Лекториум / Каталог / Информационная безопасность

Социальная инженерия

Курс «Информационная безопасность»

Слово «кибербезопасность» большинство связывает с защитой от хакеров, использующих технические уязвимости сетей. Но одно из самых уязвимых мест в информационной безопасности — это люди, и проникнуть в информационные системы и компанию можно, используя человеческие слабости.

Например, можно выстроить непробиваемую защиту, но если сотруднику позвонят от имени генерального директора с поддельного номера и измененным голосом, то сотрудник сделает все, что ему скажут. Поэтому среди популярных способов кражи данных пользователей особо выделяется социальная инженерия, которая представлена множеством техник и видов.

Понятие социальной инженерии

Социальная инженерия (англ. social engineering) — это совокупность правильно подобранных и применяемых на практике психологических и социологических приемов, методов и технологий, которые в итоге позволяют получить скрытый доступ к конфиденциальной информации и использовать ее.

Социальная инженерия в контексте информационной безопасности относится к психологической манипуляции людьми, которая приводит к совершению действия или разглашению конфиденциальной информации.

Целью социальной инженерии являются конфиденциальные данные, персональные данные, идентификаторы, пароли в системе для авторизации. Также хакеров интересуют ценные виды информации: коммерческая тайна, банковские транзакции и т. д. Социальная инженерия часто является одним из многих шагов в более сложной схеме мошенничества.

Техники социальной инженерии

Фишинг — вид интернет-мошенничества, который работает через электронную почту.

Вам приходит письмо, например из банка. В письме содержится ссылка, по которой надо пройти и оплатить штраф или подтвердить свои данные. Само письмо выглядит весьма правдоподобным благодаря логотипам и тону. Далее, вы вводите конфиденциальные данные (логины, пароли и т. д.), и они «утекают» к злоумышленникам.

Смишинг (англ. smishing) — это тип фишинговой атаки, при которой мошенник через СМС-сообщение убеждает жертву открыть вредоносное вложение или перейти по вредоносной ссылке.

Вишинг (англ. vishing) — это устная разновидность мошенничества, при которой злоумышленники, используя телефонную коммуникацию, под разными предлогами стимулируют людей к совершению действий якобы в их собственных интересах.

Quid pro quo («услуга за услугу») — техника социальной инженерии, при которой злоумышленник может позвонить по случайному номеру в компанию, представиться сотрудником техподдержки и расспросить, есть ли какие-либо технические проблемы (а они, скорее всего, есть). В процессе их «решения» жертва вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

Фарминг (англ. pharming) — это похожий на фишинг тип онлайн-мошенничества, когда злоумышленники создают поддельные веб-сайты и перенаправляют туда трафик легального веб-сайта, чтобы заполучить конфиденциальную информацию пользователей.

Shoulder surfing («серфинг из-за плеча», «плечевой серфинг») — основывается на невнимательности жертвы, которая уверена в своей безопасности и никак не защищает конфиденциальные данные.

Злоумышленник контактирует с жертвой в общественном месте и свободно подсматривает информацию, которая находится в открытом доступе на экранах мобильных устройств, а также при вводе пин-кода карты в банкомате.

Тэйлгейтинг (англ. tail gating) — это ситуация, когда лицо, не имеющее разрешения на доступ, незаметно следует за другим человеком, имеющим доступ в закрытую зону, и использует момент, когда уполномоченное лицо открывает дверь своим пропуском, чтобы проскользнуть внутрь.

Претекстинг — это действие, отработанное по заранее составленному сценарию. В результате цель (жертва) должна выдать определенную информацию или совершить определенное действие.

Этот вид атак обычно применяется по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований, например персонализации: выяснения имени сотрудника, занимаемой им должности и названий проектов, над которыми он работает, чтобы обеспечить его доверие.

Тайпсквоттинг — это вид кибермошенничества, когда злоумышленники регистрируют домены с именами, являющимися намеренно ошибочными названиями известных веб-сайтов. Это делается, чтобы заманить не подозревающих подвоха пользователей на альтернативные веб-сайты, обычно в злонамеренных целях.

Психологические факторы атак

OSINT

Разведка по открытым источникам (англ. Open source intelligence, OSINT) — сбор и анализ информации, полученной из разных общедоступных информационных каналов.

Особенно ценными инструментами для поиска OSINT за последние 10–15 лет стали разнообразные места публичного общения: чаты, форумы, социальные сети и мессенджеры.

Три составляющие OSINT:

Мероприятия, осуществляемые во время разведки и сбора информации
Приемы, с помощью которых будут проводиться запланированные мероприятия
Результаты, достигнутые благодаря проведению OSINT

Меры по противодействию социальной инженерии

Основной способ защиты от социальной инженерии — это обучение. Предупрежден — значит вооружен. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения. Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо получить.

Способы защиты от социальной инженерии:

Обучение основам кибербезопасности

Умение выявлять признаки социальной инженерии, избегать нежелательных ситуаций и своевременно реагировать на угрозы снижает риски стать жертвой.
Использование средств технической защиты

Применение антивирусных программ, межсетевых экранов, антишпионского ПО помогает предотвратить большую часть атак. Необходимо оптимально использовать комплексные решения и проводить регулярное тестирование сети на проникновение.
Использовать многофакторную аутентификацию везде, где это возможно

Это существенно снижает риски взлома.
Регулярно обновлять пароли и не использовать одни и те же варианты в разных местах

Менеджер паролей поможет подобрать надежные пароли, обеспечит их хранение.

Заключение

Социальная инженерия — одна из актуальных угроз информационной безопасности. Для успешного противодействия нужно использовать комплексную защиту, быть внимательным, совершенствовать знания в области кибербезопасности и уметь владеть своими эмоциями. Вовремя распознать давление помогает прием «взять паузу»: если вас застали врасплох, не реагируйте сразу, дайте мозгу переключиться на новую задачу.

В организациях в качестве одной из защитных мер используются DLP-решения для непрерывного мониторинга передачи и использования конфиденциальных данных через различные каналы коммуникаций.

Запишитесь на курс, чтобы выполнять задания и получить сертификат!

Все уроки

Вперед

Все изображения предоставлены авторами курса.

Информационная безопасность

Курс об основах защиты данных в современном мире.

Что вы получите
- 17 уроков с видео и заданиями
- Авторская подача: живая и грамотная речь
- Свободное расписание: нет дедлайнов и сроков сдачи заданий
- Все материалы доступны сразу, можно начать обучение в удобное время
- Профессиональное видео и современная графика
- Быстрая связь с техподдержкой и чат с однокурсниками
- Сертификат о прохождении курса
Зачем
- Научиться защищать свои устройства, учетные записи и данные от кибератак, мошенников и других угроз
- Разобраться в современных технологиях: узнать, как работают сети, облачные технологии и системы виртуализации, чтобы уверенно пользоваться ими в повседневной жизни
- Подготовиться к карьере в IT: получить прочную базу для старта в сфере информационной безопасности, программирования и сетевого администрирования
- Избежать ошибок в цифровом мире, научиться распознавать риски
- Повысить цифровую грамотность

Запишитесь на курс, чтобы общаться в чате, выполнять задания и получить сертификат. Это бесплатно

Записаться

Находясь на сайте, вы даете согласие на обработку файлов cookie. Это необходимо для более стабильной работы сайта