Kas ir sociālā inženierija?
Sociālā inženierija ir cilvēku vājo vietu izmantošana, lai piekļūtu personiskajai informācijai un aizsargātajām sistēmām. Sociālā inženierija paļaujas uz manipulācijām ar indivīdiem, nevis uz datoru sistēmu uzlaušanu, lai iekļūtu mērķa kontā.
Izpratne par sociālo inženieriju
Piemēram, sieviete var piezvanīt upura vīrieša bankai un izlikties, ka viņa sieva pieprasa ārkārtas situāciju un pieprasa piekļuvi viņa kontam. Ja sieviete var veiksmīgi sociāli inženierizēt bankas klientu apkalpošanas pārstāvi, atsaucoties uz pārstāves empātisko tieksmi, viņai var izdoties piekļūt vīrieša kontam un spēt nozagt viņa naudu. Tāpat uzbrucējs var sazināties ar e-pasta pakalpojumu sniedzēja klientu apkalpošanas nodaļu, lai iegūtu paroles atiestatīšanu, kas uzbrucējam ļauj kontrolēt mērķa e-pasta kontu, nevis uzlauzt to.
Sociālā inženierija attiecas uz manipulācijām ar mērķi, lai viņi atsakās no galvenās informācijas. Papildus personas identitātes nozagšanai vai kredītkartes vai bankas konta apdraudēšanai, sociālo inženieriju var izmantot arī uzņēmuma komercnoslēpumu iegūšanai vai valsts drošības izmantošanai.
Potenciālajiem mērķiem ir grūti novērst sociālo inženieriju. Tiek izmantoti tādi piesardzības pasākumi kā spēcīgu paroļu lietošana un kontu divfaktoru autentifikācija, taču trešās puses, kurām ir piekļuve saviem kontiem, piemēram, bankas darbinieki, joprojām var tikt apdraudētas. Tomēr indivīdi var samazināt savu risku, izvairoties no konfidenciālas informācijas izplatīšanas, būdami piesardzīgi, daloties ar informāciju sociālajos medijos, neatkārtojot paroles, izmantojot divu faktoru autentifikāciju, izmantojot viltotas vai grūti uzminamās atbildes uz konta drošības jautājumiem un saglabājot pievērsiet uzmanību kontiem, īpaši finanšu kontiem.
Uzbrucēji sociālās inženierijas shēmās bieži izmanto pārsteidzoši vienkāršu taktiku, piemēram, lūdz cilvēkiem palīdzību. Vēl viena taktika ir izmantot katastrofas upurus, lūdzot viņus sniegt personiski identificējamu informāciju, piemēram, pirmslaulību uzvārdus, adreses, dzimšanas datumus un pazudušo vai mirušo tuvinieku sociālās apdrošināšanas numurus - informāciju, ko vēlāk var izmantot identitātes zādzībām.
Izlikšana par tehniskā atbalsta profesionāli vai piegādes personu ir vienkāršs veids, kā iegūt neatļautu piekļuvi kontam, tāpat kā acīmredzami likumīga e-pasta nosūtīšana ar ļaunprātīgu pielikumu. Šādus e-pasta ziņojumus bieži sūta uz darba e-pasta adresi, kur cilvēkiem ir mazāk ticamu aizdomu par nezināmu sūtītāju.
E-pastus var maskēt tā, it kā tie būtu cēlušies no zināma sūtītāja, kad tos faktiski sūta hakeris. Sarežģītāka taktika, kas paredzēta konkrētiem cilvēkiem, varētu ietvert izpratni par viņu interesēm un tad mērķa nosūtīšanu ar šo interesi saistītai saitei. Saitē var būt ļaunprātīgs kods, kas var nozagt personisko informāciju no viņu datoriem. Pie populārām sociālās inženierijas metodēm pieder pikšķerēšana, kaķu makšķerēšana, makšķerēšana un ēsma.
