📱 Что такое социальная инженерия, и почему самое время начать беспокоиться об этом? — Information Security Squad
📱 Что такое социальная инженерия, и почему самое время начать беспокоиться об этом?

«Те, кто готов пожертвовать насущной свободой ради кратковременной безопасности, не достойны ни свободы, ни безопасности» — Бенджамин Франклин

Социальная инженерия вот уже какое-то время является актуальной проблемой безопасности. Её активно обсуждают и эксперты, производители, и пользователи информационных устройств и систем. В то же время мало кто действительно понимает потенциальные угрозы социальной инженерии и насколько она может быть опасна.

Для хакеров социальная инженерия это, пожалуй, самый простой и эффективный способ взлома протоколов безопасности. Благодаря подъему интернета у нас появился мощный инструмент связи устройств вопреки расстояниям. И хотя это качественно изменило коммуникацию и обмен информацией, это же и создало лазейки для незаконного доступа к личной информации и вмешательства в частную жизнь.

С древнейших времен, до изобретения технологии, человечество кодировало и защищало информацию. Пример – широко известный шифр Цезаря, в котором сообщения кодировались путем смещения букв по алфавиту. Например, сообщение “hello world” превратится в “ifmmp xpsmf”, если мы сместим буквы на одну позицию, и получатель будет должен будет проделать обратный процесс для того, чтобы расшифровать послание.

Какой бы простой вам не казалась данная техника шифрования, она продержалась почти две тысячи лет!

И хотя сегодня мы изобрели более совершенные и изощренные системы безопасности, информационная безопасность продолжает оставаться проблемой.

Важно отметить, что существует великое множество техник, применяемых хакерами для получения данных, мы кратко пройдемся по некоторым из них для того, чтобы сформировать понимание того, почему социальная инженерия очень важно.

Полный перебор и Перебор по словарю

Полный перебор подразумевает использование продвинутого набора инструментов для взлома системы безопасности посредством вычисленного пароля путем перебора всех возможных комбинаций символов. Перебор по словарю предполагает прогон списка слов из словаря для потенциального подбора пароля пользователя.

Полный перебор сегодня, даже будучи мощным инструментом, вряд ли будет использоваться в силу особенностей современных алгоритмов безопасности. Просто для понимания, если пароль от моего аккаунта будет «qwertyuiop1202@990!!!», всего 22 символа, то потребуется факториал 22 для вычисления всех потенциальных комбинаций компьютером. А это немало.

Более того, существуют алгоритмы хеширования, которые конвертируют данный пароль в хеш, что еще больше усложнит задачу для компьютера. Для наглядности, приведенный ранее пароль можно хешировать в d734516b1518646398c1e2eefa2dfe99. Это существенно усилит безопасность пароля. Далее мы рассмотрим техники безопасности более подробно.

Если вы владеете сайтом WordPress и в поисках защиты от взлома методом полного перебора, ознакомьтесь с данной инструкцией.

Атаки DDoS

 

DDoS атаки (сокращение от английского термина Distributed Denial of Service — «Распределенный отказ в обслуживании») происходят когда пользователю блокируют доступ к легитимному ресурсу в сети. Атака может происходить как со стороны пользователя, так и со стороны ресурса, к которому он пытается получить доступ.

Как правило DDoS атака приводит или к потере дохода, или к потере базы пользователей. Для осуществления такой атаки хакер может взять под контроль несколько компьютеров в сети, которые будут использоваться как часть BotNet для того, чтобы дестабилизировать и, в отдельных случаях, забить траффик бесполезными пакетами информации, что, в свою очередь, приведет к перегрузке и обрушению ресурсов и узлов сети.

Фишинг

В случае с фишингом хакер пытается получить данные пользователя путем создания фальшивой странички авторизации. Как правило злоумышленник направляет письмо пользователю от лица доверенного ресурса, например, сайта банка или соцсети, с ссылкой для авторизации. Сама ссылка обычно выглядит достаточно похожей на настоящую, но если присмотреться к ней повнимательнее, то окажется, что в тексте ссылки есть существенные отличия от оригинала.

Например, фишинговая ссылка paypai.com, которой когда-то воспользовались для того, чтобы получить от пользователей Paypal логин и пароль.

Типовой шаблон фишингового мейла:

«Дорогой пользователь,

Мы заметили подозрительную активность в вашем аккаунте. Пройдите по ссылке для того, чтобы сменить пароль и избежать блокировки аккаунта.»

Шансы 50 на 50, что у вас таким образом уже воровали данные. Нет? Вы когда-нибудь логинились на сайте, а после нажатия кнопки «Войти», sign-in или login вас отбрасывало обратно на страничку авторизации? Было такое? Наши поздравления, это был тот самый фишинг.

Как работает социальная инженерия?

 

Даже сейчас, когда алгоритмы шифрования становятся безопаснее и их все сложнее и сложнее взломать, социальная инженерия все еще остается очень мощным инструментом.

Социальный инженер как правило собирает информацию о вас для получения доступа к вашим онлайн аккаунтам и другим защищенным ресурсам. Обычно он заставляет жертву добровольно выдать личную информацию посредством психологического манипулирования. Но страшно даже не это, а то, что ему необязательно вступать в прямой контакт с вами, достаточно просто кого-то кто с вами знаком.

В большинстве случаев социальная инженерия не применяется напрямую к тому, кто выступает в роли конечной цели.

Например, недавно в новости попал популярный оператор в Канаде из-за хакерской атаки на одного из клиентов. Техническая поддержка раскрыла личную информацию клиента в результате применения социальной инженерии, что позволило осуществить подмену сим-карты и похитить 30 000$ в криптовалюте.

Социальные инженеры играют на неуверенности, невнимательности, халатности и невежестве людей, когда добывают жизненно важную информацию. В век массовой удаленной поддержки организации гораздо чаще становятся жертвой хакинга из-за неизбежного человеческого фактора.

Кто угодно может стать жертвой социальной инженерии, и что хуже, вас могут взломать, и вы даже не узнаете об этом!

Как защититься от социальной инженерии?

 

  • Избегайте использования личной информации, например, даты рождения, клички питомца, имени ребенка и так далее в качестве логина или пароля.
  • Не пользуйтесь слабыми паролями. Если не можете запомнить сложный – воспользуйтесь менеджером паролей.
  • Будьте внимательнее, когда наталкиваетесь на очевидную ложь. Социальный инженер не знает достаточно сразу для того, чтобы взломать Вас; к вам обратятся с неверной информацией в надежде, что вы их поправите, и тогда они продолжат тянуть из вас данные. Не ведитесь на такие уловки!
  • Удостоверьтесь в подлинности отправителя и домена прежде чем делать что-то по инструкции из письма.
  • Свяжитесь с банком, как только заметите любую подозрительную активность на Вашем аккаунте.
  • Если вы внезапно потеряли сигнал на телефоне, свяжитесь с провайдером немедленно, возможно вы столкнулись с клонированием сим-карты.
  • Включите 2х факторную аутентификацию (2-FA) для сервисов, которые ее поддерживают.

Вывод

Эти шаги не являются панацеей от социальной инженерии, но они точно сделают вас более сложной мишенью для хакеров.

Автор перевода h00q.lm.zm

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40