- Регистрация
- 30.12.20
- Сообщения
- 1,927
- Онлайн
- 60д 14ч 37м
- Сделки
- 0
- Нарушения
- 0 / 1
Лучшие антивирусные программы, самые эффективные межсетевые экраны, самые эффективные шпионские алгоритмы - абсолютно ничто не дает таких впечатляющих результатов в области взлома, как социальная инженерия. Анализируя самые громкие утечки данных или другие типы сетевых вторжений, вы повсюду обнаружите, что в основе их эффективности лежит не взлом системы, а человека. Что мы знаем о социальной инженерии и почему это самая слабая функция безопасности вашего компьютера?
Самое короткое и краткое определение социальной инженерии - это метод взлома, который включает в себя использование слабых знаний жертвы о безопасности и попытку извлечь необходимую информацию, чтобы получить конфиденциальные данные.
Самый простой пример взлома, основанный на социальной инженерии, - это отправка электронного письма, которое выглядит как сообщение от доверенного учреждения (например, банка или почтового отделения). Сообщение содержит контент, целью которого является убедить жертву предоставить, например, логин и пароль к своей учетной записи.
Жертвами таких атак становятся люди, которые в данном конкретном случае не проверяют, является ли данное сообщение «спамом» или не имеют антивирусной программы, которая проверяла бы электронную почту на наличие вирусов.
Социальная инженерия - не только офлайн
Но работает ли социальная инженерия только в мире компьютеров? Нет. Как только вы научились говорить и вы узнали немного о человеческой природе, вы уже начали применять методы социальной инженерии. Абсолютными мастерами в этой области являются трейдеры и телемаркетологи, основная задача которых - добраться до лица, принимающего решение, и продать ему продукт.
Как это выглядит?
Сначала трейдер ищет данные человека, который возможно имеет необходимость в покупке его продукта. Затем он звонит по доступному номеру и чаще всего сталкивается с первым межсетевым экраном - секретарем или помощником.
Первый шаг в социальной инженерии - попросить вас связаться с лицом, принимающим решения. В чем подвох? Трейдер, который просит о контакте с «ЛПР», заранее рассматривается как незнакомец и часто бывает культурно послан.
Однако, если она сразу же называет имя и фамилию лица, принимающего решение, его часто связывают, потому что секретарь предполагает, что если она точно знает имя и фамилию данного человека, это означает, что они знают друг друга и она обязана связать его с ним.
А теперь подумайте, сколько у вас было подобных ситуаций, когда с помощью такой невинной уловки вы пытались «взломать» что-то или кого-то?
Возвращаясь к Интернет-пространству, социальная инженерия фокусируется в первую очередь на скромных знаниях людей о методах защиты и методах вторжений. Даже самые сложные антивирусные программы будут совершенно бесполезны, если, например, вы используете слабый пароль или, что еще хуже, один и тот же пароль для всех своих учетных записей. Точно так же расширенные брандмауэры, особенно используемые в крупных корпорациях, будут бесполезны, если сотрудники открывают подозрительные электронные письма или посещают сайты, на которых нет ссылки https: //.
Человек проще системы
Любой хакер или инженер по сетевой безопасности скажет вам, что взломать человека намного проще, чем систему. Лучший пример - утечка данных Apple. Главное было то, что жертвы задавали вопросы, на которые можно было получить ответ, приложив небольшие усилия, например, какой марки ваша машина? В этом случае хакер вводил названия брендов, пока, наконец, не угадывал. И готово.
Самое короткое и краткое определение социальной инженерии - это метод взлома, который включает в себя использование слабых знаний жертвы о безопасности и попытку извлечь необходимую информацию, чтобы получить конфиденциальные данные.
Самый простой пример взлома, основанный на социальной инженерии, - это отправка электронного письма, которое выглядит как сообщение от доверенного учреждения (например, банка или почтового отделения). Сообщение содержит контент, целью которого является убедить жертву предоставить, например, логин и пароль к своей учетной записи.
Жертвами таких атак становятся люди, которые в данном конкретном случае не проверяют, является ли данное сообщение «спамом» или не имеют антивирусной программы, которая проверяла бы электронную почту на наличие вирусов.
Социальная инженерия - не только офлайн
Но работает ли социальная инженерия только в мире компьютеров? Нет. Как только вы научились говорить и вы узнали немного о человеческой природе, вы уже начали применять методы социальной инженерии. Абсолютными мастерами в этой области являются трейдеры и телемаркетологи, основная задача которых - добраться до лица, принимающего решение, и продать ему продукт.
Как это выглядит?
Сначала трейдер ищет данные человека, который возможно имеет необходимость в покупке его продукта. Затем он звонит по доступному номеру и чаще всего сталкивается с первым межсетевым экраном - секретарем или помощником.
Первый шаг в социальной инженерии - попросить вас связаться с лицом, принимающим решения. В чем подвох? Трейдер, который просит о контакте с «ЛПР», заранее рассматривается как незнакомец и часто бывает культурно послан.
Однако, если она сразу же называет имя и фамилию лица, принимающего решение, его часто связывают, потому что секретарь предполагает, что если она точно знает имя и фамилию данного человека, это означает, что они знают друг друга и она обязана связать его с ним.
А теперь подумайте, сколько у вас было подобных ситуаций, когда с помощью такой невинной уловки вы пытались «взломать» что-то или кого-то?
Возвращаясь к Интернет-пространству, социальная инженерия фокусируется в первую очередь на скромных знаниях людей о методах защиты и методах вторжений. Даже самые сложные антивирусные программы будут совершенно бесполезны, если, например, вы используете слабый пароль или, что еще хуже, один и тот же пароль для всех своих учетных записей. Точно так же расширенные брандмауэры, особенно используемые в крупных корпорациях, будут бесполезны, если сотрудники открывают подозрительные электронные письма или посещают сайты, на которых нет ссылки https: //.
Человек проще системы
Любой хакер или инженер по сетевой безопасности скажет вам, что взломать человека намного проще, чем систему. Лучший пример - утечка данных Apple. Главное было то, что жертвы задавали вопросы, на которые можно было получить ответ, приложив небольшие усилия, например, какой марки ваша машина? В этом случае хакер вводил названия брендов, пока, наконец, не угадывал. И готово.
