Фінансова енциклопедія

Соціальна інженерія

Що таке соціальна інженерія?

Соціальна інженерія – це акт використання людських слабкостей для отримання доступу до особистої інформації та захищених систем. Соціальна інженерія базується на маніпулюванні людьми, а не на злому комп’ютерних систем, щоб проникнути в рахунок цілі.

Розуміння соціальної інженерії

Наприклад, жінка може зателефонувати до банку жертви чоловіка і прикинутися, що його дружина вимагає надзвичайної ситуації та вимагає доступу до його рахунку. Якщо жінка може успішно соціально розробити представника служби обслуговування клієнтів банку, апелюючи до емпатійних тенденцій представника, вона може досягти доступу до рахунку чоловіка і зможе викрасти його гроші. Подібним чином зловмисник може зв’язатися з відділом обслуговування клієнтів постачальника послуг електронної пошти, щоб отримати скидання пароля, що дає змогу зловмиснику керувати обліковим записом електронної пошти цілі, а не зламати його.

Соціальна інженерія відноситься до маніпуляцій з ціллю, так що вони відмовляються від ключової інформації. На додаток до викрадення особистості особи або компрометації кредитної картки або банківського рахунку, соціальна інженерія може застосовуватися для отримання комерційної таємниці компанії або використання національної безпеки.

Потенційним цілям важко запобігти соціальній інженерії. Застосовуються такі запобіжні заходи, як використання надійних паролів та двофакторна автентифікація для облікових записів, але треті сторони можуть отримати доступ до своїх рахунків, наприклад працівники банків, порушити їх. Однак люди можуть зменшити свій ризик, уникаючи видавати конфіденційну інформацію, обережно ділитися інформацією в соціальних мережах, не повторювати паролі, використовувати двофакторну автентифікацію, використовувати підроблені або важко вгадувані відповіді на питання безпеки облікового запису та зберігати уважно стежте за рахунками, особливо за фінансовими.

Зловмисники часто використовують напрочуд просту тактику в схемах соціальної інженерії, наприклад, просять людей про допомогу. Інша тактика полягає у використанні жертв катастрофи, попросивши їх надати особисту інформацію, таку як крадіжки особистих даних.

Представити себе професіоналом технічної підтримки або службою доставки – це прості способи отримати несанкціонований доступ до облікового запису, як і відправлення очевидно законного електронного листа зі шкідливим вкладенням. Такі електронні листи часто надсилаються на робочу електронну адресу, де люди рідше підозрюють невідомого відправника.

Електронні листи можна замаскувати, щоб виглядати так, ніби вони надійшли від відомого відправника, коли їх насправді надсилає хакер. Більш складна тактика, орієнтована на конкретних людей, може передбачати вивчення їх інтересів, а потім надсилання цілі посилання, пов’язаного з цим інтересом. Посилання може містити шкідливий код, який може вкрасти особисту інформацію з їх комп’ютерів. Популярні технічні прийоми соціальної інженерії включають фішинг, риболовлю на котів, стрибки на хвості та наживку.