Соціальна інженерія — це техніка маніпуляції, що використовується для отримання конфіденційної інформації, доступу до систем або виконання певних дій шляхом впливу на людську психологію. Замість того, щоб зламувати технічні системи, зловмисники використовують психологічні прийоми для того, щоб переконати жертв видати свої дані або вчинити дії, які можуть загрожувати безпеці. | |
Використання довіри | Зловмисники часто представляються авторитетними особами або знайомими. |
Використання емоцій | Страх, терміновість або співчуття можуть бути використані для впливу на прийняття рішень. |
Збирання інформації | Часто соціальні інженери збирають інформацію про жертву, щоб зробити свої маніпуляції більш переконливими. |
Типи соціальної інженерії
Фізична соціальна інженерія | форма маніпуляції, яка полягає в отриманні доступу до фізичних об’єктів або приміщень чи отримання важливої інформації шляхом обману або маніпуляції людьми. |
Онлайн соціальна інженерія | форма маніпуляції, що здійснюється через інтернет з метою отримання конфіденційної інформації, доступу до акаунтів або виконання дій, які вигідні зловмисникам. |
Психологічні маніпуляції | техніки, які використовуються зловмисниками для впливу на мислення та поведінку жертв, з метою отримання інформації або досягнення певних цілей. |
Фізична соціальна інженерія
Фізична соціальна інженерія — це форма маніпуляції, яка полягає в отриманні доступу до фізичних об’єктів або приміщень шляхом обману або маніпуляції людьми. Вона часто використовує техніки, які намагаються обійти процедури систем безпеки, покладаючись на людську довіру чи легковажність. | |
Побудова довіри (building trust) | Цей термін використовується для опису процесу, коли зловмисник намагається переконати жертву довіряти йому чи їй, щоб отримати доступ до інформації або ресурсів. Зловмисники можуть представлятися співробітниками компанії, технічними спеціалістами або службовцями, щоб отримати доступ до закритих територій або систем. |
Отримання доступу (getting access) | Цей термін може вказувати на ситуацію, коли зловмисник намагається отримати доступ до об’єктів або інформації, використовуючи фальшиві документи або інші маніпуляції. Використання фальшивих посвідчень особи або інших документів для отримання фізичного доступу до офісів або серверних кімнат. |
Скринінг | Спостереження за працівниками з метою визначення їхніх звичок, розкладу роботи та системи безпеки, щоб знайти уразливості. |
Використання “соціальної акції” | Зловмисник може організувати подію (наприклад, пожертвування або соціальний захід), щоб залучити людей та отримати доступ до закритих зон. |
Залучення допомоги | Просити допомоги у працівників, видаючи себе за кого-небудь, хто потребує допомоги (наприклад, технічна проблема). |
Звичайна розмова | Звичайний діалог також може бути способом отримання важливої інформації про потенційну жертву атаки. Наприклад, зловмисник може прагнути отримати інформацію про вподобання, хоббі чи іншу особисту інформацію. |
Онлайн соціальна інженерія
Онлайн соціальна інженерія — це форма маніпуляції, що здійснюється через інтернет з метою отримання конфіденційної інформації, доступу до акаунтів або виконання дій, які вигідні зловмисникам. Вона використовує різноманітні методи та техніки для маніпуляції людьми, часто ґрунтуючись на довірі чи емоціях. | |
Фішинг | Зловмисники надсилають електронні листи або повідомлення, що виглядають як легітимні, щоб змусити користувачів розкрити свої паролі або фінансову інформацію. |
Pretexting (Створення легенди чи сценарію) | Зловмисник створює вигадану ситуацію або персонажа, щоб отримати інформацію. Наприклад, може представитися співробітником служби підтримки. |
Соціальні мережі | Використання платформ, таких як Facebook чи LinkedIn, для збору інформації про жертв, а також для встановлення контактів та маніпуляцій. Зловмисник може створити підроблений профіль у соціальній мережі та зв’язатися з жертвою, щоб отримати чутливу інформацію. |
Психологічні маніпуляції
Психологічні маніпуляції в контексті соціальної інженерії — це техніки, які використовуються зловмисниками для впливу на мислення та поведінку жертв, з метою отримання інформації або досягнення певних цілей. Ці маніпуляції часто ґрунтуються на розумінні людської психології, емоцій та соціальних норм. До основних технік психологічних маніпуляцій відносять: | |
Створення терміновості | Зловмисники створюють відчуття терміновості, примушуючи жертву діяти швидко, без обдумування. Наприклад, “Ваша картка заблокована, терміново підтверджуйте дані!” |
Використання страху | Маніпулятори можуть погрожувати негативними наслідками (наприклад, юридичними проблемами або фінансовими втратами), щоб примусити жертву діяти. |
Використання авторитету | Зловмисник може представлятися авторитетною особою (наприклад, представником компанії чи правоохоронних органів), щоб отримати довіру та доступ до інформації. |
Емоційний шантаж | Застосування емоцій, як-от жалю чи співчуття, для маніпуляції поведінкою. Наприклад, прохання про фінансову допомогу від “постраждалого”. |
Соціальна валідація | Використання інформації про те, що інші люди вже виконали певну дію, щоб спонукати жертву зробити те ж саме. Наприклад, “Ваші колеги вже підтвердили дані, зробіть це й ви!” |
Залучення до групи | Створення відчуття належності до групи або спільноти, щоб жертва відчувала тиск або бажання відповідати очікуванням. |
Підроблені опитування | Зловмисники можуть створювати опитування, які виглядають безневинно, але насправді збирають особисту інформацію. |
Baiting
Baiting (приманка) — це техніка соціальної інженерії, яка полягає в заманюванні жертви, використовуючи привабливу пропозицію або матеріал, щоб спонукати її до дії, яка може призвести до компрометації даних або системи. Основні характеристики цієї техніки: | |
Пропозиція привабливого контенту | Зловмисники пропонують щось привабливе, наприклад, безкоштовне програмне забезпечення, подарунки, чи цікаві матеріали (фільми, музика). |
Використання фізичних носіїв | Часто baiting реалізується за допомогою заражених USB-накопичувачів, які можуть бути залишені в публічних місцях. Коли жертва вставляє USB в свій комп’ютер, шкідливе програмне забезпечення активується. |
Звернення до емоцій | Техніка може грати на бажанні людини отримати щось безкоштовно або тиснути на співчуття чи викликати у людини цікавість. |
Приклад | Зловмисник може залишити USB-накопичувач з написом “Конфіденційна інформація” у громадському місці. Коли хтось візьме і вставить його в свій комп’ютер, шкідливе програмне забезпечення активується, надаючи зловмисникові доступ до системи. |
Tailgating (або piggybacking)
Tailgating (або piggybacking) — це техніка несанкціонованого доступу, коли одна особа входить в приміщення або на територію, слідуючи за кимось, хто має право доступу. Цей метод часто використовується в контексті фізичної безпеки. | |
Фізичний доступ | Зловмисник може слідувати за співробітником, щоб увійти в об’єкт, не маючи власної картки доступу або іншого дозволу. |
Соціальна інженерія | Зловмисник може спробувати створити враження, що він є частиною організації (наприклад, задаючи питання або представляючись колегою), щоб уникнути підозри |
Короткий проміжок часу | Tailgating зазвичай відбувається швидко, коли двері автоматично відчиняються, або між відкриттям і закриттям дверей. |
Приклад | Зловмисник може чекати біля дверей офісу, поки співробітник проходить через систему контролю доступу. Він може підійти близько, коли двері відкриваються, і входити за співробітником, не привертаючи уваги. |
Захист від соціальної інженерії
Навчання (тренінги) | Регулярно проводьте тренінги для співробітників про методи соціальної інженерії та актуальні загрози. Це допоможе підвищити їхню обізнаність і здатність розпізнавати маніпуляції. |
Перевірка джерел | Завжди перевіряйте достовірність запитів на інформацію. Якщо хтось просить конфіденційні дані, зв’яжіться з ним через офіційний канал (телефон або електронна пошта), щоб підтвердити запит. |
Використання двофакторної автентифікації | Двофакторна аутентифікація значно знижує ризики, навіть якщо пароль був скомпрометований. Це надає додатковий рівень захисту. |
Обмеження доступу до чутливих даних | Надавайте доступ до конфіденційної інформації лише тим співробітникам, які його потребують для виконання своїх обов’язків. |
Використання надійних паролів | Сприяйте створенню складних паролів та їх регулярному оновленню. Уникайте використання однакових паролів для різних облікових записів. |
Моніторинг активності | Регулярно перевіряйте системи на наявність підозрілої активності або доступу, що не відповідає нормі. |
Захист інформації | Використовуйте шифрування даних і засоби захисту для запобігання витокам інформації. |
Захист від соціальної інженерії вимагає комплексного підходу, що включає освіту, навчання та впровадження кращих практик безпеки. Освічені і обізнані співробітники є найкращим захистом від маніпуляцій та атак.
В цьому відео поговоримо про:
00:00 Соціальна інженерія
02:23 Типи соціальної інженерії
04:27 Фізична соціальна інженерія
09:17 Онлайн соціальна інженерія
11:46 Психологічні маніпуляції
20:15 Baiting
22:51 Tailgating (або piggybacking)
26:00 Захист від соціальної інженерії