Социальная инженерия
Социальная инженерия – метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Цель социальной инженерии – получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищённым системам.
Претекстинг – это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т. п. Сначала злоумышленник собирает некоторую информацию о жертве (имя сотрудника; должность; название проектов, с которыми он работает; дату рождения), потом использует реальные запросы с именем сотрудников компании и, после того как войдет в доверие, получает необходимую ему информацию.
Фишинг – интернет-мошенничество, направленное на получение конфиденциальной информации пользователей, например, авторедукционных данных различных систем. Фишинговая атака – это поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме могут содержаться сведения о дополнительных элементах безопасности и форма для ввода персональных данных (пин-кодов, логина и пароля и т. п.) или ссылка на web-страницу, где располагается такая форма.
Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее. Троянский конь – эта техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится, например, «обновление» антивируса, компромат на сотрудника, или видео с вечеринки. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.
Кви про кво (услуга за услугу) – данная технология предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении возможных технических неполадок в рабочие время и возможные варианты их устранения. В разговоре злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.
На носителе делают вызывающую интерес у сотрудников надпись (например, премия к новому году, заработная плата руководителей или отчет для налоговой инспекции и т. п.). Интерес прочтения такой информации заставляет забыть об осторожности.
Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте со злоумышленником, а в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.
