Какво е социално инженерство?
Социалният инженеринг е актът за използване на човешките слабости за достъп до лична информация и защитени системи. Социалният инженеринг разчита на манипулиране на хора, а не на хакване на компютърни системи, за да проникне в профила на целта.
Разбиране на социалното инженерство
Например, една жена може да се обади в банката на мъжа на жертвата и да се преструва, че е жена му, която иска спешна помощ и иска достъп до неговата сметка. Ако жената успее да направи социално инженерно представител на обслужването на клиенти на банката, като апелира към емпатичната тенденция на представителя, тя може да успее да получи достъп до сметката на мъжа и да може да открадне парите му. По подобен начин, нападател може да се свърже с отдела за обслужване на клиенти на доставчик на електронна поща, за да получи нулиране на паролата, която дава възможност на атакуващия да контролира имейл акаунта на целта, а не да хаква в този акаунт.
Социалният инженеринг се отнася до манипулирането на цел, така че те да се откажат от ключова информация. В допълнение към кражба на самоличността на дадено лице или компрометиране на кредитна карта или банкова сметка, социалният инженеринг може да бъде приложен за получаване на търговски тайни на компанията или за използване на националната сигурност.
Социалният инженеринг е труден за предотвратяване на потенциални цели. Използват се предпазни мерки като използването на силни пароли и двуфакторно удостоверяване за акаунти, но въпреки това профилите могат да бъдат компрометирани от трети страни с достъп до техните акаунти, като например банкови служители. Въпреки това, хората могат да намалят риска си, като избягват да дават поверителна информация, да бъдат предпазливи при споделяне на информация в социалните медии, да не повтарят пароли, да използват двуфакторна автентификация, да използват фалшиви или трудни за гадаене отговори на въпроси за сигурност на акаунта и да запазват отблизо сметките, особено финансовите сметки.
Нападателите често използват изненадващо прости тактики в схемите за социално инженерство, като например да помолят хората за помощ. Друга тактика е да се използват жертвите на бедствия, като се изисква от тях да предоставят лично идентифицираща информация, като моминско име, адреси, дати на раждане и номера на социалното осигуряване за изчезнали или починали близки - информация, която по-късно може да се използва за кражба на самоличност.
Позицията като професионален специалист по техническа поддръжка или доставчик е лесни начини за получаване на неоторизиран достъп до акаунт, както е изпращането на очевидно легитимен имейл със злонамерен прикачен файл. Такива имейли често се изпращат на служебен имейл адрес, където хората са по-малко вероятно да подозират непознат подател.
Имейлите могат да бъдат прикрити, за да изглеждат така, сякаш са произлезли от известен подател, когато всъщност са изпратени от хакер. По-сложните тактики, насочени към конкретни хора, могат да включват изучаване на техните интереси и след това изпращане на целта връзка, свързана с този интерес. Връзката може да съдържа злонамерен код, който може да открадне лична информация от техните компютри. Популярните техники за социално инженерство включват фишинг, риболов на котки, връзване на опашки и стръв.
