СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ | ЧТО ЭТО?
Социальная инженерия (social engineering) или «атака на человека» — это совокупность психологических и социологических приёмов, методов и технологий, которые позволяют получить конфиденциальную информацию.
Люди использовали социальную инженерию с древних времён. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных ораторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и работали на благо своего государства.
Спустя много лет, к началу 1970-х годов стали появляться телефонные хулиганы, нарушавшие покой граждан просто ради шутки. Но кто-то сообразил, что так можно достаточно легко получать важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.
Кто же может использовать СИ?
1. Представители служб ИБ, СБ, и ИТ-служб 2. Пентестеры 3. Этичные хакеры 4. Кибермошенники 5. и другие личности которых я не упомянул
Какие бывают типы атак в СИ?
Фишинг является наиболее распространенным типом атаки социальной инженерии, которая происходит сегодня. Но что именно? На высоком уровне большинство фишинг-мошенников пытаются выполнить три вещи:
Получить личную информацию, такую как имена, адреса и номера социального страхования.
Использовать сокращенные или вводящие в заблуждение ссылки, которые перенаправляют пользователей на подозрительные веб-сайты, на которых размещаются фишинговые целевые страницы.
Включить угрозы, страх и чувство срочности в попытке заставить пользователя реагировать как можно быстрее.
Предлог — это еще одна форма социальной инженерии, где злоумышленники концентрируются на создании хорошего предлога или сфабрикованного сценария, который они используют, чтобы попытаться украсть личную информацию своих жертв. В этих типах атак мошенник обычно говорит, что им нужно определенное количество информации от своей цели, чтобы подтвердить свою личность. На самом деле они крадут эти данные и используют их для совершения кражи личных данных или проведения вторичных атак.
Более продвинутые атаки иногда пытаются обмануть своих целей, делая что-то, что злоупотребляет цифровыми и / или физическими недостатками организации. Например, злоумышленник может выдать себя за внешнего аудитора ИТ-услуг, чтобы он мог убедить группу физической безопасности целевой компании пустить их в здание.
Приманка во многом похожа на фишинговые атаки. Однако то, что отличает их от других видов социальной инженерии, — это обещание какого-либо предмета или блага, которые злоумышленники используют для соблазнения жертв. Приманки могут использовать предложение бесплатной загрузки музыки или фильмов, например, чтобы обманом заставить пользователей передать свои учетные данные для входа.
Подобно травле, нападения quid pro quo обещают выгоду в обмен на информацию. Эта выгода обычно принимает форму услуги, тогда как травля обычно принимает форму пользы.
На самом деле СИ это целое искусство, и об ней нельзя расписать все в одной статье, это статья - была обобщая и не более @BelNetAdapter