Социальная инженерия: Краткий обзор
Ключевая цель: Обойти технические системы защиты, атаковав самое слабое звено — человека.
Основные методы и примеры
1. Фишинг (Mass Fishing)
а) Что это: Массовая рассылка писем или сообщений, маскирующихся под официальные уведомления (от банка, соцсети, службы доставки).
б) Цель: Заставить вас перейти по фальшивой ссылке и ввести свои логин, пароль или данные карты на поддельном сайте.
в) Пример: «Ваша учетная запись заблокирована! Срочно перейдите по ссылке, чтобы восстановить доступ».
2. Целевой фишинг (Spear Phishing)
а) Что это: Точечная и тщательно подготовленная атака на конкретного человека или организацию. Злоумышленник изучает жертву через соцсети, чтобы письмо выглядело максимально правдоподобно.
б) Пример: Письмо от имени вашего начальника с просьбой срочно перевести деньги контрагенту или отправить пароль от важного сервиса.
3. Претекстинг (Pretexting)
а) Что это: Атакующий придумывает убедительный предлог (легенду), чтобы выудить информацию.
б) Пример: Звонок «из техподдержки банка» с сообщением о подозрительной операции и просьбой «подтвердить» данные карты или код из SMS для «защиты» средств.
4. Вишинг (Vishing) / Смишинг (Smishing)
а) Что это: Фишинг, но с использованием телефона (voice + phishing) или SMS (Sms + phishing).
б) Пример: СМС: «Вы выиграли приз! Перейдите по ссылке, чтобы его получить». Или звонок: «Это полиция, ваша карта скомпрометирована, назовите коды».
Как защититься? Главные правила
а) Правило 1: Никогда никуда не спешите. Сообщения с пометкой «СРОЧНО!» — главный признак атаки. Создайте паузу, чтобы подумать.
б) Правило 2: Не переходите по подозрительным ссылкам в письмах и сообщениях. Откройте сайт организации вручную через браузер.
в) Правило 3: Никому не сообщайте пароли, пин-коды и коды из SMS. Настоящие сотрудники банка никогда их не спрашивают.
г) Правило 4: Проверяйте личность звонящего. Если звонят «из банка» или «из техподдержки», положите трубку и перезвоните по официальному номеру с сайта организации.
д) Правило 5: Ограничивайте объем личной информации в соцсетях. Чем больше злоумышленник знает о вас, тем убедительнее будет его легенда.
Ключевая цель: Обойти технические системы защиты, атаковав самое слабое звено — человека.
Основные методы и примеры
1. Фишинг (Mass Fishing)
а) Что это: Массовая рассылка писем или сообщений, маскирующихся под официальные уведомления (от банка, соцсети, службы доставки).
б) Цель: Заставить вас перейти по фальшивой ссылке и ввести свои логин, пароль или данные карты на поддельном сайте.
в) Пример: «Ваша учетная запись заблокирована! Срочно перейдите по ссылке, чтобы восстановить доступ».
2. Целевой фишинг (Spear Phishing)
а) Что это: Точечная и тщательно подготовленная атака на конкретного человека или организацию. Злоумышленник изучает жертву через соцсети, чтобы письмо выглядело максимально правдоподобно.
б) Пример: Письмо от имени вашего начальника с просьбой срочно перевести деньги контрагенту или отправить пароль от важного сервиса.
3. Претекстинг (Pretexting)
а) Что это: Атакующий придумывает убедительный предлог (легенду), чтобы выудить информацию.
б) Пример: Звонок «из техподдержки банка» с сообщением о подозрительной операции и просьбой «подтвердить» данные карты или код из SMS для «защиты» средств.
4. Вишинг (Vishing) / Смишинг (Smishing)
а) Что это: Фишинг, но с использованием телефона (voice + phishing) или SMS (Sms + phishing).
б) Пример: СМС: «Вы выиграли приз! Перейдите по ссылке, чтобы его получить». Или звонок: «Это полиция, ваша карта скомпрометирована, назовите коды».
Как защититься? Главные правила
а) Правило 1: Никогда никуда не спешите. Сообщения с пометкой «СРОЧНО!» — главный признак атаки. Создайте паузу, чтобы подумать.
б) Правило 2: Не переходите по подозрительным ссылкам в письмах и сообщениях. Откройте сайт организации вручную через браузер.
в) Правило 3: Никому не сообщайте пароли, пин-коды и коды из SMS. Настоящие сотрудники банка никогда их не спрашивают.
г) Правило 4: Проверяйте личность звонящего. Если звонят «из банка» или «из техподдержки», положите трубку и перезвоните по официальному номеру с сайта организации.
д) Правило 5: Ограничивайте объем личной информации в соцсетях. Чем больше злоумышленник знает о вас, тем убедительнее будет его легенда.
