Ingineria socială este arta de a manipula oamenii, astfel încât aceștia să renunțe la informații confidențiale. Tipurile de informații pe care le caută acești criminali pot varia, dar atunci când persoanele sunt vizate, infractorii încearcă, de obicei, să vă păcălească să le oferiți parolele sau informațiile bancare sau să vă acceseze computerul pentru a instala în secret software rău intenționat – care le va oferi acces la parole și informații bancare, precum și oferindu-le control asupra computerului dvs.

Infractorii folosesc tactici de inginerie socială, deoarece de obicei este mai ușor să vă exploatați înclinația naturală spre încredere decât să descoperiți modalități de a vă pirata software-ul. De exemplu, este mult mai ușor să păcălești pe cineva să-ți dea parola lor decât să încerci să-i piratezi parola (cu excepția cazului în care parola este cu adevărat slabă).

Phishingul a evoluat. Aflați 11 moduri în care hackerii preferă datele dvs. și cum să vă protejați în acest ghid.

Securitatea este despre a ști în cine și în ce să aveți încredere. Este important să știți când și când să nu credeți o persoană pe cuvânt și când persoana cu care comunicați este cine spune că este. Același lucru este valabil și pentru interacțiunile online și utilizarea site-ului web: când aveți încredere că site-ul pe care îl utilizați este legitim sau este sigur să vă furnizeze informațiile?

Întrebați orice profesionist în domeniul securității și vă vor spune că cel mai slab veriga din lanțul de securitate este omul care acceptă o persoană sau un scenariu la valoarea nominală. Nu contează câte încuietori și șuruburi sunt pe ușile și ferestrele dvs. sau dacă aveți câini de pază, sisteme de alarmă, proiectoare, garduri cu sârmă ghimpată și personal de securitate înarmat; dacă aveți încredere în persoana de la poartă care spune că este tipul de livrare a pizza și îl lăsați să intre fără să verificați mai întâi dacă este legitim, sunteți complet expus la orice risc pe care îl reprezintă.

Ce înseamnă o Atacul de inginerie socială arată?

E-mail de la un prieten

Dacă un criminal reușește să pirateze sau să proiecteze social parola de e-mail a unei persoane, are acces la lista de contacte a acelei persoane – și pentru că majoritatea oamenilor utilizează o parolă peste tot, probabil că au acces și la contactele de rețea socială ale acelei persoane.

Odată ce criminalul are acel cont de e-mail sub controlul lor, acesta trimite e-mailuri la toate contactele persoanei sau lasă mesaje pe toate paginile sociale ale prietenului și, eventual, pe paginile prietenilor prietenului persoanei respective.

Profitând de încrederea și curiozitatea dvs., aceste mesaje vor:

• Conțin un link că trebuie doar să verificați – și pentru că linkul vine de la un prieten și sunteți curios, veți avea încredere în conectați și faceți clic – și fiți infectat cu programe malware, astfel încât criminalul să vă preia aparatul și să colecteze informațiile de contact și să-i înșele la fel cum ați fost înșelați

• Conține o descărcare de imagini, muzică, film, document etc. care are încorporat software rău intenționat. Dacă descărcați – ceea ce probabil veți face, deoarece credeți că este de la prietenul dvs. – veți fi infectat. Acum, criminalul are acces la mașina dvs., la contul de e-mail, la conturile de rețea socială și la contacte, iar atacul se răspândește tuturor celor pe care îi cunoașteți. Și continuu.

E-mailul dintr-o altă sursă de încredere

Atacurile de phishing sunt un subset de strategii de inginerie socială care imită o sursă de încredere și inventează un scenariu aparent logic pentru predarea acreditării de conectare sau a altor date personale sensibile. Conform datelor Webroot, instituțiile financiare reprezintă marea majoritate a companiilor imitate și, în conformitate cu Raportul anual al Verizon Investigații privind încălcarea datelor, atacurile de inginerie socială, inclusiv phishingul și pretextarea (a se vedea mai jos), sunt responsabile pentru 93% din încălcările cu succes ale datelor. p>

Folosind o poveste sau un pretext convingător, aceste mesaje pot:

• Solicitați urgent ajutorul dvs. „Prietenul” dvs. este blocat în țara X, a fost jefuit, bătut , și se află în spital. Au nevoie ca tu să trimiți bani, astfel încât să poată ajunge acasă și îți spun cum să trimiți banii criminalului.

• Folosește încercări de phishing cu un fundal care pare legitim. De obicei, un phisher trimite un e-mail, IM, comentariu sau mesaj text care pare să provină de la o companie, bancă, școală sau instituție legitimă, populară.

• Vă rugăm să donați pentru strângerea de fonduri caritabile sau pentru o altă cauză. Probabil, cu instrucțiuni despre cum să trimiteți banii criminalului. cu generozitate și generozitate, acești phishers cer ajutor sau sprijin pentru orice dezastru, campanie politică sau caritate este momentan de top.

• Prezentați o problemă care vă cere să „ verificați „informațiile dvs. făcând clic pe linkul afișat și oferind informații în formularul lor.Locația link-ului poate părea foarte legitimă cu toate siglele și conținutul potrivit (de fapt, infractorii pot fi copiat formatul și conținutul exact al site-ului legitim). Deoarece totul pare legitim, aveți încredere în e-mail și în site-ul fals și furnizați orice informații solicită de escroc. Aceste tipuri de escrocherii de phishing includ adesea un avertisment cu privire la ce se va întâmpla dacă nu reușiți să acționați în curând, deoarece infractorii știu că, dacă vă pot determina să acționați înainte de a vă gândi, este mai probabil să cădeți pentru încercarea lor de phishing.

• Vă anunțăm că sunteți „câștigător”. Poate că e-mailul susține că provine de la o loterie, sau de la o rudă moartă, sau de la milionima persoană care face clic pe site-ul său, etc. pentru a vă oferi „câștigurile” dvs., trebuie să furnizați informații despre direcționarea băncii dvs., astfel încât să știe cum să vi le trimită sau să vă ofere adresa și numărul de telefon pentru a putea trimite premiul și vi se poate cere, de asemenea, să demonstrați cine sunteți inclusiv adesea numărul dvs. de securitate socială. Aceștia sunt „phishing-uri de lăcomie” în care, chiar dacă pretextul povestii este subțire, oamenii vor ceea ce li se oferă și se încadrează în el oferindu-le informațiile, apoi golindu-și contul bancar și furând identitatea.

• Puneți-vă ca șef sau coleg. Poate solicita o actualizare cu privire la un proiect important, proprietar, la care lucrează în prezent compania dvs., pentru informații de plată referitoare la un card de credit al companiei sau orice altă anchetă care se consideră o activitate de zi cu zi.

Scenarii de momeală

Aceste scheme de inginerie socială știu că, dacă atârnați ceva ce oamenii doresc, mulți oameni vor lua momeala. Aceste scheme se găsesc adesea pe site-urile Peer-to-Peer, care oferă o descărcare de ceva asemănător unui film nou sau muzică. Dar schemele se găsesc și pe site-urile de rețele sociale, site-urile web rău intenționate pe care le găsiți prin rezultatele căutării și așa mai departe.

Sau, schema poate apărea ca o ofertă uimitor de mare pe site-urile clasificate, site-urile de licitații etc. .. Pentru a vă potoli suspiciunile, puteți vedea că vânzătorul are un rating bun (toate planificate și elaborate din timp).

Persoanele care iau momeala pot fi infectate cu software rău intenționat care poate genera un număr mare de noi exploatări împotriva lor și a contactelor lor, își pot pierde banii fără a primi obiectul achiziționat și, dacă ar fi suficient de nebuni să plătească cu un cec, își vor găsi contul bancar gol.

Răspuns la o întrebare nu a avut niciodată

Infractorii se pot pretinde că răspund la „cererea dvs. de ajutor” de la o companie, oferind în același timp mai mult ajutor. Ele aleg companii pe care milioane de oameni le folosesc, cum ar fi o companie de software sau o bancă. Dacă nu utilizați produsul sau serviciul, veți ignora e-mailul, apelul telefonic sau mesajul, dar dacă utilizați serviciul, există șanse mari să răspundeți, deoarece probabil că doriți ajutor cu o problemă .

De exemplu, chiar dacă știi că inițial nu ai pus o întrebare, probabil că ai o problemă cu sistemul de operare al computerului tău și profiți de această oportunitate pentru a o rezolva. Gratuit! În momentul în care răspunzi, ai cumpărat povestea escrocului, le-ai dat încrederea ta și te-ai deschis pentru exploatare.

Reprezentantul, care este de fapt un criminal, va trebui să „te autentifice”, te-ai conectat „sistemul lor” sau, dacă v-ați conectat la computer și fie le acordați acces de la distanță la computer, astfel încât să îl poată „remedia” pentru dvs., fie să vă spună comenzile, astfel încât să le puteți remedia singur cu ajutorul lor – unde unele dintre comenzile pe care vi le spun să introduceți vor deschide o cale pentru ca infractorul să se întoarcă mai târziu în computerul dvs.

Crearea neîncrederii

Unele inginerie socială se referă la crearea neîncrederii sau declanșarea conflictelor ; acestea sunt adesea efectuate de oameni pe care îi cunoașteți și care sunt supărați pe voi, dar este făcut și de oameni urâți care încearcă doar să facă ravagii, oameni care doresc mai întâi să vă creeze neîncredere în mintea dvs. față de ceilalți, astfel încât să poată intra în erou și câștigați încrederea dvs. sau de către extorsioniști care doresc să manipuleze informații și apoi să vă amenințe cu divulgarea.

Această formă de inginerie socială începe adesea prin accesarea la un cont de e-mail sau la un alt cont de comunicare pe un client IM. , rețea socială, chat, forum etc. Aceștia realizează acest lucru fie prin hacking, inginerie socială, fie pur și simplu ghicind parole cu adevărat slabe.

• Persoana rău intenționată poate modifica apoi comunicațiile sensibile sau private. (inclusiv imagini și sunet) folosind tehnici de editare de bază și le transmite altor persoane pentru a crea dramă, neîncredere, jenă etc. Acestea pot face să pară că a fost trimis accidental sau pot apărea ca și cum ar fi să vă anunțe ce este „cu adevărat” se întâmplă.

• A Alternativ, ei pot folosi materialul modificat pentru a extorca bani fie de la persoana pe care au spart-o, fie de la presupusul destinatar.

Există literalmente mii de variante ale atacurilor de inginerie socială.Singura limită a numărului de modalități prin care aceștia pot proiecta social utilizatorii prin acest tip de exploatare este imaginația criminalului. Și este posibil să experimentați mai multe forme de exploatări într-un singur atac. Apoi, este posibil ca criminalul să vândă informațiile dvs. altora, astfel încât și ei să își poată face exploatările împotriva ta, a prietenilor tăi, a prietenilor prietenilor tăi și așa mai departe, deoarece infractorii folosesc încrederea greșită a oamenilor.

Nu devii o victimă

În timp ce atacurile de phishing sunt durabile, de scurtă durată și au nevoie doar de câțiva utilizatori pentru a lua momeala pentru o campanie de succes, există metode pentru a vă proteja. Majoritatea nu necesită mult mai mult decât simpla atenție la detaliile din fața dvs. Rețineți următoarele pentru a evita să fiți înșelați.

Sfaturi de reținut:

• Reduceți viteza. Spammerii vor să acționați mai întâi și să gândiți mai târziu. Dacă mesajul transmite un sentiment de urgență sau folosește tactici de vânzare de înaltă presiune să fie sceptici, nu lăsați niciodată urgența lor să vă influențeze analiza atentă.

• Cercetează faptele. Fii suspect de orice mesaj nesolicitat. Dacă e-mailul pare a fi de la o companie pe care o folosești, fă-ți propriile cercetări. Folosește un motor de căutare pentru a accesa site-ul companiei reale sau un director de telefon pentru a-și găsi numărul de telefon.

• Nu lăsați un link să controleze locul unde aterizați. Rămâneți sub control găsind site-ul web utilizând un motor de căutare pentru asigurați-vă că aterizați acolo unde intenționați să aterizați. Trecând cu mouse-ul peste linkurile din e-mail se va afișa adresa URL reală în partea de jos, dar un fals bun vă poate conduce în continuare greșit.

• Deturnarea e-mailurilor este rampant. Hack Persoanele, spammerii și inginerii sociali care preluează controlul asupra conturilor de e-mail ale oamenilor (și asupra altor conturi de comunicare) au devenit intens. Odată ce controlează un cont de e-mail, se bazează pe încrederea contactelor persoanei respective. Chiar și atunci când expeditorul pare a fi o persoană pe care o cunoașteți, dacă nu vă așteptați la un e-mail cu un link sau un atașament verificați cu prietenul înainte de a deschide linkuri sau de a descărca.

• Ferește-te de orice descărcare. Dacă nu îl cunoașteți personal pe expeditor ȘI nu vă așteptați la un fișier de la ei, descărcarea a ceva este o greșeală.

• Ofertele străine sunt false. Dacă primiți un e-mail de la o loterie sau o tombolă străină, bani de la o rudă necunoscută sau solicitați transferul de fonduri dintr-o țară străină pentru o parte din bani, este garantat că este o înșelătorie.

Modalități de a vă proteja:

• Ștergeți orice solicitare de informații financiare sau parole. Dacă vi se solicită să răspundeți la un mesaj cu informații personale, este o înșelătorie.

• Respingeți cererile de ajutor sau ofertele de ajutor. Companiile și organizațiile legitime nu vă contactează pentru a vă oferi ajutor. Dacă nu ați solicitat în mod specific asistență de la expeditor, luați în considerare orice ofertă de „ajutor” pentru restabilirea punctajelor de credit, refinanțarea unei case, răspunsul la întrebarea dvs. etc., o înșelătorie. În mod similar, dacă primiți o cerere de ajutor de la o organizație caritabilă sau organizație cu care nu aveți o relație, ștergeți-o. Pentru a oferi, căutați singuri organizații caritabile de renume, pentru a evita să vă înșelați.

• Setați filtrele de spam la nivel ridicat. Fiecare program de e-mail are filtre de spam. Pentru a le găsi, consultați opțiunile de setări și setați-le la nivel înalt – nu uitați să verificați periodic dosarul de spam pentru a vedea dacă e-mailurile legitime au fost blocate accidental acolo. De asemenea, puteți căuta un ghid pas cu pas pentru setarea filtrelor de spam căutând numele furnizorului dvs. de e-mail plus expresia „filtre de spam”.

• Securizați-vă dispozitive de calcul. Instalați software antivirus, firewall-uri, filtre de e-mail și mențineți-le actualizate. Setați sistemul de operare să se actualizeze automat și, dacă smartphone-ul dvs. nu se actualizează automat, actualizați-l manual ori de câte ori primiți o notificare pentru a face acest lucru. Utilizați un instrument anti-phishing oferit de browserul dvs. web sau de o terță parte pentru a vă alerta la riscuri.

Baza de date cu amenințări Webroot are peste 600 de milioane de domenii și 27 de miliarde de adrese URL clasificate pentru a proteja utilizatorii împotriva amenințărilor bazate pe web. Inteligența amenințărilor care susține toate produsele noastre vă ajută să utilizați internetul în siguranță, iar soluțiile noastre de securitate mobilă oferă navigare web sigură pentru a preveni atacurile de phishing de succes.