Типы атак социальной инженерии

7 февраля 2022 By Нэнси Уильям Без комментариев 14 минут

Кибератаки в настоящее время резко возросли, и при этом вы, вероятно, слышали о различных типах атак социальной инженерии. Вы могли бы назвать это набором различных видов злонамеренных атак, вызванных психологической эксплуатацией и манипуляцией.

Это больше похоже на переживание худшие виды кибератак и даже не зная, как это произошло. Атаки с использованием социальной инженерии осуществляются замысловато: требуется время, чтобы нацелиться на конкретных людей, разработать определенные стратегии, найти слабые места входа, заставить жертву доверять злоумышленнику и так далее.

Это руководство раскроет некоторые из худших типов атак социальной инженерии и то, как вы можете разработать стратегии защиты от них.

Содержание

• Что такое социальная инженерия?
• Цикл атак социальной инженерии
• 17 видов атак социальной инженерии
• Стратегии защиты для предотвращения атак социальной инженерии
• Заключение

Что такое социальная инженерия?

Как упоминалось выше, социальная инженерия представляет собой набор многочисленных видов кибератак, которые происходят посредством человеческого и психологического взаимодействия. Именно здесь преступник ставит цель и использует любые возможные средства для достижения результатов. Эти результаты включают потерю конфиденциальной информации, банковских реквизитов, мошенничество с идентификацией, кражу средств, захват устройства или установку вредоносных программ на устройствах людей через попытки фишинга.

Например, было время, когда тысячи Аккаунты Facebook были взломаны с помощью вредоносного ПО FlyTrap Trojan. Это произошло из-за того, что пользователи загружали поддельные приложения из магазинов приложений.

Цикл атак социальной инженерии

Существуют определенные шаги, которые предпринимает каждый злоумышленник для завершения атаки социальной инженерии. Вот шаги:

• Ориентация на жертву
• Их изучение и сбор информации
• Придумываем методы атаки в зависимости от слабых или уязвимых мест.
• Взаимодействие с жертвой
• Планирование истории, чтобы раскрутить и убедить жертву
• Расширение атаки путем медленного и постепенного запроса информации у цели
• Размещение вредоносных программ и других заговоров социальной инженерии для атаки
• Сокрытие всех следов после атаки

Теперь, когда вы знаете, как работают атаки социальной инженерии, посмотрите ниже, чтобы узнать о различных типах атак социальной инженерии.

17 видов атак социальной инженерии

Ниже приведены некоторые из наиболее продвинутых на сегодняшний день атак социальной инженерии. Они есть:

• Фишинг

Начиная с Фишинг, обычно это своего рода атака социальной инженерии, которая осуществляется с помощью текстовых сообщений и электронных писем. Возможно, вы когда-нибудь заметили электронное письмо с просьбой войти в систему с некоторыми данными личной учетной записи или с просьбой заплатить определенную сумму, чтобы продолжить членство, на которое вы никогда не подавали заявку. Они даже могут использовать эту тактику для установки Вредоносная программа Zeus или другие виды на вашем устройстве.

Я знаю, о чем ты думаешь. Зачем кому-то слепо отвечать на такие электронные письма и тексты? Это не так просто. Некоторые из этих фишинговых афер чрезвычайно трудно разобрать. Это также включает в себя общение с кем-то в Instagram и обманом завязываете отношения только для того, чтобы узнать, что ваш банковский счет опустошен. Это называется Инстаграм-фишинг и может произойти почти в любой другой социальной сети.

• Вишинг

Еще один вид фишинговой атаки Вишинг. В нем участвуют мошенники, которые обманом заставляют жертву выполнять свои требования с помощью телефонных звонков. Они подделывают свои номера, выдавая себя за банковских служащих, колледжей, больниц, офисов и так далее.

Иногда звонки настолько продвинуты до такой степени, что их голоса кажутся знакомыми. Эти мошенники будут запрашивать у вас конфиденциальную информацию, такую ​​как ваши адреса, номера социального страхования и многое другое. Вот почему банковские служащие снова и снова говорят клиентам, что ни один представитель никогда не будет запрашивать конфиденциальные данные по телефону или в текстовом сообщении.

•  копчение

Мы рассмотрели электронные письма и телефонные звонки, а теперь давайте поговорим о smishing атаки через текстовые сообщения. Доказано, что такая атака с помощью социальной инженерии очень успешна, потому что почти любой предполагает, что тот, у кого есть ваш номер телефона и имя, должен быть подлинным источником.

Оно может прийти в виде текстового сообщения с просьбой щелкнуть ссылку, содержащую подтверждение доставки посылки, ввести код в тексте, чтобы защитить свою учетную запись в социальной сети, и так далее. Вы едва почувствуете разницу.

• травля

Что приходит на ум, когда вы слышите слово «приманка»? Вы можете описать это как что-то захватывающее, прикрепленное к концу смертоносного крючка, терпеливо ожидающее, пока жертвы соблазнятся и заманятся. Существуют разные варианты того, как выглядят атаки-приманки.

Злоумышленники либо крадут информацию через рекламу, объявления, бесплатные призы и т. д., либо заражают вашу систему вредоносным ПО с помощью флешек. Не задумываясь, жертва подключает эти вредоносные флешки к своим устройствам, вызывая системный сбой или потерю информации.

То же самое можно сказать об установке поддельных или вредоносных приложений из различных магазинов приложений. Они рекламируют настолько убедительно, что вы не заметите разницы. Это как искать лучшие приложения Firestick и приземляться на некоторые, которые далеки от подлинности — возможно, заражение вашего устройства вредоносными программами и другими видами инфекций.

• Копье Фишинг

Копирование копья — еще один из наиболее целенаправленных видов атак социальной инженерии на сегодняшний день. Это называется точным видом фишинговой аферы, в основном потому, что она нацелена на своих жертв с таким тщательным планированием — на осуществление уходит от нескольких недель до месяцев. Эти виды атак нацелены на более крупную рыбу, такую ​​как крупные предприятия, высокопоставленные лица и т. д.

Чтобы указать, как это работает, цель получит электронное письмо или несколько, в которых контент выдает себя за группу на рабочем месте или частного консультанта.

В электронном письме может быть предложено изменить пароль или адрес электронной почты для входа или login на определенную страницу, портал или учетную запись. Ссылкой на страницу формы может быть место, где проводится атака — где хакер может легко получить доступ ко всей введенной информации.

• Рыболов Фишинг

Если вы недавно купили продукт в Интернете или через социальные сети и начали подавать жалобу, мошенники ждут атаки. Они используют поддельные или поддельные учетные записи службы поддержки клиентов, чтобы заставить клиентов заполнять формы с личной информацией.

Например, предположим, что в Facebook есть страница, на которой пользователи подают жалобы на компании XYZ. Эти злоумышленники отслеживают все жалобы и нацелены на конкретных пользователей, которым есть что терять.

• Catfishing

Сколько из вас стали жертвами мошенничество? Вы когда-нибудь разговаривали с кем-то, влюблялись в него по уши, только чтобы узнать, что вас все это время троллили? Человек, с которым вы разговариваете, утверждает, что он 22-летний парень, но на самом деле оказывается 78-летним мужчиной.

Поддельные профили, которые являются мошенническими, часто используются как одна из самых быстрых атак социальной инженерии. Это называется кетфишинг жертвы заставляют поверить, что они разговаривают с кем-то честным и настоящим — все как раз наоборот.

Мошенничество с ловлей кошек может зайти так далеко, что кто-то эмоционально привязывается к вам, а затем, используя какую-то грустную историю, просит его пожертвовать вам деньги. Злоумышленники могут даже запросить личную информацию; можно использовать как угодно.

• Диверсионная кража

Среди типов атак социальной инженерии у нас есть диверсионная кража. Если вы только взглянете на само название, вы поймете, что такое атака более четко. Отвлечение означает отвлечение кого-либо от того, что на самом деле происходит.

Благодаря этому злоумышленник может легко обманом заставить пользователей предоставить им конфиденциальную информацию, такую ​​как данные учетной записи, адреса, пароли. Финансовая отчетность и многое другое.

• предлог,

предлог, можно определить как еще один вид атаки с использованием социальной инженерии, когда преступник тщательно проверяет строки или информацию, делает ее законной, а затем отправляет ее своей цели. Это может быть выдача себя за правоохранительные органы, ваших налоговиков, сотрудников больниц и т.д.

При такой атаке требуется много домашней работы, когда злоумышленнику требуется время, чтобы собрать всевозможную информацию о своей цели. Благодаря этому они могут создавать поддельные уведомления, формы, электронные письма и т. д., заставляя человека переписываться и подчиняться.

• Tailgating

Вы знаете время, когда вы преследуете машину или транспортное средство, чтобы получить лучшее место для парковки или добиться чего-то? Это известно как задний ход. Это простая, но стратегическая атака социальной инженерии.

Злоумышленник может использовать любые средства, чтобы подобраться к человеку или субъекту, выслеживая их. Его можно использовать в обстоятельствах, когда злоумышленник может проследовать за кем-то в известное здание.

Когда человек входит в ворота, злоумышленник автоматически бежит к двери и незаконно входит. То же самое можно сделать онлайн. Когда вы следите за человеком, когда он использует свое банковское приложение или другие конфиденциальные платформы, и собираете информацию в такой непосредственной близости.

• продажа с нагрузкой

Можно сказать, что Piggybacking очень похож на tailgate. Однако при такой социальной атаке человек сознательно вводит злоумышленника в свои банковские реквизиты и другую конфиденциальную информацию.

Например, это очень похоже на то, как если бы вы брали на себя вину за кого-то, даже если вы не были неправы. Вы сделали это только из вежливости, потому что виноватый придумал какую-то грустную и убедительную историю.

Если мы проберемся в профессиональную обстановку, злоумышленник может легко сбить с толку неосторожного охранника, который даст ему запасной ключ доступа; утверждая, что они работают на компанию и оставили свою карту доступа где-то в другом месте.

Но как охранник может легко дать доступ? Злоумышленник немного покопался, собрав как можно больше информации, и использовал ее в меру своих возможностей.

• Scareware

Scareware является одним из наиболее широко используемых способов мошенничества с использованием социальной инженерии. Вы, вероятно, получали или видели уведомления о том, что ваше устройство заражено вредоносным ПО. Он предлагает вам щелкнуть определенные ссылки, что приведет вас к установке реального вредоносного ПО или других видов угроз. Другой вариант пугающего ПО известен как мошеннический сканер, мошенническое ПО или программное обеспечение для обмана.

Когда вы заходите на определенные веб-сайты, вы могли видеть всплывающие баннеры и т. д., сообщающие вам, что ваше устройство заражено и что вам необходимо загрузить очиститель или установить программное обеспечение безопасности — конечно, рекомендованное злоумышленником.

Помимо этого, есть электронные письма и текстовые сообщения, содержащие следы пугающих программ. В офисе произошел инцидент, когда новому сотруднику было отправлено электронное письмо, в котором говорилось, что он должен заплатить определенную сумму или быть разоблаченным перед своим работодателем. Сотрудник от испуга выполнил требования недолго думая, ведь кто хочет потерять работу, правда? Это был небольшой пример атака ransomware, а также еще один аналог пугающего ПО.

• китобойный промысел

Другой вид фишинговой атаки называется китобойным промыслом. Однако, китобойный промысел — это своего рода атака социальной инженерии, которая используется для ловли крупной рыбы всего одной сетью. Эти злоумышленники нацелены на высокопоставленных лиц, крупные корпоративные компании или кого-то из более высокого ранга, например генерального директора.

Если вам интересно, как это работает, злоумышленники сначала подделывают адреса электронной почты наиболее важных лиц на рабочем месте, агентства или компании и т. д.

В отправленном электронном письме они заставляют его звучать как ситуация «сделай или покрась», что делает его очень чувствительным ко времени. Если атака будет успешной, жертва может потерять большую часть конфиденциальных данных и попасть в настоящую горячую воду.

• Контактный спам

Если вы используете Facebook или последнее имя, переключитесь на Metaverse, то вы, возможно, знаете об этом типе атаки социальной инженерии. Вы когда-нибудь получали сообщение от друга, в котором говорилось: «Посмотри это видео, я думаю, ты в нем?» Это также своего рода вирус, который рассылается всем контактам, а не вашему настоящему другу.

Когда вы нажимаете на ссылку или видео, вредоносное ПО или другие виды угроз распространяются и заражают ваше устройство.

• Услуга за услугу

Фактическое значение quid pro quo состоит в том, чтобы предоставить кому-то что-то в обмен на выполнение определенных требований. Точно так же услуга «услуга за услугу» используется как один из механизмов атак социальной инженерии.

Например, допустим, вы хотите, чтобы ваше устройство починили, и обратитесь к ИТ-специалисту, с которым вы только что познакомились в Интернете, потому что услуга дешевле. Затем злоумышленник «исправляет» устройство, но на самом деле устанавливает вредоносное программное обеспечение на устройство человека, чтобы завладеть им или получить информацию.

Точно так же это может быть любой, кто говорит вам, что вы выиграли бесплатное медицинское обследование, и чтобы воспользоваться им, вы должны предоставить свои данные, такие как информация об учетной записи, адреса, пароли и т. д. Взамен? Вы не получаете ничего, кроме украденной информации.

• Мед Ловушка

Медовая ловушка обычно представляет собой липкий горшок, чтобы удерживать людей или насекомых от искушения медом. Однако в этом случае эта атака с использованием социальной инженерии представляет собой атаку, при которой злоумышленник притворяется, что он эмоционально или сексуально связан с другим человеком в Интернете.

В этой ситуации злоумышленник просит своего «партнера» отправить откровенные изображения или видео в надежде использовать это против них самих. Если это не так, то злоумышленник просит человека прислать некую конфиденциальную информацию, которую впоследствии можно будет обменять на деньги.

• Водопой

Последним в списке типов атак социальной инженерии является Watering Hole. Этот вид атаки нацелен на веб-сайты или сервисы, которые собирают большое количество пользователей. Когда пользователь входит в свою учетную запись, вся введенная информация может быть зарегистрирована или сохранена на этом зараженном веб-сайте.

Стратегии защиты для предотвращения атак социальной инженерии

Теперь у вас есть полное представление о том, что такое атаки социальной инженерии и их типы. Однако наступит день, когда вы можете столкнуться с одним или двумя, поскольку не все в безопасности в Интернете.

Однако по этой причине мы также разработали несколько мер защиты, которые могут помочь предотвратить эти атаки. Вот что вы можете сделать с этими атаками:

• Продолжайте задавать вопросы, даже если сомнений нет

Никогда не стыдно задавать вопросы, особенно если кто-то спрашивает у вас банковские реквизиты и другую личную информацию. После того, как вы зададите свои вопросы о том, что и почему определенные данные должны быть предоставлены, убедитесь, что вы внимательно следите за ответами.

• Повторно проверьте личность человека, с которым вы разговариваете

Если кто-то отправляет вам электронные письма, текстовые сообщения или звонит с просьбой предоставить вашу информацию; если они выдают себя за кого-то, кого вы знаете, например, из банка или вашей компании, убедитесь, что вы запрашиваете данные этого человека. Проверьте, существует ли этот человек на самом деле, вместо того, чтобы быть втянутым в онлайн-мошенничество.

• Ищите ошибки

Не каждый злоумышленник хорошо владеет английским языком или каким-либо другим языком. Ищите орфографические или грамматические ошибки. Проверьте наличие знаков препинания и т. д. Если что-то кажется вам неправильным или не очень профессиональным, пропустите это требование. Если это важно, с вами свяжутся снова.

• Используйте сервис впн

Эта мера является одной из лучших. Во-первых, впн, сокращенно от Virtual Private Network, предназначена для защиты пользователей в Интернете, их данных и сохранения конфиденциальности.

Есть дополнительные привилегии, такие как доступ US Netflix или другие потоковые сервисы, но безопасность является преимуществом номер один. FastestVPN предлагает первоклассные функции безопасности. Это может даже помочь вам не нажимать на случайные ссылки из различных вредоносных всплывающих окон.

• Защитите свое устройство и программное обеспечение

VPN может помочь защитить ваше устройство или ваш просмотр с помощью расширение для него, но это не единственное, что вас должно интересовать. Используйте Надежный пароль, антивирусное программное обеспечение, 2FA, и другие виды необходимых мер предосторожности. Вместо того, чтобы заходить на веб-сайты только в любом браузере, убедитесь, что вы выбираете только самые безопасные браузеры которые популярны.

Заключить

И это обертка. Теперь вы знаете некоторые типы атак социальной инженерии, которые в настоящее время поражают пользователей по всему миру. В то же время у вас также есть внутренние знания о том, как справиться с некоторыми из них, с нашим руководством о том, как оставаться защищенным. В любом случае, будьте бдительны и подключитесь к впн-сервису для лучшей онлайн-защиты.

Подписаться на новостную рассылку

Получайте самые популярные сообщения недели и последние объявления от FastestVPN через нашу электронную рассылку.

Ваш e-mail