Март 13th, 2025 
raven000 Социальная инженерия (social engineering) или «атака на человека» — это совокупность психических и социологических способов, способов и технологий, которые дают возможность получить секретную информацию.
Кибермошенников, использующие эти способы на деле, называют социальными инженерами. Стараясь отыскать доступ к системе или дорогим данным, они используют самое ранимое звено — человека.
Самый простой пример — мобильный звонок, где мошенник выдает себя за кого-то иного, стараясь узнать у клиента секретную информацию, играя на ощущениях человека, дурача или шантажируя его.
Пока, очень многие люди продолжают клеватьна такие удочки и наивно говорят социальным взломщикам все, что им надо. А в запасе жуликов много техник и способов. О них мы поведаем немного позднее.
В настоящее время социальная инженерия получила крепкую связь с киберпреступностью, а действительно это понятие вышло достаточно давно и первоначально не имело выраженного отрицательного цвета.
Люди применяли социальную инженерию со стародавних времен. К примеру, в Старом Париже и Древней Греции крайне ценили специально приготовленных ораторов, способных убедить собеседника в его «неправоте». Эти люди принимали участие в ловких переговорах и работали на добро собственного государства.
Спустя очень много лет, к началу 1970-х годов стали возникать телефонные хулиганы, нарушавшие покой жителей просто для шуточки.
А кто-то додумался, что так можно довольно просто получать значительную информацию. И теперь к концу 70-х прежние телефонные хулиганы преобразовались в профессиональных социальных инженеров (их стали представлять синжерами), способных образцово жонглировать людьми, по одной только интонации устанавливая их комплексы и ужасы.
Когда же возникли ПК, абсолютное большинство инженеров поменяло профиль, став социальными взломщиками, а понятия «социальная инженерия» и «социальные хакеры» стали синонимичны.
Картинку того, на что способен опытный социальный инженер можно отыскать в кинематографе. Вероятно, вы наблюдали кинофильм «Поймай меня, если сможешь», сформированный на настоящих мероприятиях — на истории знаменитого жулика Фрэнка Уильяма Абигнейла-младшего.
За 5 лет противозаконной деятельности его подставные чеки на совместную сумму 2,5 млн долларов США были в послании 26 стран мира. Прячась от уголовного погони, Абигнейл показал поразительные возможности в перевоплощении, выдавая себя за пилота авиалиний, доктора социологии, врача и адвоката.
Время от времени довольно легко просить. Пример — воровство у компании The Ubiquiti Networks 40 млн долларов США в 2015 году.
Никто не открывал ОС и не воровал данные — правила безопасности преступили сами работники. Мошенники доставили электронное послание от имени топ-менеджера компании и просили, чтобы финансисты переместили огромную сумму денежных средств на обозначенный кредитный счет.
В 2007 году одна из наиболее дорогостоящих систем безопасности во всем мире была взломана — без насилия, без оружия, без электронных устройств.
Мошенник просто взял из бельгийского банка ABN AMRO бриллианты на 28 млн долларов США благодаря собственному очарованию.
Злоумышленник Карлос Гектор Фломенбаум, человек с аргентинским документом, похищенным в Израиле, достиг доверие служащих банка еще в течение года до конфликта.
Он вручал себя за предпринимателя, делал подарки, короче говоря — строил коммуникацию. Когда-нибудь работники дали ему доступ к тайному хранилищу дорогих камней, уцененных в 120 000 каратов.
А знали как В. Люстиг не просто наполнил США липовыми купюрами и оставил «в дураках» Аль-Капоне, еще реализовал богатство Рима — Эйфелеву башню? Два раза, к слову. Это возможно при помощи социальной инженерии.
Все эти настоящие образцы социальной инженерии говорят о том, что она без проблем приспособится к любым критериям и к любой обстановке. Играя на собственных качествах человека или неимение профессиональных (дефицит познаний, пренебрежение инструкций и тому подобное), киберпреступники практически «взламывают» человека.
Атака на человека может изготовляться по многим сценариям, а есть несколько наиболее популярных техник работы мошенников.
Фишинг. Метод сбора пользовательских данных для авторизации — как правило это общественные рассылки мусора по e-mail.
В традиционном сценарии на почту жертвы наступает фальшивое послание от какой-нибудь знакомой организации с просьбой перейти по сноске и авторизоваться.
Чтобы вызвать больше доверия, мошенники выдумывают солидные причины для перехода по сноске: к примеру, просят жертву обновить пароль или ввести какую-то информацию (ФИО, номер мобильного телефона, банковской карты и CVV-код).
И на первый взгляд, человек все поступает так, как произнесено в корреспонденции но… он попался! Правонарушители взвесили каждый его шаг, поэтому им получается принуждать людей делать то, что они планируют.
Вирус не напрасно получил собственное наименование по механизму работы троянского коня из миксолидийского вымысла. Лишь наживкой тут становится email-сообщение, которое гарантирует мгновенную прибыль, выигрыш или иные «золотые горы» — а в итоге человек приобретает вирус, при помощи которого мошенники воруют его данные.
Почему данный тип кражи данных называют социальной инженерией? Поскольку разработчики вируса хорошо понимают, как завуалировать вредную платформу, чтобы вы наверняка кликнули по необходимой сноске,закачали и пустили документ. Заходите на сайт https://versia.ru/socialnaya-inzheneriya-pomogla-severnoj-koree-stat-bogache-na-15-mlrd если нужно будет больше информации про социальную инженерию.
Внедрение особенного ПО. Сначала программа или система работает бесперебойно, а затем происходит сбой, требующий вмешательства эксперта.
Ситуация подстроена так что, чтобы тем экспертом, к которому обратятся за поддержкой, оказался социальный взломщик. Направляя работу ПО, злоумышленник делает нужные для взлома манипуляции. Когда взлом находится, социальный инженер остается за пределами недоверия (он так как наоборот помогал вам).
Мошенники могут афишировать собственные услуги как компьютерных специалистов или иных специалистов. Жертва обращается к взломщику сама, а нарушитель закона не только лишь работает на техническом уровне, но также и вынуждает информацию через общение с собственным заказчиком.
Как защититься? Если вы не хотите стать очередной жертвой социальных инженеров, советуем сохранять следующие правила защиты:
Сохраняйте скепсис и внимательность. Всегда обращайте внимание на отправителя корреспонденций и адрес сайта, где намереваетесь ввести какие-то собственные данные. Если это почта на домене большой организации, убедитесь, что домен как раз такой и в нем нет опечаток. Если есть колебания — соединитесь с техподдержкой или представителем организации по формальным каналам.
Не работайте с значительной информацией на глазах у чужих людей. Мошенники применяют так именуемый плечевой серфинг — тип социальной инженерии, когда воровство информации происходит через плечо жертвы — подглядыванием.
Не проходите на сомнительные веб-сайты и не закачивайте маловероятные документы, так как один из лучших ассистентов социальной инженерии — внимание.
Не применяйте один пароль для доступа к внутренним и общим (рабочим) источникам.
Установите антивирус — во всех больших антивирусах есть интегрированная проверка на вредные ресурсы.
Ознакомьтесь с политикой конфиденциальности вашей компании. Все работники должны быть проинструктированы о том, как себя вести с гостями и как быть при обнаружении нелегального проникания.
Опубликовано в рубрике 
