Атаки с использованием социальной инженерии используют человеческую природу в своих интересах, используя наше доверие, жадность, страх, любопытство и даже наше желание помочь другим. Исследование показывает, что 75% респондентов считают, что социальная инженерия и фишинговые атаки представляют наибольшую опасность для кибербезопасности в их компании. Угрозы кибербезопасности развиваются, и хотя количество традиционных атак может уменьшиться, более изощренные атаки будут процветать. Быть начеку и быть образованным — вот ключи к тому, чтобы оставаться в безопасности.
Карлос Салас, технический менеджер NordLayer, рассказывает о 10 методах социальной инженерии, которые хакеры могут использовать для нападения как на отдельных лиц, так и на организации. По словам Саласа, «социальная инженерия — один из самых простых способов получить доступ к конфиденциальным данным, особенно если сотрудники не обучены тому, как распознавать их и бороться с ними. Поскольку каждый член организации является потенциальной целью, с помощью интерактивного и информативного обучения такие атаки можно остановить». Ниже он делится своим опытом о том, как избежать возможных потерь, и примерами таких атак.
1. Приманка
2. Предлог
Злоумышленник использует выдуманный сценарий (предлог), чтобы спровоцировать сотрудника на раскрытие конфиденциальной информации, например, данных для входа в
3. Водопой
При атаке Watering Hole злоумышленник заражает существующий
4. Услуга за услугу
Атаки «услуга за услугу» полагаются на чувство взаимности людей. Злоумышленники предлагают услуги, помощь или другие преимущества в обмен на информацию. Например,
5. Пугалки
Scareware — это форма вредоносного программного обеспечения, обычно всплывающее окно с предупреждением о том, что ваше программное обеспечение безопасности устарело или что вредоносное программное обеспечение было обнаружено на вашем компьютере. Он обманывает жертв, заставляя их посещать вредоносные
6. Взаимопомощь и совмещение
Задержки и совмещения подразумевают, что злоумышленник получает доступ к безопасной или ограниченной области. Например, человек может загнать сотрудника в офис, утверждая, что потерял карту доступа, притворяясь техником по ремонту, или держа кофейные чашки обеими руками и прося вашей помощи с дверью.
7. Вишинг
Вишинг, также известный как «голосовой фишинг», представляет собой практику получения информации или попытки повлиять на
8. Серфинг на плече
Плечевой серфинг — это плохой актер, наблюдающий за своей ничего не подозревающей жертвой, пока они вводят пароли и другую конфиденциальную информацию. Но эту технику не обязательно использовать с близкого расстояния, буквально заглядывая через плечо. Хакер может использовать его на расстоянии, например, используя бинокль или скрытые камеры. Чтобы исключить риск слежки таким образом, обязательно используйте надежные пароли для единого входа, биометрические данные и двухфакторную аутентификацию.
9. Дайвинг в мусорном баке
Погружение в мусорные контейнеры — это когда злоумышленники просматривают мусор вашей компании в поисках документов, содержащих секретную или конфиденциальную информацию. Всегда используйте уничтожитель файлов, чтобы предотвратить утечку информации.
10. Глубокие подделки
Дипфейки («глубокое обучение» + «фейк») — синтетические медиа, в которых человек в существующем изображении, аудио или видео заменяется чужим подобием. Возможно обнаружение глубоких подделок. Обязательно проверяйте появление теней на лице, замечайте, моргают ли глаза, и старайтесь обнаружить морщины. Остерегайтесь некачественных записей телефонных разговоров и обращайте внимание на то, как произносятся такие буквы, как f, s, v и z — программное обеспечение не может отличить их от шума.