Социальная инженерия: наука об обмане

Социальная инженерия: наука об обмане

Социальная инженерия: наука об обмане

Вы инвестировали кучу денег в технологии защиты данных, следуете всем протоколам безопасности, измеряете их эффективность и даже совершенствуете их, И ВСЕ ЖЕ социальный инженер сможет найти путь к вашим тщательно засекреченных данным.

Социальная инженерия — это, по сути, искусство получения доступа к зданиям, системам или данным, используя психологию человека, а не путем взлома. К примеру, вместо того чтобы пытаться найти уязвимость в программном обеспечении, социальный инженер может представиться сотрудником IT-отдела и заполучить пароль путем обмана.

Социальные инженеры используют человеческое поведение. Если они хотят получить доступ к вашему зданию, они не побеспокоятся о системе безопасности. Они просто пройдут ко входу и уверенно попросят кого-нибудь помочь им войти внутрь.

Социальная инженерия считается очень успешным способом проникнуть внутрь организации. Как только у социального инженера есть пароль доверенного сотрудника, он может просто войти в систему и отследить конфиденциальные данные. С помощью карточки доступа или кода, чтобы физически попасть внутрь объекта, преступник может получить доступ к данным, украсть активы или даже нанести вред людям.

Обычно социальным инженерам требуется несколько недель или месяцев, чтобы узнать нужный объект, прежде чем войти в дверь или позвонить по телефону. Их подготовка может включать поиск списка телефонных номеров компании или корпоративных чатов, а также поиск сотрудников в социальных сетях (вот вам несколько тревожных звоночков).

Типы атак социальных инженеров можно разделить на следующие категории:

Телефонная: социальный инженер звонит вам и путем обмана направляет на сайты фишинга или выпытывает конфиденциальную информацию.

С переодеванием: мошенник представляется обслуживающим персоналом, строителем или кем-либо еще, чтобы получить доступ к закрытым зонам.

Маньячная: следуя за кем-либо из компании, социальный инженер представляется сотрудником, который забыл\потерял карту доступа и попадает внутрь организации

Групповая: социальный инженер может заразить телефон человека или его компьютер вредоносной программой с помощью третьей стороны (сайт знакомств, социальная сеть). В последствии зараженное устройство подключится к сети компании и предоставит нужный доступ злоумышленнику.

Существует, конечно же, пара вещей, с помощью которых можно противостоять хитрым социальным инженерам. К примеру, многие организации (на Западе) создают красные команды для определения областей, требующих улучшения. Красная команда имитирует сценарий из реальной жизни, в котором используются методы социальной инженерии. После, команда может оценить плачевность интеллектуального и психологического состояния сотрудников и предписать действия, которые укрепят позиции безопасности.

Но одна из лучших мер защиты от социальной инженерии — это обучение социальной инженерии. Что-то вроде «предупрежден, значит вооружен». По-крайней мере сотрудники начнут следовать определенным правилам: не заводить в здание посторонних/незнакомых людей, проверять личности неизвестных лиц, прежде чем обсуждать какую-либо конфиденциальную информацию, сообщать о подозрительной деятельности, не открывать имэйлы от подозрительных лиц, не предоставлять доступ к компьютеру посторонним и так далее.

Вообще, все не так уж плохо, как кажется, на первый взгляд. Если в вашей компании работает 5 человек, то, о чем переживать? Но если 6…



Volmax Group

9 ноября 2018


Возврат к списку