Diverse

6 dintre cele mai frecvente atacuri cibernetice de inginerie socială

6 dintre cele mai frecvente atacuri cibernetice de inginerie socială

Atacurile de inginerie socială pot fi foarte convingătoare și, potențial, foarte costisitoare pentru victime. Inginerii sociali vor folosi o varietate de tehnici pentru a culege informații sensibile de la victime pentru propriul lor beneficiu comercial sau de altă natură.

Aici explorăm ce fac inginerii sociali și evidențiem șase strategii comune pe care le folosesc.

ÎN LEGĂTURĂ: CUM SĂ TE PROTEJI DE LA DEVENIREA O VICTIMĂ A CIBERSTALKINGULUI

Ce este ingineria socială cibernetică?

Ingineria socială, în cazul în care nu sunteți conștient, este utilizarea diferitelor tehnici psihologice pentru a frauda sau a culege informații sensibile de la o persoană sau organizație.

În contextul acestui articol, termenul de inginerie socială este folosit în referință la securitatea informației, mai degrabă decât la strategiile planificate central utilizate pentru a încuraja, deși de obicei forța, schimbarea socială pentru a reglementa dezvoltarea viitoare și comportamentul într-o societate.

„[Utilizarea] înșelăciunii pentru a manipula indivizii pentru a divulga informații confidențiale sau personale care pot fi utilizate în scopuri frauduloase.” - Lexico.com.

Este un termen foarte larg și include o serie de activități rău intenționate care utilizează interacțiunile umane pentru a obține date în scopuri comerciale sau pentru un alt beneficiu pentru atacator.

Care sunt câteva exemple de atacuri de inginerie socială?

Iată șase exemple de atacuri comune de inginerie socială. Următoarele exemple nu au o ordine specială și sunt departe de a fi exhaustive.

1. Phishingul este o strategie foarte comună

Phishingul este una, dacă nu chiar cea mai comună formă de atac cibernetic de inginerie socială. Potrivit site-urilor precum lifewire.com, acesta reprezintă de fapt o cantitate substanțială din toate e-mailurile spam primite zilnic de oameni.

Dar poate fi încercat și prin SMS, IM și alte forme de interacțiune cu rețelele sociale.

Aceste forme de mesaje încearcă să vă păcălească în a divulga informații sensibile, cum ar fi parolele, detaliile cardului etc., direct sau vizitați o adresă URL frauduloasă pentru a extrage informații similare.

Cele mai avansate tipuri ale acestei forme de atac de inginerie socială încearcă să imite o instituție de încredere și de încredere, cum ar fi banca ta etc. etc.).

2. Atacurile cu gauri de udare sunt o formă obișnuită de spionaj cibernetic

Atacurile din gaurile de udare constau în indivizi nefasti care injectează cod rău intenționat pe site-urile publice pentru a ataca utilizatorii obișnuiți.

"În acest atac, atacatorul ghicește sau observă ce site-uri web [un grup țintă] folosește adesea și infectează unul sau mai multe dintre acestea cu malware. În cele din urmă, un membru al grupului vizat se infectează", potrivit Wikipedia.

Atunci când utilizatorii vizitează site-ul, site-ul web cuprinde deschide un troian backdoor pe computerul utilizatorului. Metoda de atac a găurilor de udare este foarte frecventă pentru operațiunile de spionaj cibernetic sau atacurile sponsorizate de stat.

3. Tailgating poate fi o problemă reală

Tailgating-ul, așa cum sugerează și numele, este o formă de atac de inginerie socială care este utilizată pentru a oferi unui individ fizic rău intenționat accesul fizic la o zonă fără o autorizație adecvată. În cele mai simple forme, un atacator va aștepta ca o persoană autorizată să-și folosească cardul de acces sau acreditările biometrice pentru a deschide o ușă de acces electronică.

Apoi vor trece pur și simplu prin ușă înainte ca aceasta să se închidă.

Versiunile mai avansate implică utilizarea jocului pe generozitatea cuiva. De exemplu, se pot supraîncărca cu obiecte grele și pot aștepta la ușa de acces.

Când se apropie un angajat autorizat, acesta va susține că nu poate ajunge la propriul card de acces și le va cere să le deschidă ușa.

4. Pretextarea poate fi foarte convingătoare

Pretextarea, în opoziție cu phishing-ul, încearcă să extragă informații sensibile creând încredere în timp. Atacatorul va crea un pretext credibil, dar complet fabricat, pentru a pune bazele și a sparge apărările victimei în timp.

De exemplu, apelează o țintă și pretind că necesită anumite informații pentru a activa un cont de sistem nou sau pentru a-și verifica identitatea. Versiunile mai sofisticate vor construi o relație de-a lungul zilelor sau săptămânilor și pot prelua identitatea unui angajat efectiv în departamentul IT al victimei lor.

Acest tip de tactică este utilizată pentru a câștiga încrederea victimei și pentru a crește probabilitatea ca acestea să divulge informațiile solicitate fără ezitare.

5. Atacurile de vânătoare de balene tind să vizeze personalul de conducere superior

Vânătoarea de balene este o formă mai sofisticată de phishing care folosește tehnici de inginerie socială mai avansate pentru a culege informații sensibile. Tinde să pună responsabilitatea asupra informațiilor care au o valoare economică și comercială mai mare pentru atacator.

„Ceea ce distinge această categorie de phishing de alții este alegerea țintelor: directori relevanți ai afacerilor private și agenții guvernamentale. Se folosește cuvântul vânătoare de balene, care indică faptul că ținta este un pește mare de capturat.” - infosecinstitute.com.

E-mailurile din atacurile de vânătoare de balene tind să preia pretenția e-mailurilor de afaceri critice care sunt trimise de autoritățile legitime sau de alte organizații importante. Conținutul mesajului tinde, de asemenea, să vizeze o gestionare superioară și va include adesea informații false referitoare la probleme la nivelul întregii companii sau alte probleme confidențiale.

6. Atacurile Baiting și Quid Pro Quo

Momeala este un alt atac nefast de inginerie socială care încearcă să se joace pe curiozitatea victimei. Un exemplu clasic va face uz de fișiere rău intenționate deghizate ca altceva, cum ar fi o actualizare de software sau alt software generic.

Poate fi difuzat și prin utilizarea dispozitivelor USB infectate depuse în lumea reală - de exemplu, un stick USB „pierdut” într-o parcare. Programele malware utilizate vor compromite securitatea unui computer și vor oferi atacatorilor o ușă din spate pentru a avea acces la informații sensibile.

Un atac similar, dar subtil diferit, se numește a O favoare pentru alta atac. Această formă de atac încearcă să instaleze software rău intenționat printr-un proces de a face ceva „bun” pentru victimă.

În acest tip de scenariu de atac, hackerul oferă un serviciu sau un beneficiu în schimbul informațiilor sau accesului. Hackerii vor tinde să suplinească personalul IT dintr-o organizație și să contacteze angajații pentru a avea acces la instalarea sau actualizarea software-ului sistemului.

Care sunt trei exemple de tehnici utilizate în atacurile de inginerie socială?

Am acoperit deja 6 dintre cele mai frecvente forme de atacuri cibernetice de inginerie socială de mai sus, dar există și altele.

  • Vishing - Altfel cunoscut sub numele de phishing vocal, aceasta este o formă de atac de inginerie socială care se concentrează în principal pe colectarea de informații prin telefon. Poate fi folosit și de atacatori în scopuri de recunoaștere pentru a avea acces la indivizi mai critici dintr-o organizație.
  • Smishing - „Faptul de a folosi mesaje text SMS pentru a atrage victimele într-un anumit curs de acțiune. La fel ca phishingul, poate fi să faceți clic pe un link rău intenționat sau să divulgați informații”, notează Wikipedia.
  • Pescuit cu sulita - Aceasta este o formă de phishing care tinde să utilizeze e-mailuri foarte personalizate trimise unui număr limitat de potențiale victime.

Ce face un inginer social?

Inginerii sociali sunt persoane care desfășoară o serie de activități rău intenționate pentru a înșela victimele umane prin divulgarea informațiilor personale sau alte informații sensibile sau prin accesul la informațiile menționate. Acest lucru poate fi fie prin mijloace digitale (cum ar fi e-mailul), fie fizic în lumea reală.

Cu referire la acestea din urmă, acestea ar fi în mod tradițional denumite „trucuri” sau „păcăleli de încredere”.

Oricare ar fi cazul, inginerii sociali vor încerca să folosească o serie de tehnici de manipulare psihologică pentru a înșela victimele să comită greșeli de securitate sau să ofere informații în mod liber.

Inginerii sociali vor tinde să identifice și să atace victimele urmând câțiva pași cheie:

1. Investigație - Găsiți potențiale victime și adunați câteva informații de fundal / selectați mijloace de atac

2. Încearcă să le cârligi - Folosirea tehnicilor menționate anterior

3. Joacă - Încearcă să aduni din ce în ce mai multe informații în timp.

4. Ieșiți - Închideți interacțiunea lor cu victima. De asemenea, vor încerca să elimine orice urmă de malware folosit etc. și, în general, își vor încheia șarada.


Priveste filmarea: Four Horsemen - Feature Documentary - Official Version (Noiembrie 2021).