Социальная инженерия представляет собой способ обмана, заставляющий жертву самостоятельно предоставить доступ к данным или системам.

Злоумышленники обходят технические уязвимости, эксплуатируя психологию: доверие, любопытство, страх, спешку.

Хакеры изучают, где работают люди, с кем общаются, какие сайты посещают, что пишут в чатах или публикуют в соцсетях, создавая правдоподобные ситуации, кажущиеся безопасными.

Что такое социальная инженерия?

Представьте: приходит письмо от коллеги с темой "Срочный отчет для совещания". Текст выглядит знакомо, упоминается текущая задача, приложена ссылка на "документ". Сотрудник кликает, вводит пароль на сайте, похожем на корпоративный портал, после чего данные попадают к злоумышленникам.

Spear phishing (целенаправленный фишинг) атака основана на предварительном изучении жертвы: должности, имен коллег, проектов, иногда с подделкой подписи через фото из соцсетей.

Цель часто выходит за рамки кражи пароля, включая установку шпионских программ для слежки. Обычный фишинг (обман через поддельные письма) проще: письмо от "банка" просит "подтвердить данные" из-за сбоя.

Жертва не замечает лишнюю букву в адресе, передавая логин. Письмо, адресованное руководителю с текстом вроде "срочный запрос от аудиторов" и заражённым вложением, относится к whale phishing (фишинг на крупную рыбу), нацеленному на ключевые данные компании. Методы социальной инженерии Атака порой начинается с телефонного звонка. Поздно вечером "ИТ-шник из офиса" сообщает, что сервер упал, требуя пароль для восстановления.

Уверенный голос ссылается на имя коллеги из соцсетей, жертва называет данные без проверки.

Вишинг (фишинг через голосовые звонки) обманывает через телефон, рассчитывая на усталость или спешку. Голосовые сообщения в мессенджерах, такие как "Срочно перезвони, проблема с аккаунтом!", побуждают перезвонить, заманивая в ловушку. SMS в разгар дня с текстом "Платеж не прошел, уточните данные по ссылке" провоцирует клик, устанавливая на телефон приложение, крадущее сообщения и пароли.

Смайшинг (фишинг через SMS) использует привычку быстро отвечать. Хакеры копируют знакомое письмо, заменяя ссылку на фальшивую. Жертва открывает его, доверяя тексту, после чего компьютер становится частью сети атак или блокирует файлы. Такой метод называется clone phishing (фишинг с подделкой известного письма). Звонок от "техника" с просьбой предоставить доступ для "проверки сети" и ссылкой на имя руководителя из соцсетей убеждает жертву. Pretexting (обман с выдуманной историей) строится на личных данных для создания доверия.

Существуют хитрые уловки. В офисе находят флешку с ярлыком "Презентация для совещания". Подключив её из любопытства, жертва запускает вирус, крадущий данные или шифрующий файлы. Baiting (обман через приманку) играет на любопытстве. Сообщение в Telegram "Бесплатно обновим антивирус, введите пароль для настройки" заманивает в ловушку quid pro quo (услуга за услугу). В повседневной жизни распространены фальшивые объявления о скидках, вроде "Суперраспродажа в интернет-магазине, только сегодня!", ведущие на поддельный сайт, крадущий данные карты. ...

Личные фото, например, с отпуска, подделывают профиль знакомого. Встречи вживую тоже опасны. На отраслевом мероприятии некто спрашивает о программном обеспечении офиса, упоминая детали из соцсетей, вроде недавней поездки. Жертва отвечает, не подозревая угрозы, предоставляя данные для атаки.

Некто с тяжелой коробкой просит придержать дверь в офис, проникая без проверки и подключаясь к сети.

Tailgating (проникновение за чужим пропуском) обманывает в реальном мире. Выброшенные бумаги с паролями или контактами служат источником для dumpster diving (поиск информации в мусоре),... ... Уязвимость кроется в людях: даже самая надежная техника бессильна, если доступ передается добровольно.

Подробнее: https://t.me/scontrols