--- title: Social Engineering localeTitle: Социальная инженерия --- ## Социальная инженерия Социальная инженерия - это искусство получения доступа к защищенной системе или ресурсу путем использования человеческого поведения. Это связано с привлечением людей к нарушению обычных процедур безопасности. Большинство векторов атаки в значительной степени зависят от использования технических навыков, чтобы найти пробелы в системе безопасности. Социальная инженерия в значительной степени полагается на хорошее понимание человеческой психологии. Тщательное исследование цели перед атакой делает социальную инженерию мощным инструментом в руках атакующего. #### Черты хорошей социальной инженерии Хакер * Демонстрирует высокий эмоциональный интеллект * Интуитивное понимание человеческой психологии * Очаровательный и убедительный * Пациент и наблюдатель * Адепт при прогнозировании человеческого поведения, основанного на использовании человеческой потребности, должен быть полезным, любопытным, жадным и тщеславным #### Некоторые примеры взлома социальной инженерии * Приманка: Оставьте вредоносный компьютер, зараженный USB в кафе, в надежде, что кто-то будет достаточно любопытен, чтобы подключить его и проверить. Когда пользователь подключает USB, вредоносные программы устанавливаются на их компьютере. См. «Дополнительная информация» о том, что Black Hat говорит о том, чтобы оставить зараженные USB-накопители для потенциальных целей и результатов таких атак. * Предлогом: говорить ложь, чтобы получить доступ к частной информации. Примером может быть выдача себя за сотрудника банка и просьба предоставить персональную информацию для подтверждения своей учетной записи. См. «Дополнительная информация» для примера предварительного текста, где социальный инженер вносит изменения в учетную запись мобильного телефона цели с очень малоизвестной информацией. * Фишинг. Отправка электронного письма, которое выглядит из надежного источника, чтобы приманить пользователя к щелчку ссылки (для установки вредоносного ПО) или ответа на конфиденциальную информацию. Дополнительную информацию см. В разделе «Дополнительная информация» для проверки фишинговых знаний и ознакомьтесь с различием между реальным электронным письмом и фишинговой электронной почтой. * Инфильтрация: олицетворяя кого-то законного, чтобы получить физический доступ к зданию / офису и т. Д., Например, к специалисту по ремонту кофеварки #### Профилактика и безопасность Поскольку для социальной инженерии требуется небольшой опыт работы с компьютером, это удобный инструмент для людей, желающих получить доступ к конфиденциальным данным. Шаги, которые индивидуум может предпринять, чтобы защитить себя от этих атак, включают: * Избегайте совместного использования конфиденциальных данных, если это возможно. * Если вы должны поделиться, проверьте источник, прежде чем предоставлять им конфиденциальные данные. * Имейте в виду случайные электронные письма или номера телефонов, утверждающие, что они друзья, родственники, коллеги, институты и т. Д. * Имейте в виду людей в реальной жизни с запросом информации, которую они не должны обязательно требовать. * Уничтожьте важные документы, прежде чем выбросить их. В общем, чем больше вы знаете об этих атаках, тем лучше вы подготовлены. Будьте в курсе того, с кем вы делитесь информацией и почему. #### Дополнительная информация: * [Что такое социальная инженерия?](https://www.webroot.com/us/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering) * [Защитите себя от нападений со стороны социальной инженерии](http://www.makeuseof.com/tag/protect-8-social-engineering-attacks/) * [7 лучших социальных разработок](https://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411?) * [Взлом людей: методы социальной инженерии и способы защиты от них](https://www.youtube.com/watch?v=YVqurfWzB-Q) * [Устраняет ли падение USB-накопители в парках и других местах?](https://www.youtube.com/watch?v=XJCQBqTmGUU) * [Пример предлога](https://www.youtube.com/watch?v=lc7scxvKQOo) * [Проверьте свой фишинг IQ](https://www.sonicwall.com/en-us/phishing-iq-test)