Sociální inženýrství je umění manipulovat s lidmi tak, aby se vzdali důvěrných informací. Typy informací, které tito zločinci hledají, se mohou lišit, ale pokud jsou zaměřeni na jednotlivce, zločinci se vás obvykle pokoušejí přimět, abyste jim poskytli svá hesla nebo bankovní údaje, nebo přistupovat k počítači a tajně instalovat škodlivý software – který jim umožní přístup k vašim hesla a bankovní informace a také jim dává kontrolu nad vaším počítačem.

Zločinci používají taktiku sociálního inženýrství, protože je obvykle snazší využít své přirozené sklony k důvěře než objevit způsoby, jak hacknout váš software. Například je mnohem jednodušší někoho oklamat, aby vám poskytl své heslo, než je to v případě, že se pokusíte hacknout jeho heslo (pokud heslo není opravdu slabé).

Phishing se vyvinul. Naučte se v této příručce 11 způsobů, jakými hackeři loví vaše data a jak se chránit.

Zabezpečení je především o tom, komu a komu důvěřovat. Je důležité vědět, kdy a kdy nebrat osobu za slovo a kdy osoba, se kterou komunikujete, je tím, kým tvrdí, že je. Totéž platí o online interakcích a používání webových stránek: kdy věříte, že web, který používáte, je legitimní nebo je bezpečné poskytnout vaše informace?

Zeptejte se jakéhokoli bezpečnostního profesionála a řekne vám, že nejslabší článkem v řetězci zabezpečení je člověk, který přijímá osobu nebo scénář v nominální hodnotě. Nezáleží na tom, kolik zámků a závor je na vašich dveřích a oknech, nebo jestli mají hlídací psy, poplašné systémy, světlomety, ploty s ostnatým drátem a ozbrojený bezpečnostní personál; Pokud důvěřujete člověku u brány, který říká, že je doručovatelem pizzy, a pustíte ho dovnitř, aniž byste nejprve zkontrolovali, zda je legitimní, jste zcela vystaveni jakémukoli riziku, které představuje.

Co dělá Vypadá to, že vypadá útok sociálního inženýrství?

E-mail od přítele

Pokud se zločinci podaří hacknout nebo sociálně připravit e-mailové heslo jedné osoby, má přístup k seznamu kontaktů této osoby – a protože většina lidí všude používají jedno heslo, pravděpodobně mají přístup také ke kontaktům na sociálních sítích této osoby.

Jakmile má zločinec tento e-mailový účet pod kontrolou, posílá e-maily všem kontaktům dané osoby nebo zanechává zprávy na všech jejích sociální stránky přátel a případně na stránkách přátel tohoto člověka.

S využitím vaší důvěry a zvědavosti tyto zprávy:

• Obsahují odkaz že se musíte jen podívat – a protože odkaz pochází od přítele a vy jste zvědaví, budete mu věřit propojte a klikněte – a nakažte se malwarem, aby zločinec mohl převzít kontrolu nad vaším počítačem a shromáždit vaše kontaktní informace a oklamat je stejně, jako jste byli oklamáni.

• Obsahují stahování obrázků, hudba, film, dokument atd., který má zabudovaný škodlivý software. Pokud si stáhnete – což pravděpodobně uděláte, protože si myslíte, že je to od vašeho přítele – nakazíte se. Zločinec má nyní přístup k vašemu stroji, e-mailovému účtu, účtům sociálních sítí a kontaktům a útok se šíří na všechny, které znáte. A dál a dál.

E-mail z jiného důvěryhodného zdroje

Phishingové útoky jsou podmnožinou strategie sociálního inženýrství, která napodobuje důvěryhodný zdroj a vymýšlí zdánlivě logický scénář pro předání přihlašovacích údajů nebo jiných citlivých osobních údajů. Podle údajů Webroot představují finanční instituce drtivou většinu zosobněných společností a podle výroční zprávy společnosti Verizon Data Breach Investigations Report jsou útoky sociálního inženýrství včetně phishingu a zámínek (viz níže) odpovědné za 93% úspěšných porušení údajů.

Pomocí přesvědčivého příběhu nebo záminky mohou tyto zprávy:

• Naléhavě požádat o pomoc. Váš „přítel“ uvízl v zemi X, byl okraden, zbit , a je v nemocnici. Potřebují, abyste poslali peníze, aby se mohli dostat domů, a řekli vám, jak poslat peníze zločinci.

• Pokusy o phishing s legitimně vypadající pozadí. Phisher obvykle zasílá e-maily, rychlé zprávy, komentáře nebo textové zprávy, které zřejmě pocházejí od legitimní, populární společnosti, banky, školy nebo instituce.

• Požádejte vás, abyste darovali jejich charitativní sbírce nebo z nějakého jiného důvodu. Pravděpodobně s pokyny, jak poslat peníze zločinci. Dharness a velkorysost, tito phisherové žádají o pomoc nebo podporu pro jakoukoli katastrofu, politickou kampaň nebo charitu, která je na okamžik nejdůležitější.

• Představte problém, který vyžaduje, abyste “ ověřte své údaje kliknutím na zobrazený odkaz a poskytnutím informací v jejich podobě.Umístění odkazu může vypadat velmi legitimně se všemi správnými logy a obsahem (zločinci mohli ve skutečnosti zkopírovat přesný formát a obsah legitimního webu). Protože vše vypadá legitimně, důvěřujete e-mailu a falešným stránkám a poskytujete jakékoli informace, které podvodník požaduje. Tyto typy phishingových podvodů často obsahují varování o tom, co se stane, pokud nebudete brzy jednat, protože zločinci vědí, že pokud vás přimějí jednat dříve, než si myslíte, je větší pravděpodobnost, že se pokusíte o phishing.

• Upozorní vás, že jste „vítězem“. Možná e-mail tvrdí, že pochází z loterie nebo mrtvého příbuzného, nebo miliontého člověka, který klikne na jeho web atd. abyste mohli získat své „výhry“, musíte poskytnout informace o směrování své banky, aby věděli, jak vám je poslat, nebo uvést svou adresu a telefonní číslo, aby mohli zaslat cenu, a také vás může požádat, abyste prokázali, kdo jste často včetně vašeho čísla sociálního zabezpečení. Jedná se o „chamtivé phishingy“, kde i když je příběhová záminka hubená, lidé chtějí, co se nabízí, a upadnou do toho tím, že rozdají své informace, poté vyprázdní svůj bankovní účet a ukradnou identitu.

• Představujte se jako šéf nebo spolupracovník. Může požádat o aktualizaci důležitého proprietárního projektu, na kterém vaše společnost aktuálně pracuje, o informace o platbě týkající se kreditní karty společnosti nebo nějaký jiný dotaz maskující se jako každodenní záležitost.

Scénáře vnadění

Tato schémata sociálního inženýrství vědí, že pokud zamotáte něco, co lidé chtějí, mnoho lidí si vezme návnadu. Tato schémata se často nacházejí na webech Peer-to-Peer nabízejících stažení něčeho jako nový film nebo hudba. Schémata se ale také vyskytují na sociálních sítích, škodlivých webech, které najdete ve výsledcích vyhledávání atd.

Nebo se schéma může ukázat jako neuvěřitelně mnoho na klasifikovaných webech, aukčních webech atd. .. Chcete-li zmírnit své podezření, můžete vidět, že prodejce má dobré hodnocení (vše předem naplánované a vytvořené).

Lidé, kteří si vezmou návnadu, mohou být nakaženi škodlivým softwarem, který může generovat libovolný počet noví zneužití proti sobě a svým kontaktům, mohou přijít o peníze, aniž by obdrželi zakoupený předmět, a pokud by byli natolik hloupí, aby zaplatili šekem, mohou najít svůj bankovní účet prázdný.

Odpověď na vaši otázku nikdy neměli

Zločinci mohou předstírat, že odpovídají na vaši „žádost o pomoc“ od společnosti a zároveň nabízejí další pomoc. Vybírají společnosti, které používají miliony lidí, jako je softwarová společnost nebo banka. Pokud produkt nebo službu nepoužíváte, budete e-mail, telefonní hovor nebo zprávu ignorovat, ale pokud službu náhodou použijete, existuje velká šance, že odpovíte, protože pravděpodobně potřebujete pomoc s problémem .

Například i když víte, že jste původně nepoložili otázku, pravděpodobně se jedná o problém s operačním systémem vašeho počítače a této příležitosti využijete k vyřešení. Zdarma! V okamžiku, kdy odpovíte, jste si koupili podvodníka, dali jste mu jeho důvěru a otevřeli se pro vykořisťování.

Zástupce, který je ve skutečnosti zločincem, vás bude muset „ověřit“, abyste se mohli přihlásit „jejich systém“ nebo se přihlaste do svého počítače a buď jim poskytněte vzdálený přístup k vašemu počítači, aby jej mohli „opravit“ za vás, nebo vám řeknou příkazy, abyste jej mohli opravit sami – kde jsou některé z příkazy, které vám řeknou, otevřou zločince cestu zpět do vašeho počítače později.

Vytváření nedůvěry

Některé sociální inženýrství se zaměřují na vytváření nedůvěry nebo zahájení konfliktů ; často je provádějí lidé, které znáte a kteří se na vás zlobí, ale také to dělají oškliví lidé, kteří se snaží způsobit zmatek, lidé, kteří chtějí ve vaší mysli nejprve vytvořit nedůvěru k ostatním, aby mohli zakročit jako hrdinou a získat si svou důvěru, nebo vyděrači, kteří chtějí manipulovat s informacemi a poté vám hrozí zveřejněním.

Tato forma sociálního inženýrství často začíná získáním přístupu k e-mailovému účtu nebo jinému komunikačnímu účtu na IM klientovi , sociální síť, chat, fórum atd. Dosahují toho hackováním, sociálním inženýrstvím nebo jednoduše hádáním opravdu slabých hesel.

• Škodlivý člověk může poté změnit citlivou nebo soukromou komunikaci (včetně obrázků a zvuku) pomocí základních technik úprav a předává je dalším lidem, aby vytvořili drama, nedůvěru, rozpaky atd. Mohou vypadat, jako by byl omylem odeslán, nebo vypadat, jako by vám dali vědět, co je „skutečně“ pokračovat.

• A Alternativně mohou použít změněný materiál k vymáhání peněz od osoby, kterou hackli, nebo od předpokládaného příjemce.

Existují doslova tisíce variací útoků na sociální inženýrství.Jediným omezením počtu způsobů, jak mohou pomocí tohoto druhu vykořisťování uživatelů sociálně vytvářet uživatele, je představivost zločince. A v jednom útoku můžete zažít více forem zneužití. Zločinec pak pravděpodobně prodá vaše informace ostatním, aby i oni mohli využít své zneužití proti vám, vašim přátelům, přátelům vašich přátel atd., Protože zločinci využívají ztracenou důvěru lidí.

Nestávejte se oběť

Zatímco phishingové útoky jsou na denním pořádku, krátkodobé a k úspěšné kampani potřebují jen několik uživatelů, existují způsoby, jak se chránit. Většina z nich nevyžaduje mnohem víc než pouhou pozornost věnovanou detailům, které máte před sebou. Mějte na paměti následující, abyste se vyhnuli phishingu sami.

Tipy k zapamatování:

• Zpomalte. Spammeři chtějí, abyste jednali jako první a mysleli později. Pokud zpráva vyjadřuje pocit naléhavosti nebo používá taktiku prodeje pod vysokým tlakem, buďte skeptičtí; nikdy nenechte jejich naléhavost ovlivnit vaši pečlivou kontrolu.

• Zkoumejte fakta. Buďte podezřelí z jakýchkoli nevyžádaných zpráv. Pokud e-mail vypadá, že pochází od společnosti, kterou používáte, proveďte svůj vlastní průzkum. Pomocí vyhledávače přejděte na web skutečné společnosti nebo telefonní seznam pro vyhledání jejich telefonního čísla.

• Nenechte odkaz mít kontrolu nad tím, kde přistanete. Mějte to pod kontrolou tím, že web sami vyhledáte pomocí vyhledávače ujistěte se, že přistanete tam, kde máte v úmyslu přistát. Když umístíte kurzor na odkazy v e-mailu, zobrazí se v dolní části skutečná adresa URL, ale dobrý falešný údaj vás může i nadále vyvést z omylu.

• Únos e-mailu je na denním pořádku. Hack Šíření spammerů a sociální inženýři, kteří převzali kontrolu nad e-mailovými účty lidí (a dalších komunikačních účtů), se staly nekontrolovatelnými. Jakmile ovládnou e-mailový účet, spoléhají na důvěru kontaktů dané osoby. I když se zdá, že odesílatel je někdo, koho znáte, pokud nečekáte e-mail s odkazem nebo přílohou, před otevřením odkazů nebo stažením se poraďte se svým přítelem.

• Dejte si pozor jakékoli stahování. Pokud odesílatele osobně neznáte A ČEKÁTE od něj soubor, stahování čehokoli je chybou.

• Zahraniční nabídky jsou falešné. Pokud obdržíte e-mail od zahraniční loterie nebo loterie, peníze od neznámého příbuzného nebo žádosti o převod finančních prostředků z cizí země za část peněz, je zaručeno, že jde o podvod.

Způsoby, jak se chránit:

• Smažte jakýkoli požadavek na finanční informace nebo hesla. Pokud budete požádáni o odpověď na zprávu s osobními údaji, jedná se o podvod.

• Odmítněte žádosti o pomoc nebo nabídky pomoci. Legitimní společnosti a organizace vás nekontaktují, aby vám poskytly pomoc. Pokud jste konkrétně nepožádali o pomoc odesílatele, zvažte jakoukoli nabídku „pomoci“ obnovit kreditní skóre, refinancovat dům, odpovědět na vaši otázku atd., Podvod. Podobně, pokud obdržíte žádost o pomoc od charity nebo organizace, se kterou nemáte žádný vztah, odstraňte ji. Chcete-li dát, vyhledejte sami renomované charitativní organizace, abyste se vyhnuli podvodu.

• Nastavte filtry spamu na vysokou úroveň. Každý e-mailový program má filtry nevyžádané pošty. Chcete-li najít své, podívejte se na možnosti nastavení a nastavte je na vysokou – nezapomeňte pravidelně kontrolovat složku se spamem, abyste zjistili, zda tam náhodou nebyl zachycen legitimní e-mail. Můžete také vyhledat podrobného průvodce nastavením filtrů nevyžádané pošty vyhledáním jména poskytovatele e-mailu a fráze „filtry nevyžádané pošty“.

• Zabezpečte své výpočetní zařízení. Nainstalujte si antivirový software, brány firewall, e-mailové filtry a udržujte je aktuální. Nastavte operační systém tak, aby se automaticky aktualizoval. Pokud se váš smartphone neaktualizuje automaticky, aktualizujte jej ručně, kdykoli k tomu obdržíte oznámení. K upozornění na rizika použijte nástroj proti phishingu, který nabízí váš webový prohlížeč nebo třetí strana.

Databáze hrozeb společnosti Webroot má více než 600 milionů domén a 27 miliard adres URL. kategorizován tak, aby chránil uživatele před webovými hrozbami. Informace o hrozbách podporující všechny naše produkty vám pomáhají bezpečně používat web a naše mobilní bezpečnostní řešení nabízejí bezpečné procházení webu, aby se zabránilo úspěšným phishingovým útokům.