Какво е социално инженерство и как може да се избегне това?
Зловредният софтуер не е единствената заплаха, която може да се притеснява. Социалното инженерство е огромна заплаха и може да ви удари във всяка операционна система. Всъщност, социалното инженерство може да се случи и по телефона и в лични ситуации.
Важно е да сте наясно със социалното инженерство и да сте нащрек. Програмите за сигурност няма да ви предпазят от повечето заплахи за социалното инженерство, така че трябва да се защитите.
Обяснение на социалното инженерство
Традиционните компютърни атаки често зависят от намирането на уязвимост в кода на компютъра. Например, ако използвате остаряла версия на Adobe Flash - или, не дай боже, Java, която е причината за 91% от атаките през 2013 г., според Cisco - можете да посетите злонамерен уебсайт и този уебсайт ще използва уязвимостта на софтуера, за да получи достъп до компютъра ви. Нападателят манипулира бъгове в софтуера, за да получи достъп и да събере лична информация, може би с клавиатура, която инсталират.
Трикове за социално инженерство са различни, защото вместо това включват психологическа манипулация. С други думи, те експлоатират хората, а не техния софтуер.
Вероятно вече сте чували за фишинг, който е форма на социално инженерство. Може да получите имейл, за който се твърди, че е от вашата банка, фирма за кредитни карти или друг доверен бизнес. Те могат да ви насочат към фалшив уебсайт, маскиран да изглежда като истински или да ви помоли да изтеглите и инсталирате злонамерена програма. Но такива социални инженерни трикове не трябва да включват фалшиви уебсайтове или злонамерен софтуер. Фишингът може просто да ви помоли да изпратите имейл отговор с лична информация. Вместо да се опитват да използват бъг в софтуер, те се опитват да използват нормални човешки взаимодействия. Фишингът в копието може да бъде още по-опасен, тъй като той е форма на фишинг, предназначена за насочване към конкретни лица.
Примери за социално инженерство
Един популярен трик в чат услугите и онлайн игрите е да регистрирате профил с име като „Администратор“ и да изпращате на хората страшни съобщения като „ПРЕДУПРЕЖДЕНИЕ: Установихме, че някой може да хакне профила ви, да отговори на паролата ви, за да се удостовери.“ Ако дадена цел реагира с паролата си, те са паднали за трик и нападателят вече има парола за профила си.
Ако някой има лична информация за вас, те могат да го използват, за да получат достъп до профилите ви. Например информация за дата на раждане, номер на социална осигуровка и номер на кредитна карта често се използва за идентифициране. Ако някой има тази информация, те могат да се свържат с бизнес и да се представят за вас. Този трик е бил използван от атакуващия, за да получи достъп до Yahoo! Mail акаунт през 2008 г., изпращайки достатъчно лични данни, за да получите достъп до акаунта чрез формуляра за възстановяване на паролата на Yahoo! Същият метод може да се използва и по телефона, ако имате личната информация, която фирмата изисква, за да ви удостовери. Нападател с информация за дадена цел може да се преструва, че е тях и да получи достъп до повече неща.
Социалното инженерство също може да се използва лично. Един нападател може да влезе в бизнес, да информира секретаря, че е ремонтник, нов служител или пожарен инспектор по достоверен и убедителен тон и след това да броди по залите и потенциално да открадва конфиденциални данни или да поправя бъгове за корпоративно шпионаж. Този трик зависи от това, че нападателят се представя като човек, който не е такъв. Ако секретар, портиер или който и да е друг, не зададе твърде много въпроси или не погледне прекалено внимателно, трикът ще бъде успешен.
Социално-инженерните атаки обхващат диапазона от фалшиви уебсайтове, измамни имейли и престъпни чат съобщения чак до представянето на някой по телефона или в лицето. Тези атаки идват в най-различни форми, но всички те имат едно общо нещо - зависят от психологически трикове. Социалното инженерство се нарича изкуство на психологическата манипулация. Това е един от основните начини „хакерите” да „хакнат” акаунти онлайн.
Как да избегнем социалното инженерство
Познаването на социалното инженерство може да ви помогне да се биете. Бъдете подозрителни към нежелани имейли, чат съобщения и телефонни обаждания, които изискват лична информация. Никога не разкривайте финансова информация или важна лична информация по имейл. Не изтегляйте потенциално опасни прикачени файлове в електронната поща и ги пускайте, дори ако имейл твърди, че са важни.
Също така не трябва да следите връзки в имейл до чувствителни уебсайтове. Например, не кликнете върху връзка в имейл, който изглежда е от вашата банка, и влезте в системата. Може да ви отведе до фалшив фишинг сайт, маскиран да изглежда като сайт на вашата банка, но с леко различен URL адрес. Посетете сайта директно вместо това.
Ако получите подозрително искане - например, телефонно обаждане от банката ви изисква лична информация - свържете се директно с източника на искането и поискайте потвърждение. В този пример трябва да се обадите на банката си и да попитате какво искат, а не да разкривате информацията на някой, който твърди, че е ваша банка.
Програмите за електронна поща, уеб браузърите и пакетите за сигурност обикновено имат фишинг филтри, които ще ви предупреждават, когато посетите известен фишинг сайт. Всичко, което могат да направят, е да ви предупредят, когато посещавате известен фишинг сайт или да получавате известно имейл за фишинг, и не знаят за всички фишинг сайтове или имейли. В по-голямата си част от вас зависи да се защитите - програмите за сигурност могат само да помогнат малко.
Добра идея е да се упражнява здравословно подозрение, когато се занимават с искания за лични данни и всичко друго, което може да бъде социално-инженерна атака. Подозрението и предпазливостта ще ви защитят, както онлайн, така и офлайн.
Кредит за изображението: Джеф Търнт на Flickr