Соціальна інженерія

Соціальна інженерія — це техніка маніпуляції, що використовується для отримання конфіденційної інформації, доступу до систем або виконання певних дій шляхом впливу на людську психологію. Замість того, щоб зламувати технічні системи, зловмисники використовують психологічні прийоми для того, щоб переконати жертв видати свої дані або вчинити дії, які можуть загрожувати безпеці.
Використання довіриЗловмисники часто представляються авторитетними особами або знайомими.
Використання емоційСтрах, терміновість або співчуття можуть бути використані для впливу на прийняття рішень.
Збирання інформаціїЧасто соціальні інженери збирають інформацію про жертву, щоб зробити свої маніпуляції більш переконливими.
Соціальна інженерія

Типи соціальної інженерії

Фізична соціальна інженеріяформа маніпуляції, яка полягає в отриманні доступу до фізичних об’єктів або приміщень чи отримання важливої інформації шляхом обману або маніпуляції людьми.
Онлайн соціальна інженеріяформа маніпуляції, що здійснюється через інтернет з метою отримання конфіденційної інформації, доступу до акаунтів або виконання дій, які вигідні зловмисникам.
Психологічні маніпуляціїтехніки, які використовуються зловмисниками для впливу на мислення та поведінку жертв, з метою отримання інформації або досягнення певних цілей.
Типи соціальної інженерії

Фізична соціальна інженерія

Фізична соціальна інженерія — це форма маніпуляції, яка полягає в отриманні доступу до фізичних об’єктів або приміщень шляхом обману або маніпуляції людьми. Вона часто використовує техніки, які намагаються обійти процедури систем безпеки, покладаючись на людську довіру чи легковажність.
Побудова довіри (building trust)Цей термін використовується для опису процесу, коли зловмисник намагається переконати жертву довіряти йому чи їй, щоб отримати доступ до інформації або ресурсів. Зловмисники можуть представлятися співробітниками компанії, технічними спеціалістами або службовцями, щоб отримати доступ до закритих територій або систем.
Отримання доступу (getting access)Цей термін може вказувати на ситуацію, коли зловмисник намагається отримати доступ до об’єктів або інформації, використовуючи фальшиві документи або інші маніпуляції. Використання фальшивих посвідчень особи або інших документів для отримання фізичного доступу до офісів або серверних кімнат.
СкринінгСпостереження за працівниками з метою визначення їхніх звичок, розкладу роботи та системи безпеки, щоб знайти уразливості.
Використання “соціальної акції”Зловмисник може організувати подію (наприклад, пожертвування або соціальний захід), щоб залучити людей та отримати доступ до закритих зон.
Залучення допомогиПросити допомоги у працівників, видаючи себе за кого-небудь, хто потребує допомоги (наприклад, технічна проблема).
Звичайна розмоваЗвичайний діалог також може бути способом отримання важливої інформації про потенційну жертву атаки. Наприклад, зловмисник може прагнути отримати інформацію про вподобання, хоббі чи іншу особисту інформацію.
Фізична соціальна інженерія

Онлайн соціальна інженерія

Онлайн соціальна інженерія — це форма маніпуляції, що здійснюється через інтернет з метою отримання конфіденційної інформації, доступу до акаунтів або виконання дій, які вигідні зловмисникам. Вона використовує різноманітні методи та техніки для маніпуляції людьми, часто ґрунтуючись на довірі чи емоціях.
ФішингЗловмисники надсилають електронні листи або повідомлення, що виглядають як легітимні, щоб змусити користувачів розкрити свої паролі або фінансову інформацію.
Pretexting (Створення легенди чи сценарію)Зловмисник створює вигадану ситуацію або персонажа, щоб отримати інформацію. Наприклад, може представитися співробітником служби підтримки.
Соціальні мережіВикористання платформ, таких як Facebook чи LinkedIn, для збору інформації про жертв, а також для встановлення контактів та маніпуляцій. Зловмисник може створити підроблений профіль у соціальній мережі та зв’язатися з жертвою, щоб отримати чутливу інформацію.
Онлайн соціальна інженерія

Психологічні маніпуляції

Психологічні маніпуляції в контексті соціальної інженерії — це техніки, які використовуються зловмисниками для впливу на мислення та поведінку жертв, з метою отримання інформації або досягнення певних цілей. Ці маніпуляції часто ґрунтуються на розумінні людської психології, емоцій та соціальних норм. До основних технік психологічних маніпуляцій відносять:
Створення терміновостіЗловмисники створюють відчуття терміновості, примушуючи жертву діяти швидко, без обдумування. Наприклад, “Ваша картка заблокована, терміново підтверджуйте дані!”
Використання страхуМаніпулятори можуть погрожувати негативними наслідками (наприклад, юридичними проблемами або фінансовими втратами), щоб примусити жертву діяти.
Використання авторитетуЗловмисник може представлятися авторитетною особою (наприклад, представником компанії чи правоохоронних органів), щоб отримати довіру та доступ до інформації.
Емоційний шантажЗастосування емоцій, як-от жалю чи співчуття, для маніпуляції поведінкою. Наприклад, прохання про фінансову допомогу від “постраждалого”.
Соціальна валідаціяВикористання інформації про те, що інші люди вже виконали певну дію, щоб спонукати жертву зробити те ж саме. Наприклад, “Ваші колеги вже підтвердили дані, зробіть це й ви!”
Залучення до групиСтворення відчуття належності до групи або спільноти, щоб жертва відчувала тиск або бажання відповідати очікуванням.
Підроблені опитуванняЗловмисники можуть створювати опитування, які виглядають безневинно, але насправді збирають особисту інформацію.
Психологічні маніпуляції

Baiting

Baiting (приманка) — це техніка соціальної інженерії, яка полягає в заманюванні жертви, використовуючи привабливу пропозицію або матеріал, щоб спонукати її до дії, яка може призвести до компрометації даних або системи. Основні характеристики цієї техніки:
Пропозиція привабливого контентуЗловмисники пропонують щось привабливе, наприклад, безкоштовне програмне забезпечення, подарунки, чи цікаві матеріали (фільми, музика).
Використання фізичних носіївЧасто baiting реалізується за допомогою заражених USB-накопичувачів, які можуть бути залишені в публічних місцях. Коли жертва вставляє USB в свій комп’ютер, шкідливе програмне забезпечення активується.
Звернення до емоційТехніка може грати на бажанні людини отримати щось безкоштовно або тиснути на співчуття чи викликати у людини цікавість.
ПрикладЗловмисник може залишити USB-накопичувач з написом “Конфіденційна інформація” у громадському місці. Коли хтось візьме і вставить його в свій комп’ютер, шкідливе програмне забезпечення активується, надаючи зловмисникові доступ до системи.
Baiting

Tailgating (або piggybacking)

Tailgating (або piggybacking) — це техніка несанкціонованого доступу, коли одна особа входить в приміщення або на територію, слідуючи за кимось, хто має право доступу. Цей метод часто використовується в контексті фізичної безпеки.
Фізичний доступЗловмисник може слідувати за співробітником, щоб увійти в об’єкт, не маючи власної картки доступу або іншого дозволу.
Соціальна інженеріяЗловмисник може спробувати створити враження, що він є частиною організації (наприклад, задаючи питання або представляючись колегою), щоб уникнути підозри
Короткий проміжок часуTailgating зазвичай відбувається швидко, коли двері автоматично відчиняються, або між відкриттям і закриттям дверей.
ПрикладЗловмисник може чекати біля дверей офісу, поки співробітник проходить через систему контролю доступу. Він може підійти близько, коли двері відкриваються, і входити за співробітником, не привертаючи уваги.
Tailgating (або piggybacking)

Захист від соціальної інженерії

Навчання (тренінги)Регулярно проводьте тренінги для співробітників про методи соціальної інженерії та актуальні загрози. Це допоможе підвищити їхню обізнаність і здатність розпізнавати маніпуляції.
Перевірка джерелЗавжди перевіряйте достовірність запитів на інформацію. Якщо хтось просить конфіденційні дані, зв’яжіться з ним через офіційний канал (телефон або електронна пошта), щоб підтвердити запит.
Використання двофакторної автентифікаціїДвофакторна аутентифікація значно знижує ризики, навіть якщо пароль був скомпрометований. Це надає додатковий рівень захисту.
Обмеження доступу до чутливих данихНадавайте доступ до конфіденційної інформації лише тим співробітникам, які його потребують для виконання своїх обов’язків.
Використання надійних паролівСприяйте створенню складних паролів та їх регулярному оновленню. Уникайте використання однакових паролів для різних облікових записів.
Моніторинг активностіРегулярно перевіряйте системи на наявність підозрілої активності або доступу, що не відповідає нормі.
Захист інформаціїВикористовуйте шифрування даних і засоби захисту для запобігання витокам інформації.
Захист від соціальної інженерії

Захист від соціальної інженерії вимагає комплексного підходу, що включає освіту, навчання та впровадження кращих практик безпеки. Освічені і обізнані співробітники є найкращим захистом від маніпуляцій та атак.

Соціальна інженерія

В цьому відео поговоримо про:
00:00 Соціальна інженерія
02:23 Типи соціальної інженерії
04:27 Фізична соціальна інженерія
09:17 Онлайн соціальна інженерія
11:46 Психологічні маніпуляції
20:15 Baiting
22:51 Tailgating (або piggybacking)
26:00 Захист від соціальної інженерії

Leave a Reply

Your email address will not be published. Required fields are marked *