7.0 KiB
| title | localeTitle |
|---|---|
| Social Engineering | Социальная инженерия |
Социальная инженерия
Социальная инженерия - это искусство получения доступа к защищенной системе или ресурсу путем использования человеческого поведения. Это связано с привлечением людей к нарушению обычных процедур безопасности. Большинство векторов атаки в значительной степени зависят от использования технических навыков, чтобы найти пробелы в системе безопасности. Социальная инженерия в значительной степени полагается на хорошее понимание человеческой психологии. Тщательное исследование цели перед атакой делает социальную инженерию мощным инструментом в руках атакующего.
Черты хорошей социальной инженерии Хакер
- Демонстрирует высокий эмоциональный интеллект
- Интуитивное понимание человеческой психологии
- Очаровательный и убедительный
- Пациент и наблюдатель
- Адепт при прогнозировании человеческого поведения, основанного на использовании человеческой потребности, должен быть полезным, любопытным, жадным и тщеславным
Некоторые примеры взлома социальной инженерии
-
Приманка: Оставьте вредоносный компьютер, зараженный USB в кафе, в надежде, что кто-то будет достаточно любопытен, чтобы подключить его и проверить. Когда пользователь подключает USB, вредоносные программы устанавливаются на их компьютере. См. «Дополнительная информация» о том, что Black Hat говорит о том, чтобы оставить зараженные USB-накопители для потенциальных целей и результатов таких атак.
-
Предлогом: говорить ложь, чтобы получить доступ к частной информации. Примером может быть выдача себя за сотрудника банка и просьба предоставить персональную информацию для подтверждения своей учетной записи. См. «Дополнительная информация» для примера предварительного текста, где социальный инженер вносит изменения в учетную запись мобильного телефона цели с очень малоизвестной информацией.
-
Фишинг. Отправка электронного письма, которое выглядит из надежного источника, чтобы приманить пользователя к щелчку ссылки (для установки вредоносного ПО) или ответа на конфиденциальную информацию. Дополнительную информацию см. В разделе «Дополнительная информация» для проверки фишинговых знаний и ознакомьтесь с различием между реальным электронным письмом и фишинговой электронной почтой.
-
Инфильтрация: олицетворяя кого-то законного, чтобы получить физический доступ к зданию / офису и т. Д., Например, к специалисту по ремонту кофеварки
Профилактика и безопасность
Поскольку для социальной инженерии требуется небольшой опыт работы с компьютером, это удобный инструмент для людей, желающих получить доступ к конфиденциальным данным.
Шаги, которые индивидуум может предпринять, чтобы защитить себя от этих атак, включают:
- Избегайте совместного использования конфиденциальных данных, если это возможно.
- Если вы должны поделиться, проверьте источник, прежде чем предоставлять им конфиденциальные данные.
- Имейте в виду случайные электронные письма или номера телефонов, утверждающие, что они друзья, родственники, коллеги, институты и т. Д.
- Имейте в виду людей в реальной жизни с запросом информации, которую они не должны обязательно требовать.
- Уничтожьте важные документы, прежде чем выбросить их.
В общем, чем больше вы знаете об этих атаках, тем лучше вы подготовлены. Будьте в курсе того, с кем вы делитесь информацией и почему.