Co to jest Inżynieria społeczna? 11 przykładów, na które należy uważać
Spis treści
Czym właściwie jest inżynieria społeczna?
Inżynieria społeczna odnosi się do manipulowania ludźmi w celu wydobycia ich poufnych informacji. Rodzaje informacji, których szukają przestępcy, mogą być różne. Zwykle celem ataków są dane bankowe lub hasła do kont. Przestępcy próbują również uzyskać dostęp do komputera ofiary, aby zainstalować złośliwe oprogramowanie. To oprogramowanie pomaga im następnie wyodrębnić wszelkie informacje, których mogą potrzebować.
Przestępcy stosują taktyki socjotechniczne, ponieważ często łatwo jest wykorzystać osobę, zdobywając jej zaufanie i przekonując ją do ujawnienia swoich danych osobowych. Jest to wygodniejszy sposób niż bezpośrednie włamanie się do czyjegoś komputera bez jego wiedzy.
Przykłady inżynierii społecznej
Będziesz mógł lepiej się chronić, będąc informowanym o różnych sposobach wykonywania inżynierii społecznej.
1. Udawanie
Pretexting jest używany, gdy przestępca chce uzyskać dostęp do poufnych informacji od ofiary w celu wykonania krytycznego zadania. Atakujący próbuje uzyskać informacje za pomocą kilku starannie spreparowanych kłamstw.
Przestępca zaczyna od nawiązania zaufania z ofiarą. Można tego dokonać, podszywając się pod znajomych, współpracowników, urzędników banku, policję lub inne władze, które mogą poprosić o takie poufne informacje. Atakujący zadaje im serię pytań pod pretekstem potwierdzenia tożsamości i zbiera w tym procesie dane osobowe.
Ta metoda służy do wydobywania wszelkiego rodzaju danych osobowych i oficjalnych od osoby. Takie informacje mogą obejmować adresy osobiste, numery ubezpieczenia społecznego, numery telefonów, rejestry rozmów telefonicznych, dane bankowe, daty urlopów pracowników, informacje dotyczące bezpieczeństwa związane z firmami i tak dalej.
2. Kradzież przekierowań
Jest to rodzaj oszustwa wymierzony w firmy kurierskie i transportowe. Przestępca próbuje oszukać atakowaną firmę, zmuszając ją do dostarczenia paczki do innego miejsca dostawy niż pierwotnie zamierzano. Ta technika służy do kradzieży cennych towarów dostarczanych pocztą.
To oszustwo może być przeprowadzane zarówno offline, jak i online. Można podejść do personelu przewożącego paczki i przekonać go do pozostawienia dostawy w innym miejscu. Atakujący mogą również uzyskać dostęp do systemu dostarczania online. Następnie mogą przechwycić harmonogram dostaw i wprowadzić w nim zmiany.
3. Wyłudzanie informacji
Phishing to jedna z najpopularniejszych form inżynierii społecznej. Oszustwa typu phishing obejmują e-maile i wiadomości tekstowe, które mogą wzbudzić w ofiarach poczucie ciekawości, strachu lub pilności. Wiadomość tekstowa lub e-mail zachęca ich do klikania linków, które prowadzą do złośliwych stron internetowych lub załączników, które instalują złośliwe oprogramowanie na ich urządzeniach.
Na przykład użytkownicy usługi online mogą otrzymać wiadomość e-mail z informacją, że nastąpiła zmiana zasad, która wymaga od nich natychmiastowej zmiany haseł. Wiadomość będzie zawierać link do nielegalnej strony internetowej, która jest identyczna z oryginalną stroną internetową. Następnie użytkownik wprowadzi dane logowania do swojego konta w tej witrynie, uznając ją za legalną. Po przesłaniu swoich danych informacje będą dostępne dla przestępcy.
4. Wyłudzanie informacji
Jest to rodzaj oszustwa phishingowego, które jest bardziej ukierunkowane na konkretną osobę lub organizację. Atakujący dostosowuje swoje wiadomości w oparciu o stanowiska, cechy i kontrakty związane z ofiarą, tak aby wyglądały na bardziej autentyczne. Spear phishing wymaga od przestępcy większego wysiłku i może zająć dużo więcej czasu niż zwykły phishing. Są jednak trudniejsze do zidentyfikowania i mają lepszy wskaźnik sukcesu.
Na przykład osoba atakująca podejmująca próbę spear phishingu w organizacji wyśle wiadomość e-mail do pracownika podszywającego się pod konsultanta IT firmy. Wiadomość e-mail zostanie oprawiona w sposób dokładnie podobny do tego, jak robi to konsultant. Będzie wydawać się wystarczająco autentyczny, aby oszukać odbiorcę. Wiadomość e-mail poprosi pracownika o zmianę hasła, dostarczając mu link do złośliwej strony internetowej, która zarejestruje jego dane i wyśle je do atakującego.
5. Wodociągi
Oszustwo związane z wodopojami wykorzystuje wiarygodne strony internetowe, które są regularnie odwiedzane przez wiele osób. Przestępca zbierze informacje dotyczące docelowej grupy osób, aby określić, które strony internetowe często odwiedzają. Strony te zostaną następnie przetestowane pod kątem luk w zabezpieczeniach. Z czasem jeden lub więcej członków tej grupy zostanie zainfekowanych. Osoba atakująca będzie wtedy mogła uzyskać dostęp do bezpiecznego systemu tych zainfekowanych użytkowników.
Nazwa pochodzi od analogii do tego, jak zwierzęta piją wodę, gromadząc się w swoich zaufanych miejscach, gdy są spragnione. Nie zastanawiają się dwa razy nad podjęciem środków ostrożności. Drapieżniki są tego świadome, więc czekają w pobliżu, gotowe do ataku, gdy stracą czujność. Wodopoje w cyfrowym krajobrazie można wykorzystać do przeprowadzenia w tym samym czasie najbardziej niszczycielskich ataków na grupę wrażliwych użytkowników.
6. Przynęta
Jak wynika z nazwy, przynęta polega na użyciu fałszywej obietnicy, aby wzbudzić ciekawość lub chciwość ofiary. Ofiara zostaje zwabiona w cyfrową pułapkę, która pomoże przestępcy ukraść jej dane osobowe lub zainstalować złośliwe oprogramowanie w jej systemach.
Przynęta może odbywać się zarówno za pośrednictwem mediów online, jak i offline. Jako przykład offline przestępca może zostawić przynętę w postaci dysku flash, który został zainfekowany złośliwym oprogramowaniem w widocznych miejscach. Może to być winda, łazienka, parking itp. docelowej firmy. Pendrive będzie miał autentyczny wygląd, co sprawi, że ofiara weźmie go i włoży do komputera w pracy lub w domu. Dysk flash automatycznie wyeksportuje złośliwe oprogramowanie do systemu.
Internetowe formy przynęty mogą przybierać formę atrakcyjnych i kuszących reklam, które zachęcają ofiary do kliknięcia. Łącze może pobrać złośliwe programy, które następnie zainfekują ich komputer złośliwym oprogramowaniem.
7. Quid pro quo
Atak quid pro quo oznacza atak „coś za coś”. Jest to odmiana techniki nęcenia. Zamiast kusić ofiary obietnicą korzyści, atak quid pro quo obiecuje usługę, jeśli określone działanie zostało wykonane. Atakujący oferuje ofierze fałszywą korzyść w zamian za dostęp lub informacje.
Najczęstszą formą tego ataku jest podszywanie się przez przestępcę pod personel IT firmy. Następnie przestępca kontaktuje się z pracownikami firmy i oferuje im nowe oprogramowanie lub aktualizację systemu. Pracownik zostanie następnie poproszony o wyłączenie oprogramowania antywirusowego lub zainstalowanie złośliwego oprogramowania, jeśli chce uaktualnienia.
8. Podążanie za ogonem
Atak tailgating jest również nazywany piggybacking. Polega na tym, że przestępca szuka wejścia do zastrzeżonej lokalizacji, która nie ma odpowiednich środków uwierzytelniających. Przestępca może uzyskać dostęp, przechodząc za inną osobą, która została upoważniona do wejścia na teren.
Na przykład przestępca może podszywać się pod dostawcę, który ma ręce pełne paczek. Czeka, aż upoważniony pracownik wejdzie do drzwi. Podszywający się dostawca prosi następnie pracownika, aby przytrzymał mu drzwi, umożliwiając mu w ten sposób dostęp bez żadnej autoryzacji.
9. Pułapka na miód
Ta sztuczka polega na tym, że przestępca udaje atrakcyjną osobę w Internecie. Osoba zaprzyjaźnia się ze swoimi celami i udaje, że nawiązuje z nimi związek online. Następnie przestępca wykorzystuje tę relację, aby wydobyć dane osobowe swoich ofiar, pożyczyć od nich pieniądze lub zmusić je do zainstalowania złośliwego oprogramowania na swoich komputerach.
Nazwa „pułapka na miód” pochodzi od starej taktyki szpiegowskiej, w której kobiety były wykorzystywane do atakowania mężczyzn.
10. Łotrzyk
Fałszywe oprogramowanie może pojawić się w postaci nieuczciwego oprogramowania anty-malware, nieuczciwego skanera, nieuczciwego scareware, antyspyware i tak dalej. Ten rodzaj złośliwego oprogramowania komputerowego nakłania użytkowników do zapłacenia za symulowane lub fałszywe oprogramowanie, które obiecuje usunąć złośliwe oprogramowanie. Fałszywe oprogramowanie zabezpieczające stało się w ostatnich latach coraz większym problemem. Niczego niepodejrzewający użytkownik może łatwo paść ofiarą takiego oprogramowania, którego jest mnóstwo.
11. Złośliwe oprogramowanie
Celem ataku złośliwego oprogramowania jest skłonienie ofiary do zainstalowania złośliwego oprogramowania w swoich systemach. Atakujący manipuluje ludzkimi emocjami, aby ofiara wpuściła złośliwe oprogramowanie na swoje komputery. Technika ta polega na wykorzystywaniu wiadomości błyskawicznych, wiadomości tekstowych, mediów społecznościowych, poczty e-mail itp. do wysyłania wiadomości phishingowych. Wiadomości te nakłaniają ofiarę do kliknięcia łącza, które otwiera stronę internetową zawierającą złośliwe oprogramowanie.
W wiadomościach często stosuje się taktykę zastraszania. Mogą powiedzieć, że coś jest nie tak z Twoim kontem i że musisz natychmiast kliknąć podany link, aby zalogować się na swoje konto. Link spowoduje następnie pobranie pliku, za pomocą którego złośliwe oprogramowanie zostanie zainstalowane na twoim komputerze.
Bądź świadomy, bądź bezpieczny
Bycie na bieżąco informowanym to pierwszy krok w kierunku ochrony przed ataki socjotechniczne. Podstawową wskazówką jest ignorowanie wszelkich wiadomości z prośbą o podanie hasła lub informacji finansowych. Możesz użyć filtrów antyspamowych dostarczanych z usługami e-mail, aby oznaczyć takie e-maile. Uzyskanie zaufanego oprogramowania antywirusowego pomoże również w dalszym zabezpieczeniu systemu.
