Co to jest inżynieria społeczna?
Inżynieria społeczna polega na wykorzystywaniu ludzkich słabości w celu uzyskania dostępu do danych osobowych i chronionych systemów. Inżynieria społeczna polega na manipulowaniu jednostkami, a nie na włamywaniu się do systemów komputerowych w celu penetracji konta celu.
Zrozumienie inżynierii społecznej
Na przykład kobieta może zadzwonić do banku ofiary mężczyzny i udawać, że jest jego żoną, zgłaszając się w nagłym wypadku i prosząc o dostęp do swojego konta. Jeśli kobieta może z powodzeniem inżynierować społecznie przedstawiciela działu obsługi klienta banku, odwołując się do jego empatycznej tendencji, może uzyskać dostęp do konta mężczyzny i być w stanie ukraść jego pieniądze. Podobnie osoba atakująca może skontaktować się z działem obsługi klienta dostawcy poczty e-mail, aby uzyskać reset hasła, który umożliwia atakującemu kontrolowanie konta e-mail celu, a nie włamanie się na to konto.
Inżynieria społeczna odnosi się do manipulacji celem, tak aby porzucili kluczowe informacje. Oprócz kradzieży tożsamości danej osoby lub narażenia karty kredytowej lub konta bankowego można zastosować socjotechnikę w celu uzyskania tajemnic handlowych firmy lub wykorzystania bezpieczeństwa narodowego.
Inżynierii społecznej trudno jest zapobiec potencjalnym celom. Stosowane są środki ostrożności, takie jak stosowanie silnych haseł i uwierzytelnianie dwuskładnikowe dla kont, ale konta mogą nadal być zagrożone przez osoby trzecie z dostępem do ich kont, takie jak pracownicy banków. Jednak osoby mogą zmniejszyć ryzyko, unikając podawania poufnych informacji, zachowując ostrożność podczas udostępniania informacji w mediach społecznościowych, nie powtarzając haseł, stosując uwierzytelnianie dwuskładnikowe, używając fałszywych lub trudnych do odgadnięcia odpowiedzi na pytania zabezpieczające konto i zachowując uważne rachunki, zwłaszcza finansowe.
Atakujący często stosują zaskakująco proste taktyki w programach inżynierii społecznej, takie jak proszenie ludzi o pomoc. Inną taktyką jest wykorzystywanie ofiar katastrof, prosząc je o podanie danych osobowych, takich jak nazwiska panieńskie, adresy, daty urodzenia i numery ubezpieczenia społecznego dla zaginionych lub zmarłych bliskich - informacje, które można później wykorzystać do kradzieży tożsamości.
Pozowanie jako specjalista ds. Wsparcia technicznego lub osoba dostarczająca to łatwe sposoby na uzyskanie nieautoryzowanego dostępu do konta, podobnie jak wysyłanie pozornie legalnej wiadomości e-mail ze złośliwym załącznikiem. Takie wiadomości e-mail są często wysyłane na służbowy adres e-mail, na którym ludzie są mniej podatni na nieznanego nadawcę.
Wiadomości e-mail można ukryć, aby wyglądały, jakby pochodziły od znanego nadawcy, podczas gdy są faktycznie wysyłane przez hakera. Bardziej rozbudowane taktyki skierowane do konkretnych osób mogą wymagać poznania ich zainteresowań, a następnie wysłania do celu linku związanego z tym zainteresowaniem. Łącze może zawierać złośliwy kod, który może wykraść dane osobowe z ich komputerów. Popularne techniki socjotechniczne obejmują phishing, połów kotów, tailgating i przynęty.
