Що таке соціальна інженерія?

У комп’ютерній безпеці виникає багато проблем, незважаючи на всі зусилля користувача. Наприклад, ви можете отримати зловмисне програмне забезпечення через зловмисну ​​рекламу в будь-який момент, це справді невдача. Існують кроки, які можна вжити, щоб мінімізувати ризик, наприклад використання блокувальника реклами. Але отримати такий удар не є провиною користувача. Інші атаки зосереджені на тому, щоб змусити користувача щось зробити. Ці типи атак підпадають під широкий прапор атак соціальної інженерії.

Соціальна інженерія передбачає використання аналізу та розуміння того, як люди справляються з певними ситуаціями, щоб маніпулювати результатом. Соціальну інженерію можна застосовувати проти великих груп людей. Однак, з точки зору комп’ютерної безпеки, він зазвичай використовується проти окремих осіб, хоча потенційно як частина великої кампанії.

Прикладом соціальної інженерії проти групи людей можуть бути спроби викликати паніку як відволікання. Наприклад, військові виконують операцію під фальшивим прапором або хтось кричить «вогонь» у жвавому місці, а потім краде в хаосі. На певному рівні проста пропаганда, азартні ігри та реклама також є методами соціальної інженерії.

Однак у сфері комп’ютерної безпеки дії, як правило, більш індивідуальні. Фішинг намагається переконати користувачів натиснути посилання та ввести деталі. Багато шахраїв намагаються маніпулювати через страх або жадібність. Атаки соціальної інженерії на комп’ютерну безпеку можуть навіть проникнути в реальний світ, наприклад, спроба отримати несанкціонований доступ до серверної кімнати. Цікаво, що у світі кібербезпеки цей останній сценарій і подібні до нього зазвичай мають на увазі, коли говорять про атаки соціальної інженерії.

Більш широка соціальна інженерія – онлайн

Фішинг — це тип атак, які намагаються за допомогою соціальної інженерії жертви надати деталі зловмиснику. Фішингові атаки зазвичай здійснюються у зовнішній системі, наприклад електронною поштою, і тому мають дві відмінні точки соціальної інженерії. По-перше, вони повинні переконати жертву, що повідомлення є законним, і змусити її натиснути посилання. Потім завантажується фішингова сторінка, де користувачеві буде запропоновано ввести деталі. Зазвичай це буде ім’я користувача та пароль. Це залежить від того, що початковий електронний лист і фішингова сторінка виглядають достатньо переконливо, щоб соціальна інженерія змусила користувача довіряти їм.

Багато шахраїв намагаються змусити своїх жертв передати гроші через соціальну інженерію. Класичне шахрайство «нігерійського принца» обіцяє велику виплату, якщо жертва зможе заплатити невелику авансову плату. Звичайно, після того, як жертва сплатить «комісар», виплата ніколи не буде отримана. Інші типи шахрайських атак працюють за схожими принципами. Переконати жертву щось зробити, як правило, передати гроші або встановити шкідливе програмне забезпечення. Програми-вимагачі навіть є прикладом цього. Жертва повинна передати гроші, інакше ризикує втратити доступ до будь-яких зашифрованих даних.

Очна соціальна інженерія

Коли соціальна інженерія згадується у світі кібербезпеки, це зазвичай стосується дій у реальному світі. Є багато прикладів сценаріїв. Одна з найпростіших називається tail-gating. Це ширяє досить близько за кимось, щоб вони тримали відчинені двері з контрольованим доступом, щоб пропустити вас. Стежити можна посилити, створивши сценарій, за яким жертва може допомогти вам. Один із методів — погуляти з курцями на вулиці під час перекуру, а потім повернутися всередину з групою. Інший спосіб - це бачити, що ви несете щось незграбне. Ця техніка має ще більше шансів на успіх, якщо те, що ви носите, може бути призначене для інших. Наприклад, якщо у вас є таця з кавовими кухлями для «вашої команди», існує соціальний тиск, щоб хтось притримав перед вами двері.

Значна частина особистої соціальної інженерії покладається на створення сценарію та подальшу впевненість у ньому. Наприклад, соціальний інженер може видати себе за якогось будівельника чи прибиральника, якого зазвичай не помічають. Представляючи себе за доброго самарянина, передаючи «загублений» USB-накопичувач, співробітник може підключити його. Метою було б дізнатися, кому він належить, але потім він міг би заразити систему шкідливим програмним забезпеченням.

Ці типи особистих атак соціальної інженерії можуть бути дуже успішними, оскільки ніхто насправді не очікує, що їх обдурять таким чином. Однак вони несуть великий ризик для зловмисника, який має цілком реальний шанс бути спійманим на гарячому.

Висновок

Соціальна інженерія — це концепція маніпулювання людьми для досягнення цільової мети. Один із способів полягає у створенні реальної ситуації, щоб обманом змусити жертву повірити в неї. Ви також можете створити сценарій, за якого існує соціальний тиск або очікування від жертви діяти всупереч стандартним порадам безпеки. Однак усі атаки соціальної інженерії покладаються на те, щоб обманом змусити одну або більше жертв виконати дії, яких хоче зловмисник.