Mi az a social engineering

Előző

Sziasztok kedves barátaim! A biztonságról régóta nem esett szó Önnel, pontosabban azokról az adatokról, amelyeket nem csak a számítógépe, hanem a barátai, kollégái is tárolnak. Ma egy olyan fogalomról fogok beszélni, mint a social engineering. Megtanulja, mi az a social engineering, és hogyan védheti meg magát.

social

A társadalmi manipuláció az információs rendszerekhez való jogosulatlan hozzáférés módszere, amely az emberi pszichológiai viselkedés sajátosságain alapult.Bármely közvetlen vagy közvetett értelemben vett hacker érdekelt abban, hogy védett információkhoz, jelszavakhoz, bankkártyákhoz hozzáférjen. adatok stb. p.

A módszer fő különbsége, hogy a támadás célpontja nem a gép, hanem annak felhasználója. A social engineering módszerek az emberi tényező felhasználásán alapulnak. A támadó egy telefonbeszélgetés során vagy egy irodába való belépéssel szerzi meg a szükséges információkat egy alkalmazott álcája alatt.

Az Pretextingegy bizonyos előre elkészített forgatókönyvnek megfelelő műveletek halmaza (ürügy). Az információ fogadásához ebben a technikában hangeszközöket (telefon, Skype) használnak. Harmadik személynek kiadva magát, és úgy tesz, mintha segítségre lenne szüksége, a csaló kényszeríti a beszélgetőpartnert, hogy adjon meg egy jelszót, vagy regisztráljon egy adathalász weboldalon, és ezáltal megszerezze a szükséges információkat.

Képzeljük el a helyzetet. Körülbelül hat hónapja dolgozik egy nagy szervezetben. Olyan személy hív, aki bemutatkozik, mint alkalmazott valamelyik fiókból. "Jó napot, az Ön neve vagy beosztása, nem tudjuk bevinni azt a levelet, amely a cégünkben a jelentkezések fogadására szolgál. Nemrég kaptunk egy kérelmet városunktól, és a főnök egyszerűen megöl egy ilyen hibáért, mondd meg a jelszót a levélből.

Persze, ha most olvassa a kérését, úgy tűnikKicsit butaság olyan embernek adni a jelszavát, akiről még soha nem hallott. De mivel az emberek szeretnek apróságokon segíteni, (nem nehéz neked egy jelszóból 8-16 karaktert kimondani?) itt mindenki elakadhat.

adathalász

Az adathalászat(adathalászat) egyfajta internetes csalás, amelynek célja a bejelentkezési adatok és jelszavak megszerzése. Az adathalászat legnépszerűbb típusa az, ha hivatalos levél formájában e-mailt küldenek az áldozatnak, például egy fizetési rendszertől vagy banktól. A levél általában tájékoztat az adatok elvesztéséről, a rendszer meghibásodásairól, és tartalmaz egy hivatkozást követő bizalmas információk megadására vonatkozó kérést.

A link átirányítja az áldozatot egy adathalász oldalra, amely pontosan úgy néz ki, mint a hivatalos webhely oldala. Egy képzetlen személy nehezen ismeri fel az adathalász támadást, de nagyon is lehetséges. Az ilyen üzenetek általában fenyegetésekről (például bankszámla bezárásáról) szóló információkat tartalmaznak, vagy éppen ellenkezőleg, pénznyeremény ígéretét ajándékként, segítségkérés egy jótékonysági szervezet nevében. Az adathalász üzenetek a címről is felismerhetők.

A legnépszerűbb adathalász támadások közé tartozik egy jól ismert cég márkáját használó csalás. Egy ismert cég nevében e-maileket küldenek ki, amelyekben gratulációkat (például) egy bizonyos ünnephez és a versennyel kapcsolatos információkat tartalmaznak. A versenyen való részvételhez sürgősen módosítania kell fiókadatait.

Elmesélem a személyes tapasztalatomat. Ne dobj rám köveket? . Nagyon régen érdekelt a…… Igen, igen, az adathalászat. Akkoriban nagyon divat volt az Én világomban ülni, és ezt kihasználtam. Egyszer láttam egy ajánlatot a mail.ru-tól egy "arany ügynök" telepítésére pénzért. Amikor azt mondják, halom, azt gondolod, de amikorazt mondják, hogy nyertek, az emberek azonnal elmennek.

Nem emlékszem mindenre pontosan, de valami ilyesmi volt.

Üzenetet írt: „Szia, NÉV! A Myl.RU csapata örömmel gratulál Önnek, Ön "arany ügynököt" nyert. Minden 1000. felhasználónk ingyen kapja meg. Az aktiváláshoz fel kell lépnie az oldalára, és aktiválnia kell a Beállításokban - bla bla bla."

Nos, hogy tetszik az ajánlat? Kedves olvasók, szeretnétek arany Skype-ot? Nem árulok el minden technikai részletet, hiszen vannak fiatalok, akik csak a részletes instrukciókra várnak. De meg kell jegyezni, hogy a "My World" felhasználók 30%-a váltott és megadta bejelentkezési nevét és jelszavát. Ezeket a jelszavakat töröltem, mivel ez csak egy kísérlet volt.

Smishing. Manapság a mobiltelefonok nagyon népszerűek, és még egy iskolás fiúnak is, aki egy asztalnál ül a fiával vagy lányával, nem okoz nehézséget kideríteni a számot. A csaló, miután megtanulta a számot, küld egy adathalász linket, ahol megkéri, hogy lépjen be, hogy aktiválja a bónuszpénzt a kártyáján. Ahol természetesen vannak mezők a személyes adatok megadására. Azt is kérhetik, hogy küldjön SMS-t a kártyaadataival.

Úgy tűnik, ez egy normális helyzet, de egy trükk a sarkon van.

tovább mentünk...

Qui pro quo ("szolgáltatás egy szolgáltatásért") - egyfajta támadás, amelynek során csaló hív, például egy technikai támogató személy. A támadó, miközben a lehetséges technikai problémákról kérdezi az alkalmazottat, olyan parancsok megadására kényszeríti, amelyek lehetővé teszik számára rosszindulatú szoftverek futtatását. Amely nyílt forrásokra helyezhető: közösségi hálózatok, vállalati szerverek stb.

Nézze meg a videót egy példaért:

Küldhetnek neked egy fájlt (vírust) postára, majd felhívnak, hogy sürgős dokumentum érkezett és meg kell nézned. Nyítása levélhez csatolt fájlt, a felhasználó maga telepít egy rosszindulatú programot a számítógépére, amely hozzáférést tesz lehetővé bizalmas adatokhoz.

Védje magát és adatait. Hamarosan találkozunk!

P.S.: Valós esetekre van szükséged? Nézzük meg a videót:

Következő

Olvassa el tovabba: