Ce este Inginerie sociala? 11 exemple de care să aveți grijă
Cuprins
Ce este, de fapt, Ingineria Socială?
Ingineria socială se referă la actul de manipulare a oamenilor pentru a le extrage informațiile confidențiale. Tipul de informații pe care infractorii le caută poate varia. De obicei, persoanele sunt vizate pentru detaliile bancare sau parolele contului. Infractorii încearcă, de asemenea, să acceseze computerul victimei, astfel încât să instaleze software rău intenționat. Acest software îi ajută apoi să extragă orice informații de care ar putea avea nevoie.
Infractorii folosesc tactici de inginerie socială pentru că deseori este ușor să exploatezi o persoană câștigându-i încrederea și convingându-l să renunțe la detaliile lor personale. Este o modalitate mai convenabilă decât piratarea directă a computerului cuiva fără știrea acestuia.
Exemple de inginerie socială
Veți putea să vă protejați mai bine, fiind informați despre diferitele moduri în care se realizează ingineria socială.
1. Pretextarea
Pretextul este folosit atunci când infractorul dorește să acceseze informații sensibile de la victimă pentru îndeplinirea unei sarcini critice. Atacatorul încearcă să obțină informația prin mai multe minciuni elaborate cu grijă.
Infractorul începe prin a stabili încrederea victimei. Acest lucru se poate face prin uzurparea identității prietenilor, colegilor, oficialilor băncii, poliției sau altor autorități care le pot solicita astfel de informații sensibile. Atacatorul le pune o serie de întrebări cu pretextul de a le confirma identitatea și adună date personale în acest proces.
Această metodă este folosită pentru a extrage tot felul de detalii personale și oficiale de la o persoană. Astfel de informații pot include adrese personale, numere de securitate socială, numere de telefon, înregistrări telefonice, detalii bancare, datele de vacanță ale personalului, informații de securitate legate de afaceri și așa mai departe.
2. Furtul de diversiune
Acesta este un tip de escrocherie care se adresează în general companiilor de curierat și transport. Infractorul încearcă să păcălească compania țintă, punându-le să-și furnizeze pachetul de livrare într-o altă locație de livrare decât cea prevăzută inițial. Această tehnică este folosită pentru a fura bunuri prețioase care sunt livrate prin poștă.
Această înșelătorie poate fi efectuată atât offline, cât și online. Personalul care transportă pachetele poate fi abordat și convins să lase livrarea într-o altă locație. Atacatorii ar putea avea, de asemenea, acces la sistemul de livrare online. Ei pot apoi intercepta programul de livrare și pot aduce modificări acestuia.
3. phishing
Phishingul este una dintre cele mai populare forme de inginerie socială. Escrocherii de tip phishing implică e-mailuri și mesaje text care ar putea crea un sentiment de curiozitate, frică sau urgență în victime. Textul sau e-mailul îi îndeamnă să facă clic pe linkuri care ar duce la site-uri web rău intenționate sau atașamente care ar instala malware pe dispozitivele lor.
De exemplu, utilizatorii unui serviciu online ar putea primi un e-mail care susține că a existat o modificare a politicii care le impune să-și schimbe imediat parolele. E-mailul va conține un link către un site web ilegal care este identic cu site-ul original. Utilizatorul va introduce apoi acreditările contului său pe acel site web, considerând că acesta este cel legitim. La transmiterea detaliilor acestora, informațiile vor fi accesibile infractorului.
4. Spear Phishing
Acesta este un tip de înșelătorie de tip phishing care este mai orientat către o anumită persoană sau o organizație. Atacatorul își personalizează mesajele în funcție de posturile, caracteristicile și contractele legate de victimă, astfel încât acestea să pară mai autentice. Spear phishing necesită mai mult efort din partea criminalului și poate dura mult mai mult timp decât phishingul obișnuit. Cu toate acestea, sunt mai greu de identificat și au o rată de succes mai bună.
De exemplu, un atacator care încearcă spear phishing asupra unei organizații va trimite un e-mail unui angajat care se uită la consultantul IT al companiei. E-mailul va fi încadrat într-un mod exact similar cu modul în care o face consultantul. Va părea suficient de autentic pentru a înșela destinatarul. E-mailul va solicita angajatului să-și schimbe parola, oferindu-i un link către o pagină web rău intenționată care le va înregistra informațiile și le va trimite atacatorului.
5. Holing
Înșelătoria de tip water-holing profită de site-urile web de încredere care sunt vizitate în mod regulat de o mulțime de oameni. Infractorul va aduna informații cu privire la un grup țintă de persoane pentru a determina ce site-uri web vizitează frecvent. Aceste site-uri web vor fi apoi testate pentru vulnerabilități. Cu timpul, unul sau mai mulți membri ai acestui grup se vor infecta. Atacatorul va putea apoi să acceseze sistemul securizat al acestor utilizatori infectați.
Numele provine din analogia modului în care animalele beau apă adunându-se în locurile lor de încredere atunci când le este sete. Nu se gândesc de două ori la luarea măsurilor de precauție. Prădătorii sunt conștienți de acest lucru, așa că așteaptă în apropiere, gata să-i atace când garda jos. Apăsarea în peisajul digital poate fi folosită pentru a realiza unele dintre cele mai devastatoare atacuri asupra unui grup de utilizatori vulnerabili în același timp.
6. Momeala
După cum reiese din nume, momeala implică utilizarea unei promisiuni false pentru a declanșa curiozitatea sau lăcomia victimei. Victima este atrasă într-o capcană digitală care îl va ajuta pe criminal să-și fure detaliile personale sau să instaleze programe malware în sistemele lor.
Momeala poate avea loc atât prin medii online, cât și offline. Ca exemplu offline, criminalul ar putea lăsa momeala sub forma unei unități flash care a fost infectată cu malware în locații vizibile. Acesta ar putea fi liftul, baia, parcarea etc., ale companiei vizate. Unitatea flash va avea un aspect autentic, ceea ce o va face pe victimă să o ia și să o introducă în computerul de la serviciu sau de acasă. Unitatea flash va exporta automat malware în sistem.
Formele online de momeală pot fi sub formă de reclame atractive și atrăgătoare care ar încuraja victimele să facă clic pe ele. Link-ul poate descărca programe rău intenționate, care apoi le vor infecta computerul cu programe malware.
7. Quid Pro Quo
Un atac quid pro quo înseamnă un atac „ceva pentru ceva”. Este o variație a tehnicii de momeală. În loc să momeze victimele cu promisiunea unui beneficiu, un atac contrar pro quo promite un serviciu dacă o anumită acțiune a fost executată. Atacatorul oferă victimei un beneficiu fals în schimbul accesului sau informațiilor.
Cea mai comună formă a acestui atac este atunci când un infractor se uită la personalul IT al unei companii. Infractorul contactează apoi angajații companiei și le oferă un nou software sau un upgrade de sistem. Angajatului i se va cere apoi să-și dezactiveze software-ul antivirus sau să instaleze software rău intenționat dacă dorește upgrade-ul.
8. Tailgating
Un atac de tailgating se mai numește și piggybacking. Acesta implică infractorul care urmărește intrarea într-o locație restricționată care nu are măsuri de autentificare adecvate. Infractorul poate avea acces intrând în spatele unei alte persoane care a fost autorizată să intre în zonă.
De exemplu, infractorul poate uzurpa identitatea unui șofer de livrare care are mâinile pline de pachete. Asteapta sa intre pe usa un angajat autorizat. Tipul de livrare impostor îi cere apoi angajatului să țină ușa pentru el, permițându-i astfel să acceseze fără nicio autorizație.
9. Capcană de miere
Acest truc implică criminalul care se preface a fi o persoană atractivă online. Persoana se împrietenește cu țintele lor și falsifică o relație online cu ea. Infractorul profită apoi de această relație pentru a extrage detaliile personale ale victimelor, pentru a împrumuta bani de la ele sau pentru a le face să instaleze programe malware în computerele lor.
Numele „honeytrap” provine de la vechea tactică de spionaj în care femeile erau folosite pentru a-ți viza bărbații.
10. Necinstiţi
Software-ul necinstiți ar putea apărea sub formă de anti-malware necinstiți, scaner necinstiți, software-uri de sperietură necinstiți, anti-spyware și așa mai departe. Acest tip de malware pentru computer inducă în eroare utilizatorii să plătească pentru un software simulat sau fals care a promis să elimine malware. Software-ul de securitate nepoliticos a devenit o preocupare tot mai mare în ultimii ani. Un utilizator care nu bănuiește ar putea cădea cu ușurință pradă unui astfel de software, care este disponibil din abundență.
11. Programele malware
Obiectivul unui atac de malware este de a determina victima să instaleze malware în sistemele lor. Atacatorul manipulează emoțiile umane pentru a face victima să permită malware-ul să intre în computerele lor. Această tehnică implică utilizarea de mesaje instant, mesaje text, rețele sociale, e-mail etc., pentru a trimite mesaje de phishing. Aceste mesaje o păcălesc pe victimă să facă clic pe un link care va deschide un site web care conține malware.
Tacticile de sperietură sunt adesea folosite pentru mesaje. Ei ar putea spune că există ceva în neregulă cu contul dvs. și că trebuie să faceți imediat clic pe linkul furnizat pentru a vă conecta la contul dvs. Linkul vă va face apoi să descărcați un fișier prin care malware-ul va fi instalat pe computer.
Fii conștient, fii în siguranță
A te informa este primul pas spre a te proteja de atacuri de inginerie socială. Un sfat de bază este să ignorați orice mesaj care vă solicită parola sau informațiile financiare. Puteți utiliza filtrele de spam care vin cu serviciile dvs. de e-mail pentru a semnala astfel de e-mailuri. Obținerea unui software antivirus de încredere vă va ajuta, de asemenea, să vă securizați și mai mult sistemul.
