Блог CleanTalk

Что такое социальная инженерия?

Учитывая огромное количество информации о бизнесе и людях, доступную в Интернете, неудивительно, что преступники могут использовать ее в злонамеренных целях.

Эти злоумышленники, а также конкурирующие компании и даже иностранные спецслужбы могут использовать информацию, найденную в Интернете, чтобы узнать больше о цели — например, о конкретном человеке, который может обеспечить доступ в корпоративную сеть. Этот метод сбора информации известен как разведка и используется для социальной инженерии и фишинговых атак.

Что такое социальная инженерия?

Социальная инженерия – это тонкое искусство манипулирования человеком с целью контроля и изменения действий других людей. Это метод, используемый хакерами для манипулирования людьми, чтобы они выдали конфиденциальную информацию, такую как пароли или банковские реквизиты. Эти методы эффективны, поскольку они используют естественную склонность большинства людей к доверию.

Удивительно, но гораздо легче обмануть кого-то, чтобы он выдал свой пароль, чем взломать его. Вы особенно уязвимы, если вы:
  • хотите всегда быть полезным и отзывчивым
  • избегаете конфронтации
  • любите все бесплатное
  • боитесь последствий со стороны руководства
Лучшей защитой от попыток социальной инженерии является образование.

Распространенные формы социальной инженерии:

Предлог
Злоумышленники создают сфабрикованный сценарий, чтобы обмануть своих жертв и заставить их выдать личную информацию.

"Услуга за услугу"
Хорошим примером этого типа социальной инженерии является мошенничество, когда человек, утверждающий, что он представляет поставщика ИТ-услуг (или аналогичного), звонит и спрашивает какие-либо подробности. Мошенники часто обещают быстрое решение проблемы в обмен на отключение жертвой антивирусной программы и установку на компьютер вредоносного ПО, которое принимает вид обновлений программного обеспечения.

Приманка
Преступники часто пользуются присущим людям стремлением к бесплатным вещам. Киберпреступники предложат пользователям бесплатную загрузку музыки или фильмов, если они предоставят свои учетные данные для входа на определенный сайт.

Где можно найти вашу информацию?

Несмотря на то, что существует ряд онлайн-платформ, где может быть размещена ваша информация, профили в социальных сетях, в частности, делают нас уязвимыми для враждебных действий, поскольку они раскрывают как личную, так и профессиональную информацию, которая может быть использована для планирования кибератак или, в некоторых случаях, физических атак.

Работа хакера значительно облегчается, если у него есть определенные сведения о сети и ее пользователях; Используя методы разведки в онлайн-профилях, на веб-сайтах компаний или в блогах, хакер может узнать должностные обязанности сотрудников, контактные данные и адреса. Например, обладая нужной информацией (например, корпоративным адресом электронной почты), киберпреступник может запустить целевую фишинговую кампанию для получения доступа к системе организации.

Снижение рисков социальной инженерии

Проверьте настройки конфиденциальности в социальных сетях: убедитесь, что вы правильно установили настройки безопасности — никогда не делайте свой профиль публичным — в идеале он должен быть установлен только для друзей и семьи.

Будьте осторожны с тем, чем вы делитесь

  • Никогда не делитесь конфиденциальной информацией в своих сообщениях (даже с друзьями).
  • Никогда не следует публиковать свой номер телефона, адрес или фотографии вашего места работы.
  • Убедитесь, что ваше имя пользователя не содержит никакой личной информации. Например, DenisVladivostok1981 или Иван_Москва_15061982— плохой выбор.
  • Следите за тем, что другие говорят о вас в Интернете; Друг может опубликовать некоторую личную информацию, которая может дать хакеру доступ к ней.
  • Если вы используете социальные сети для бизнес-маркетинга, ваша команда должна избегать публикации какой-либо конфиденциальной информации и внимательно следить за профилем на предмет любых признаков враждебной разведки
Настройте адрес электронной почты для определенной социальной сети
Настройте отдельную учетную запись электронной почты для регистрации и получения писем с сайта. Таким образом, если вы захотите закрыть свою учетную запись/страницу, вы сможете просто прекратить использовать эту учетную запись электронной почты.
Используйте надежный пароль
Всегда используйте надежные пароли, которые не имеют никакого отношения к содержимому ваших онлайн-профилей.
Используйте антивирус
Убедитесь, что у вас установлено актуальное антивирусное/антишпионское программное обеспечение.
Сбавьте скорость
Если электронное письмо передает ощущение срочности или использует тактику продаж с высоким давлением, всегда будьте скептичны, потому что есть вероятность, что преступник пытается обманом заставить вас выдать вашу информацию.
Будьте в курсе своего окружения
Что касается физической стороны вещей, всегда будьте в курсе своего окружения. Если вы кого-то не узнали, не впускайте его в здание, мошенники часто рассчитывают на вежливость людей (придержат двери и т. д.)
Изучите факты
Получая электронное письмо со ссылками, не нажимайте на них, так как они могут быть нелегитимными, и вам всегда следует опасаться нежелательных сообщений. Даже если письмо выглядит так, будто оно от компании, услугами которой вы пользуетесь (или пользовались), проведите собственное исследование. Например, воспользуйтесь поисковой системой, чтобы перейти на сайт компании, или телефонным справочником, чтобы найти ее номер телефона.
Удалите все запросы на финансовую информацию или пароли
Любое сообщение с просьбой предоставить личные данные является мошенничеством.

Может ли ваша организация заметить признаки фишинга?

Обучая людей угрозам, исходящим от фишинга, можно значительно снизить эту угрозу. Знание того, что выглядит подозрительно, на что не стоит нажимать, и обеспечение безопасности конфиденциальных данных может сэкономить организации огромную сумму денег в долгосрочной перспективе.

Свяжитесь с нами, чтобы начать обсуждение.
Designed by Freepik