Социальная инженерия

Слайд 1

Слайд 2

Совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии

Слайд 3

Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако это не совсем так. Если рассматривать современную профессиональную социальную инженерию, то область её применения вполне законна — например, она помогает достичь изначально недостижимый результат, или «программировать» для совершения позитивных и полезных действий конкретного человека или группу людей.

Слайд 4

Конечно, сегодня социальную инженерию зачастую используют в интернете для получения закрытой информации или информации, которая представляет большую ценность .

Слайд 5

Современные соцоциальные инженеры используют свои навыки для повышения результатов в бизнесе и жизни .

Слайд 6

Все техники социальной инженерии основаны на когнитивных искажениях. Эти ошибки в поведении используются социальными инженерами для создания атак, направленных на получение конфиденциальной информации, часто с согласия жертвы. Так, одним из простых примеров является ситуация, в которой некий человек входит в здание компании и вешает на информационном бюро объявление, выглядящее как официальное, с информацией об изменении телефона справочной службы интернет-провайдера. Когда сотрудники компании звонят по этому номеру, злоумышленник может запрашивать личные пароли и идентификаторы для получения доступа к конфиденциальной информации.

Слайд 7

Фишинг Фишинг (англ. phishing , от fishing — рыбная ловля, выуживание) — это вид интернет-мошенничества , целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.

Слайд 8

Популярные фишинговые схемы 1) Несуществующие ссылки 2) Мошенничество с использованием брендов известных корпораций 3) Подложные лотереи 4) Ложные антивирусы и программы для обеспечения безопасности 5) IVR или телефонный фишинг 7) Претекстинг 8) Квид про кво 9) «Дорожное яблоко» 10) Сбор информации из открытых источников 11) Плечевой серфинг 6) Телефонный фрикинг

Слайд 9

Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например, www.PayPai.com . Выглядит это, будто это ссылка на PayPal , мало кто заметит, что буква « l » заменена на « i ». Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных кредитной карты эта информация сразу направляется к злоумышленнику. Несуществующие ссылки

Слайд 10

В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты , содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учётные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону Мошенничество с использованием брендов известных корпораций

Слайд 11

Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации Подложные лотереи

Слайд 12

Подобное мошенническое программное обеспечение, также известное под названием « scareware », — это программы, которые выглядят как антивирусы, хотя, на самом деле, все обстоит совсем наоборот. Такие программы генерируют ложные уведомления о различных угрозах, а также пытаются завлечь пользователя в мошеннические транзакции. Пользователь может столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения Ложные антивирусы и программы для обеспечения безопасности

Слайд 13

Телефонный фишинг — Вишинг (англ. vishing — voice fishing ) назван так по аналогии с фишингом . Данная техника основана на использовании системы предварительно записанных голосовых сообщений с целью воссоздать «официальные звонки» банковских и других IVR систем. Обычно жертва получает запрос (чаще всего через фишинг электронной почты) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя посредством ввода PIN-кода или пароля. Поэтому, предварительно записав ключевую фразу, можно выведать всю нужную информацию. IVR или телефонный фишинг

Слайд 14

Телефонный фрикинг (англ. phreaking ) — термин, описывающий эксперименты и взлом телефонных систем с помощью звуковых манипуляций с тоновым набором. Эта техника появилась в конце 50-х в Америке. Телефонная корпорация Bell , которая тогда покрывала практически всю территорию США, использовала тоновый набор для передачи различных служебных сигналов. Энтузиасты, попытавшиеся повторить некоторые из этих сигналов, получали возможность бесплатно звонить, организовывать телефонные конференции и администрировать телефонную сеть. Телефонный фрикинг

Слайд 15

Претекстинг (англ. pretexting ) — атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию выуживает конфиденциальную информацию. Претекстинг

Слайд 16

Квид про кво (от лат. Quid pro quo — «то за это») — в английском языке это выражение обычно используется в значении «услуга за услугу». Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону (используя актёрское мастерство) или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы. Квид про кво

Слайд 17

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника «Дорожное яблоко»

Слайд 18

Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как livejournal , «Одноклассники», « ВКонтакте », содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником. Сбор информации из открытых источников

Слайд 19

(англ. shoulder surfing ) включает в себя наблюдение личной информации жертвы через её плечо. Этот тип атаки распространён в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте. Опрос ИТ-специалистов в белой книге о безопасности показал, что: 85 % опрошенных признались, что видели конфиденциальную информацию, которую им не положено было знать; 82 % признались, что информацию, отображаемую на их экране, могли бы видеть посторонние лица; 82 % слабо уверены в том, что в их организации кто-либо будет защищать свой экран от посторонних лиц. Плечевой серфинг

Слайд 20

Как определить атаку социального инженера Ниже перечислены методы действий социальных инженеров: представление себя другом-сотрудником либо новым сотрудником с просьбой о помощи; представление себя сотрудником поставщика, партнерской компании, представителем закона; представление себя кем-либо из руководства; представление себя поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч жертве для установки; предложение помощи в случае возникновения проблемы и последующее провоцирование возникновения проблемы, которое принуждает жертву попросить о помощи; использование внутреннего сленга и терминологии для возникновения доверия; отправка вируса или троянского коня в качестве приложения к письму; использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль; предложение приза за регистрацию на сайте с именем пользователя и паролем; записывание клавиш, которые жертва вводит на своём компьютере или в своей программе ( кейлоггинг ); подбрасывание различных носителей данных ( флэш-карт , дисков и т. д.) с вредоносным ПО на стол жертвы; подброс документа или папки в почтовый отдел компании для внутренней доставки; видоизменение надписи на факсе, чтобы казалось, что он пришел из компании; просьба секретаря принять, а затем отослать факс; просьба отослать документ в место, которое кажется локальным (то есть находится на территории организации); подстройка голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий — их сотрудник;