В области компьютерной безопасности многие проблемы возникают, несмотря на все усилия пользователя. Например, вы можете получить вредоносное ПО от вредоносной рекламы в любой момент, на самом деле вам не повезло. Есть шаги, которые вы можете предпринять, чтобы свести риск к минимуму, например, использовать блокировщик рекламы. Но такой удар — не вина пользователя. Однако другие атаки сосредоточены на том, чтобы заставить пользователя что-то сделать. Эти типы атак попадают под широкое понятие атак социальной инженерии.
Социальная инженерия включает в себя использование анализа и понимания того, как люди справляются с определенными ситуациями, чтобы манипулировать результатом. Социальную инженерию можно проводить против больших групп людей. Однако с точки зрения компьютерной безопасности он обычно используется против отдельных лиц, хотя потенциально в рамках крупной кампании.
Примером социальной инженерии против группы людей могут быть попытки вызвать панику в качестве отвлечения внимания. Например, военные проводят операцию под ложным флагом или кто-то кричит «огонь» в людном месте, а затем крадет в хаосе. На каком-то уровне простая пропаганда, азартные игры и реклама также являются методами социальной инженерии.
Однако в компьютерной безопасности действия, как правило, более индивидуальны. Фишинг пытается убедить пользователей щелкнуть ссылку и ввести данные. Многие мошенники пытаются манипулировать, основываясь на страхе или жадности. Атаки социальной инженерии в компьютерной безопасности могут даже проникнуть в реальный мир, например, попытаться получить несанкционированный доступ к серверной комнате. Интересно, что в мире кибербезопасности этот последний сценарий и подобные ему обычно имеют в виду, когда говорят об атаках с использованием социальной инженерии.
Более широкая социальная инженерия – онлайн
Фишинг — это класс атак, который пытается заставить жертву предоставить информацию злоумышленнику с помощью социальной инженерии. Фишинговые атаки обычно осуществляются во внешней системе, например по электронной почте, и поэтому имеют два различных аспекта социальной инженерии. Во-первых, они должны убедить жертву, что сообщение является законным, и заставить ее перейти по ссылке. Затем загружается фишинговая страница, где пользователю будет предложено ввести данные. Обычно это будет их имя пользователя и пароль. Это зависит от первоначального электронного письма и фишинговой страницы, которые выглядят достаточно убедительно, чтобы социальная инженерия заставила пользователя им доверять.
Многие мошенники пытаются с помощью социальной инженерии заставить своих жертв передать деньги. Классическая афера с «нигерийским принцем» обещает крупную выплату, если жертва внесет небольшой аванс. Конечно, после того, как жертва заплатит «гонорар», никакой выплаты не будет. Другие типы мошеннических атак работают по аналогичным принципам. Убедите жертву что-то сделать, например, передать деньги или установить вредоносное ПО. Ransomware даже является примером этого. Жертва должна передать деньги или рискует потерять доступ к любым данным, которые были зашифрованы.
Личная социальная инженерия
Когда социальная инженерия упоминается в мире кибербезопасности, это обычно относится к действиям в реальном мире. Примеров сценариев очень много. Один из самых основных называется «хвост-гейтинг». Это парит достаточно близко позади кого-то, что они держат открытой дверь с контролируемым доступом, чтобы пропустить вас. Отключение хвоста можно усилить, создав сценарий, в котором жертва может вам помочь. Один из способов — пообщаться с курильщиками на улице во время перекура, а затем вернуться внутрь вместе с группой. Еще один способ — показать, что вы несете что-то неуклюжее. Эта техника имеет еще больше шансов на успех, если то, что вы носите, может быть для других. Например, если у вас есть поднос с кофейными кружками для «вашей команды», существует социальное давление на то, чтобы кто-то придержал для вас дверь открытой.
Большая часть личной социальной инженерии опирается на создание сценария, а затем на уверенность в нем. Например, социальный инженер может изображать из себя строителя или уборщика, которого обычно не замечают. Выдавая себя за доброго самаритянина, сдача «потерянной» флешки может привести к тому, что сотрудник подключит ее. Цель состоит в том, чтобы узнать, кому он принадлежит, но затем он может заразить систему вредоносным ПО.
Эти типы атак с использованием социальной инженерии могут быть очень успешными, поскольку никто не ожидает, что их обманут таким образом. Однако они несут в себе большой риск для злоумышленника, у которого есть вполне реальный шанс быть пойманным с поличным.
Заключение
Социальная инженерия — это концепция манипулирования людьми для достижения поставленной цели. Один из способов заключается в создании реальной ситуации, чтобы заставить жертву поверить в нее. Вы также можете создать сценарий, в котором есть социальное давление или ожидание того, что жертва будет действовать вопреки стандартным советам безопасности. Однако все атаки с использованием социальной инженерии основаны на том, чтобы заставить одну или несколько жертв выполнить действие, которое от них хочет злоумышленник.