Мошенничество и социальная инженерия: как не стать жертвой? Социальная инженерия, Безопасность, Мошенничество, Интересное, Длиннопост

З.Ы. не моё, текст написан по многочисленным статьям в интернете.

Антимошенник

3.2K постов30.8K подписчиков

Добавить пост

Правила сообщества

Нежелательны:

* посты об очередном фишинговом сайте

* скриншоты фишинговых сообщений

* переписки с мошенниками

* номера телефонов мошенников

* фото фальшивых квитанций ЖКХ

* фото попрошаек и "работников СНИЛС"

* "нигерийские письма" и прочие баяны

* видео без описания


Подобные посты могут быть добавлены на усмотрение администрации сообщества.


Запрещены:

1. Нарушения базовых правил Пикабу.

2. Посты не по тематике сообщества, а также недоказанные случаи мошенничества (в случае обвинения какого-либо лица или организации).

3. Кликабельные ссылки на магазины и прочие бизнес-проекты. Если Вам нужно сослаться на подобный ресурс — вставляйте пробелы вокруг точек: pikabu . ru

4. Пошаговые, излишне подробные мошеннические схемы и инструкции к осуществлению преступной деятельности.

5. Мотивация к мошенничеству, пожелания и советы "как делать правильно".

6. Флуд, флейм и оскорбления пользователей, в т.ч. провокации спора, распространение сведений, порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.


Крайне нежелательно:

7. Бессодержательное, трудночитаемое и в целом некачественное оформление постов. При наличии подтверждений в комментариях, пост может быть вынесен в общую ленту.


В зависимости от степени нарушения может последовать:

А. Вынос поста в общую ленту (п.1, 2, 3, 5, 7 правил сообщества)

Б. Удаление поста (п.1, п.4 правил сообщества)

В. Занесение пользователя в игнор-лист сообщества (п.6 правил сообщества, а также при систематических нарушениях остальных пунктов)


Просьбы о разбане и жалобы на модерацию принимает администратор сообщества. Жалобы на администратора принимает @SupportCommunity и общество Пикабу.

Подробнее
Лучшие посты за сегодня
8659

Где купить товары икеа

Где купить товары икеа ИКЕА, Скриншот, Комментарии на Пикабу, Полезное, Длиннопост, Производители
Показать полностью 1
6783

Алые Паруса, которые мы потеряли xD

Алые Паруса, которые мы потеряли xD
5456

Лайфхак по-техаски

Лайфхак по-техаски США, Бензин, Дизель, Скриншот, Цены, Штраф
4372

Тренажер для солевых спортсменов

4156

Пограничники Брестской крепости

Пограничники Брестской крепости Великая Отечественная война, Брест, Пограничники, Расстрел, Фашисты
Показать полностью 1
4063

Ответ на пост «Слышь, вырубай»

Ответ на пост «Слышь, вырубай» Картинка с текстом, Портативная колонка, Баловство, Ответ на пост, Длиннопост
Показать полностью 1
4048

Как сыр в масле

Как сыр в масле Картинка с текстом, Ванна, Масло, Повтор
Показать полностью 1
4045

Выдержанный мем

Выдержанный мем Картинка с текстом, Twitter, Мемы, Стоматология
Показать полностью 1
3929

Как скинуть 16 кг за месяц

3735

Шок

Шок
3382

Я громкий сосед. Но

3337

Конфликт культур

3101

Хороший стартап

Хороший стартап Стартап, Жизненно, Картинка с текстом, Грустный юмор
Показать полностью 1
3056

Лига внезапно постаревших

Лига внезапно постаревших Старость, Лига, Внезапно, Ностальгия, Текст, Длиннопост, Возраст
Лига внезапно постаревших Старость, Лига, Внезапно, Ностальгия, Текст, Длиннопост, Возраст
Лига внезапно постаревших Старость, Лига, Внезапно, Ностальгия, Текст, Длиннопост, Возраст
Лига внезапно постаревших Старость, Лига, Внезапно, Ностальгия, Текст, Длиннопост, Возраст
Показать полностью 4
2927

Ребус со звуком

Ребус со звуком Мемы, Картинка с текстом, Ребус, Шрек, Собака, Smash mouth
Показать полностью 1
2901

Никогда не надо делать пипи в бассейне

2876

Устранение вони!

2850

Грузчики они такие

Грузчики они такие Услуги, Грузчики, Праздники, Скриншот, Twitter
Показать полностью 1
2800

Ему непонятно

Ему непонятно Скриншот, Twitter
2775

Как настоящая

Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: