Inżynieria społeczna to sztuka manipulowania ludźmi w celu ujawnienia poufnych informacji. Typy informacji, których szukają ci przestępcy, mogą się różnić, ale gdy celem są osoby, przestępcy zwykle próbują nakłonić cię do podania im haseł lub informacji bankowych lub uzyskania dostępu do twojego komputera, aby potajemnie zainstalować złośliwe oprogramowanie – które da im dostęp do hasła i informacje bankowe, a także zapewnianie im kontroli nad komputerem.

Przestępcy stosują taktyki socjotechniczne, ponieważ zwykle łatwiej jest wykorzystać naturalną skłonność do zaufania niż odkryć sposoby włamania się do oprogramowania. Na przykład o wiele łatwiej jest oszukać kogoś, by podał ci swoje hasło, niż próbować go złamać (chyba że hasło jest naprawdę słabe).

Phishing ewoluował. Dowiedz się z tego przewodnika 11 sposobów, w jakie hakerzy próbują zdobyć Twoje dane, i jak się chronić.

Bezpieczeństwo polega na tym, aby wiedzieć, komu i czemu ufać. Ważne jest, aby wiedzieć, kiedy i kiedy nie brać kogoś za słowo i kiedy osoba, z którą się komunikujesz, jest tym, za kogo się podaje. To samo dotyczy interakcji online i korzystania ze strony internetowej: kiedy ufasz, że witryna, z której korzystasz, jest legalna lub że można bezpiecznie podać Twoje dane?

Zapytaj dowolnego specjalisty ds. Bezpieczeństwa, a powie Ci, że najsłabszy ogniwem łańcucha bezpieczeństwa jest człowiek, który akceptuje osobę lub scenariusz za dobrą monetę. Nie ma znaczenia, ile zamków i zasuw jest w twoich drzwiach i oknach, czy masz psy stróżujące, systemy alarmowe, reflektory, ogrodzenia z drutem kolczastym i uzbrojoną ochronę; jeśli ufasz osobie przy bramce, która twierdzi, że jest dostawcą pizzy, i wpuścisz go bez uprzedniego sprawdzenia, czy jest on uprawniony, jesteś całkowicie narażony na wszelkie ryzyko, jakie on reprezentuje.

Co robi Jak wygląda atak socjotechniczny?

E-mail od przyjaciela

Jeśli przestępca zdoła zhakować lub opracować społecznie hasło e-mail jednej osoby, będzie miał dostęp do listy kontaktów tej osoby – a ponieważ większość ludzi używają jednego hasła wszędzie, prawdopodobnie mają również dostęp do kontaktów tej osoby w sieciach społecznościowych.

Gdy przestępca ma to konto e-mail pod swoją kontrolą, wysyła e-maile do wszystkich kontaktów tej osoby lub zostawia wiadomości na wszystkich strony społecznościowe znajomego i prawdopodobnie strony znajomych znajomego danej osoby.

Korzystając z Twojego zaufania i ciekawości, wiadomości te będą:

• Zawierać link że musisz tylko sprawdzić – a ponieważ link pochodzi od znajomego i jesteś ciekawy, zaufasz łączysz i klikasz – i jesteś zainfekowany złośliwym oprogramowaniem, aby przestępca mógł przejąć kontrolę nad Twoim komputerem, zebrać informacje o kontaktach i oszukać je tak, jak zostałeś oszukany

• Zawierać pobieranie zdjęć, muzyka, film, dokument itp. z osadzonym złośliwym oprogramowaniem. Jeśli pobierzesz – co prawdopodobnie zrobisz, ponieważ myślisz, że pochodzi od znajomego – zostaniesz zainfekowany. Teraz przestępca ma dostęp do twojego komputera, konta e-mail, kont w sieciach społecznościowych i kontaktów, a atak rozprzestrzenia się na wszystkich, których znasz. I tak dalej i dalej.

E-maile z innego zaufanego źródła

Ataki phishingowe to podzbiór strategii socjotechnicznych, które imitują zaufane źródło i tworzą pozornie logiczny scenariusz przekazywania danych logowania lub innych wrażliwych danych osobowych. Według danych Webroot instytucje finansowe stanowią zdecydowaną większość firm podszywających się pod inne firmy, a według corocznego raportu firmy Verizon o dochodzeniach w zakresie naruszenia danych, ataki socjotechniczne, w tym phishing i preteksty (patrz poniżej), są odpowiedzialne za 93% udanych naruszeń danych.

Korzystając z przekonującej historii lub pretekstu, te wiadomości mogą:

• Pilnie poprosić o pomoc. Twój „przyjaciel” utknął w kraju X, został okradziony, pobity , i przebywa w szpitalu. Muszą wysłać pieniądze, aby mogli wrócić do domu, i powiedzą Ci, jak wysłać pieniądze przestępcy.

• Próbuj wyłudzać informacje z pozornie uzasadnione. Zazwyczaj phisher wysyła wiadomość e-mail, komunikator, komentarz lub wiadomość tekstową, która wygląda na pochodzącą z legalnej, popularnej firmy, banku, szkoły lub instytucji.

• Poprosić Cię o przekazanie darowizny na ich zbiórkę charytatywną lub na inny cel. Prawdopodobnie z instrukcjami, jak wysłać pieniądze przestępcy. Polowanie na krewnych hojności i hojności, ci phisherzy proszą o pomoc lub wsparcie w przypadku jakiejkolwiek katastrofy, kampanii politycznej lub organizacji charytatywnej, która jest chwilowo najważniejsza.

• Przedstaw problem, który wymaga od Ciebie „ zweryfikować ”swoje dane, klikając w wyświetlony link i podając informacje w ich formularzu.Lokalizacja linku może wydawać się bardzo uzasadniona ze wszystkimi odpowiednimi logo i treścią (w rzeczywistości przestępcy mogli skopiować dokładny format i zawartość legalnej witryny). Ponieważ wszystko wygląda na legalne, ufasz e-mailowi i fałszywej witrynie i udostępniasz wszelkie informacje, o które prosi oszust. Tego typu oszustwa phishingowe często zawierają ostrzeżenie o tym, co się stanie, jeśli szybko nie podejmiesz odpowiednich działań, ponieważ przestępcy wiedzą, że jeśli uda im się zmusić Cię do działania, zanim pomyślisz, jest bardziej prawdopodobne, że dasz się nabrać na ich próbę phishingu.

• Powiadomienie, że jesteś „zwycięzcą”. Być może e-mail podaje, że pochodzi od loterii, zmarłego krewnego, milionową osobę, która kliknęła w ich witrynie itp. Aby aby dać Ci swoje „ wygrane ”, musisz podać informacje o banku, aby wiedział, jak je wysłać lub podać swój adres i numer telefonu, aby mogli wysłać nagrodę, a także możesz zostać poproszony o udowodnienie, kim jesteś często z numerem ubezpieczenia społecznego. Są to „phishes chciwość”, w przypadku których nawet jeśli pretekst do opowieści jest słaby, ludzie chcą tego, co jest im zaoferowane, i nabierają się na to, ujawniając swoje informacje, a następnie opróżniając konto bankowe i kradnąc tożsamość.

• Udawaj szefa lub współpracownika. Może poprosić o aktualizację ważnego, zastrzeżonego projektu, nad którym obecnie pracuje Twoja firma, o informacje dotyczące płatności odnoszących się do firmowej karty kredytowej lub o inne zapytanie udające codzienną działalność.

Scenariusze z przynętą

Te schematy socjotechniczne wiedzą, że jeśli wymyślisz coś, czego ludzie chcą, wiele osób złapie przynętę. Schematy te są często spotykane w witrynach peer-to-peer oferujących pobranie czegoś w rodzaju nowego, gorącego filmu lub muzyki. Ale schematy te można również znaleźć w serwisach społecznościowych, złośliwych witrynach znalezionych w wynikach wyszukiwania itd.

Lub, schemat może pojawić się jako zdumiewająco świetny interes w witrynach z ogłoszeniami drobnymi, witrynach aukcyjnych itp. .. Aby rozwiać swoje podejrzenia, możesz zobaczyć, że sprzedawca ma dobrą ocenę (wszystko zaplanowane i przygotowane z wyprzedzeniem).

Osoby, które złapią przynętę, mogą zostać zainfekowane złośliwym oprogramowaniem, które może generować dowolną liczbę nowe exploity przeciwko sobie i ich kontaktom mogą stracić pieniądze bez otrzymania zakupionego przedmiotu, a jeśli byli na tyle głupi, by zapłacić czekiem, mogą znaleźć puste konto bankowe.

Odpowiedź na pytanie nigdy nie

Przestępcy mogą udawać, że odpowiadają na Twoją „prośbę o pomoc” ze strony firmy, oferując jednocześnie dodatkową pomoc. Wybierają firmy, z których korzystają miliony ludzi, takie jak firma programistyczna lub bank. Jeśli nie korzystasz z produktu lub usługi, zignorujesz e-mail, telefon lub wiadomość, ale jeśli zdarzy ci się skorzystać z usługi, istnieje duża szansa, że odpowiesz, ponieważ prawdopodobnie potrzebujesz pomocy w rozwiązaniu problemu .

Na przykład, nawet jeśli wiesz, że początkowo nie zadałeś pytania, prawdopodobnie masz problem z systemem operacyjnym swojego komputera i wykorzystujesz tę okazję, aby go naprawić. Za darmo! W momencie, w którym odpowiesz, kupiłeś historię złoczyńcy, zaufałeś im i otworzyłeś się na wykorzystywanie.

Przedstawiciel, który jest faktycznie przestępcą, będzie musiał 'uwierzytelnić cię', czy jesteś zalogowany „ich system” lub czy zalogowałeś się na swoim komputerze i albo dałeś im zdalny dostęp do swojego komputera, aby mogli go „naprawić”, albo przekazałeś polecenia, abyś mógł sam to naprawić z ich pomocą – gdzie niektóre z polecenia, które każą ci wprowadzić, otworzą przestępcom drogę do powrotu do twojego komputera później.

Tworzenie nieufności

Niektóre socjotechnika polega na tworzeniu nieufności lub rozpoczynaniu konfliktów ; często robią to ludzie, których znasz i którzy są na ciebie źli, ale robią to również paskudni ludzie, którzy po prostu próbują siać spustoszenie, ludzie, którzy chcą najpierw wzbudzić w twoim umyśle nieufność do innych, aby następnie mogli wkroczyć jako bohaterem i zdobyć Twoje zaufanie lub przez szantażystów, którzy chcą manipulować informacjami, a następnie zagrozić Ci ujawnieniem.

Ta forma inżynierii społecznej często zaczyna się od uzyskania dostępu do konta e-mail lub innego konta komunikacyjnego w kliencie komunikatorów , sieci społecznościowe, czat, forum itp. Osiągają to poprzez hakowanie, inżynierię społeczną lub po prostu odgadywanie bardzo słabych haseł.

• Złośliwa osoba może następnie zmienić poufną lub prywatną komunikację (w tym obrazy i dźwięk) przy użyciu podstawowych technik edycji i przesyła je innym osobom w celu stworzenia dramatu, nieufności, zażenowania itp. Mogą sprawić, że będzie wyglądać tak, jakby zostało przypadkowo wysłane lub sprawiać wrażenie, że informują, co jest „naprawdę” się dzieje.

• A Alternatywnie, mogą użyć zmienionego materiału do wyłudzenia pieniędzy od osoby, którą zhakowali, lub od rzekomego odbiorcy.

Ataki socjotechniczne mają dosłownie tysiące odmian.Jedynym ograniczeniem liczby sposobów, w jakie mogą inżynierować społecznie użytkowników za pomocą tego rodzaju exploitów, jest wyobraźnia przestępcy. W jednym ataku możesz doświadczyć wielu form exploitów. Wtedy przestępca prawdopodobnie sprzeda twoje informacje innym, aby oni również mogli wykorzystać swoje wyczyny przeciwko tobie, twoim przyjaciołom, przyjaciołom znajomych itd., Ponieważ przestępcy wykorzystują niewłaściwe zaufanie ludzi.

Nie stawaj się ofiara

Chociaż ataki phishingowe są powszechne, krótkotrwałe i wymagają tylko kilku użytkowników, aby złapać przynętę na udaną kampanię, istnieją metody ochrony siebie. Większość z nich nie wymaga czegoś więcej niż tylko zwracania uwagi na szczegóły przed Tobą. Aby uniknąć wyłudzenia informacji, pamiętaj o następujących kwestiach.

Wskazówki do zapamiętania:

• Zwolnij. Spamerzy chcą, abyś najpierw zareagował, a potem pomyśleć. Jeśli wiadomość zawiera poczucie pilności lub stosuje taktyki sprzedaży pod presją, bądź sceptyczny; nigdy nie pozwól, aby ich pilność wpłynęła na dokładną analizę.

• Zbadaj fakty. Podchodź z podejrzliwością do wszelkich niechcianych wiadomości. Jeśli wiadomość e-mail wygląda, jakby pochodziła od firmy, z której korzystasz, przeprowadź własne badania. Użyj wyszukiwarki, aby przejść do witryny prawdziwej firmy lub książkę telefoniczną, aby znaleźć ich numer telefonu.

• Nie pozwól, aby odsyłacz decydował o tym, dokąd się wybierasz. Zachowaj kontrolę, znajdując witrynę samodzielnie za pomocą wyszukiwarki upewnij się, że trafiłeś tam, gdzie zamierzasz wylądować. Najechanie kursorem na linki w wiadomości e-mail spowoduje wyświetlenie rzeczywistego adresu URL na dole, ale dobry fałszywy adres może Cię źle skierować.

• Przejmowanie poczty e-mail szaleje. Hack e-maili, spamerzy i inżynierowie społeczni przejmujący kontrolę nad kontami e-mail (i innymi kontami komunikacyjnymi) stali się powszechni. Kiedy już kontrolują konto e-mail, żerują na zaufaniu osób w kontaktach. Nawet jeśli wydaje się, że nadawcą jest ktoś, kogo znasz, jeśli nie spodziewasz się wiadomości e-mail z linkiem lub załącznikiem, skontaktuj się ze swoim przyjacielem przed otwarciem linków lub pobraniem.

• Uwaga dowolne pobieranie. Jeśli nie znasz osobiście nadawcy ORAZ oczekujesz od niego pliku, pobieranie czegokolwiek jest błędem.

• Oferty zagraniczne są fałszywe. Jeśli otrzymasz wiadomość e-mail z zagranicznej loterii lub loterii, pieniądze od nieznanego krewnego lub prośbę o przesłanie środków z obcego kraju w celu uzyskania części pieniędzy, z pewnością będzie to oszustwo.

Sposoby ochrony:

• Usuń wszelkie prośby o informacje finansowe lub hasła. Jeśli zostaniesz poproszony o odpowiedź na wiadomość zawierającą dane osobowe, jest to oszustwo.

• Odrzuć prośby o pomoc lub oferty pomocy. Legalne firmy i organizacje nie kontaktują się z Tobą w celu udzielenia pomocy. Jeśli nie prosiłeś wyraźnie o pomoc od nadawcy, rozważ każdą ofertę „pomocy” w przywróceniu zdolności kredytowej, refinansowania domu, odpowiedz na pytanie itp., Oszustwo. Podobnie, jeśli otrzymasz prośbę o pomoc od organizacji charytatywnej lub organizacji, z którą nie masz powiązań, usuń ją. Aby dawać, poszukaj na własną rękę renomowanych organizacji charytatywnych, aby uniknąć oszustwa.

• Ustaw filtry spamu na wysokie. Każdy program pocztowy ma filtry spamu. Aby znaleźć swoje, spójrz na opcje ustawień i ustaw je na wysokie – pamiętaj tylko, aby okresowo sprawdzać folder ze spamem, aby zobaczyć, czy nie zostały tam przypadkowo uwięzione wiarygodne wiadomości e-mail. Możesz również wyszukać przewodnik krok po kroku dotyczący ustawiania filtrów spamu, wyszukując nazwę dostawcy poczty e-mail oraz wyrażenie „filtry spamu”.

• Zabezpiecz swoje urządzenia komputerowe. Zainstaluj oprogramowanie antywirusowe, zapory sieciowe, filtry poczty e-mail i dbaj o ich aktualność. Skonfiguruj system operacyjny tak, aby aktualizował się automatycznie, a jeśli smartfon nie aktualizuje się automatycznie, aktualizuj go ręcznie za każdym razem, gdy pojawi się odpowiednie powiadomienie. Użyj narzędzia antyphishingowego oferowanego przez przeglądarkę internetową lub firmę zewnętrzną, aby ostrzec Cię o zagrożeniach.

Baza danych zagrożeń Webroot obejmuje ponad 600 milionów domen i 27 miliardów adresów URL skategoryzowane w celu ochrony użytkowników przed zagrożeniami internetowymi. Analiza zagrożeń, na której opiera się wszystkie nasze produkty, pomaga w bezpiecznym korzystaniu z sieci, a nasze rozwiązania zabezpieczające urządzenia mobilne zapewniają bezpieczne przeglądanie sieci, aby zapobiec udanym atakom typu phishing.