Inżynieria społeczna
Co to jest inżynieria społeczna?
Inżynieria społeczna polega na wykorzystywaniu ludzkich słabości w celu uzyskania dostępu do danych osobowych i systemów chronionych. Inżynieria społeczna polega na manipulowaniu osobami, a nie na hakowaniu systemów komputerowych w celu penetracji konta celu.
Zrozumienie inżynierii społecznej
Na przykład kobieta może zadzwonić do banku ofiary mężczyzny i udawać jego żonę, zgłaszając nagły wypadek i prosząc o dostęp do jego konta. Jeśli kobiecie uda się z powodzeniem inżynierować społecznie przedstawiciela obsługi klienta banku, odwołując się do jego empatycznej skłonności, może uda jej się uzyskać dostęp do konta mężczyzny i ukraść jego pieniądze. Podobnie osoba atakująca może skontaktować się z działem obsługi klienta dostawcy poczty e-mail w celu zresetowania hasła, które umożliwi atakującemu kontrolowanie konta e-mail celu zamiast włamać się na to konto.
Inżynieria społeczna odnosi się do manipulacji celem, aby przekazać kluczowe informacje. Oprócz kradzieży tożsamości osoby lub kradzieży karty kredytowej lub konta bankowego, można zastosować inżynierię społeczną w celu uzyskania tajemnic handlowych firmy lub wykorzystania bezpieczeństwa narodowego.
Inżynierii społecznej trudno jest zapobiec potencjalnym celom. uwierzytelnianie dwuskładnikowe dla kont, ale konta nadal mogą zostać naruszone przez osoby trzecie mające dostęp do ich kont, takie jak pracownicy banku. Jednak osoby fizyczne mogą zmniejszyć swoje ryzyko, unikając podawania poufnych informacji, zachowując ostrożność podczas udostępniania informacji w mediach społecznościowych, nie powtarzając haseł, stosując uwierzytelnianie dwuskładnikowe, używając fałszywych lub trudnych do odgadnięcia odpowiedzi na pytania dotyczące bezpieczeństwa konta oraz zachowując bacznie obserwować konta, zwłaszcza finansowe.
Atakujący często stosują zaskakująco proste taktyki w programach inżynierii społecznej, na przykład prosząc ludzi o pomoc. Inną taktyką jest wykorzystywanie ofiar katastrofy poprzez poproszenie ich o podanie danych osobowych, takich jak kradzieży tożsamości.
Podawanie się za specjalistę pomocy technicznej lub dostawcę to łatwy sposób na uzyskanie nieautoryzowanego dostępu do konta, podobnie jak wysłanie pozornie legalnej wiadomości e-mail ze złośliwym załącznikiem. Takie e-maile są często wysyłane na służbowy adres e-mail, gdzie ludzie są mniej podejrzliwi wobec nieznanego nadawcy.
E-maile mogą wyglądać tak, jakby pochodziły od znanego nadawcy, podczas gdy w rzeczywistości są wysyłane przez hakera. Bardziej wyszukane taktyki, które są skierowane do konkretnych osób, mogą obejmować poznanie ich zainteresowań, a następnie wysłanie do celu linku związanego z tym zainteresowaniem. Odsyłacz może zawierać złośliwy kod, który może wykraść dane osobowe z ich komputerów. Popularne techniki inżynierii społecznej obejmują phishing, łowienie kotów, śledzenie ogonów i nęcenie.