«Также в 2022 году мошенники стали активно использовать для хищения денег социальные сети и мобильные приложения», — указал регулятор. В период с 28 февраля по 31 декабря 2022 года Банк России инициировал блокировку 1942 страниц в социальных сетях «ВКонтакте» и «Одноклассники» и 23 мобильных приложений в App Store, Google Play и в других магазинах приложений. Успешная атака типа whale phishing или spear phishing дает киберпреступникам возможность пассивно следить за важными сделками. Применение подхода «сверху вниз» позволяет злоумышленникам перенаправлять средства или платежи, что, с точки зрения стоимостной модели, является дешевым и высокодоходным вектором атаки. До тех пор, пока люди будут работать удаленно, корпоративная электронная почта будет продолжать приносить киберпреступникам пользу. Это связано с тем, что невозможность физического присутствия человека по своей природе увеличивает вероятность успешного цифрового мошенничества.
- Мошенники всегда использовали техники социальной инженерии, но интернет подарил им массу новых возможностей для развития навыков обмана людей, разгадывания их мыслей, управления поступками.
- Вскоре оказывается, что жулик может выполнить “голубую мечту” жертвы, например, достать дешевый стройматериал, недорого выкопать на участке колодец, устроить персональную фотовыставку…
- Изменение настроек электронной почты — один из самых простых способов защитить себя от попыток социальной инженерии.
- Например, если пароль не очень слабый, гораздо проще заставить кого-то сообщить вам свой пароль, чем пытаться его взломать.
- Исследователи в области безопасности, такие как команда FortiGuard Labs, сосредоточены на изучении того, как работают экосистемы киберпреступников, с целью того чтобы понять, как свести вредоносную деятельность на нет.
Реализация принципа наименьших привилегий уменьшает поверхность атаки на организацию, а в случае получения доступа к учетной записи сотрудника препятствует его перемещению по сети всей организации. Социальная инженерия — это метод психологической манипуляции, используемый злоумышленниками, чтобы заставить других делать что-то или раскрывать личную информацию. Социальная инженерия может происходить в Интернете или при личном присутствии. От 70% до 90% утечек данных связаны с социальной инженерией, из-за чего она является одной из крупнейших угроз кибербезопасности, с которыми сталкиваются как организации, так и частные лица. Человек является самым уязвимым местом в системе безопасности IT-инфраструктуры компании.
Атаки социальной инженерии могут быть нацелены на кого угодно, независимо от того, кем вы являетесь. Важно, чтобы и отдельные пользователи, и организации предпринимали действия для защиты от атак социальной инженерии для снижения рисков. Смоделированные фишинговые электронные письма — это электронные письма, которые организации отправляют своим сотрудникам для проверки их навыков обнаружения фишинговых атак. Отправка этих смоделированных фишинговых тестов является отличным способом определить, насколько хорошо сотрудники могут их обнаружить.
Как упоминалось выше, чтобы сохранить свой цифровой след в чистоте, вам необходимо избегать бесконтрольного распространения личной информации в Интернете. Важно также внимательно относиться к информации, которой вы делитесь с людьми при личной встрече. Нельзя предугадать, каковы могут быть намерения человека, поэтому лучше перестраховаться и держать свою личную информацию при себе, а также делиться ею только с теми людьми, которым вы можете доверять. Поскольку атаки социальной инженерии могут происходить при личной встрече или в Интернете, важно с осторожностью относиться к тому, кому вы предоставляете личную информацию и кого впускаете в здание. Если вы работаете в офисе своей компании, не пускайте туда никого и остерегайтесь тех, кто идет за вами следом, так как они могут легко пробраться в здание.
В остальном же, как и при целевом фишинге, используется индивидуальный подход. Публикуя много личной информации в интернете (например, в социальных сетях), вы помогаете злоумышленникам. Например, в качестве проверочного слова многие сервисы предлагают использовать кличку вашего первого питомца. Кроме того, некоторые социальные инженеры входят в доверие, упоминая недавние события, которыми человек поделился в социальных сетях. Одним из самых знаменитых социальных инженеров в истории является Кевин Митник. В 2001 году вышла книга «Искусство обмана» (англ. «The Art of Deception») под его авторством[5], повествующая о реальных историях применения социальной инженерии[14].
Сбор информации из открытых источников
Люди идущие на поводу аферистов, будут всегда, сколько бы их не предупреждали и не учили. Социальные инженеры хорошо это знают и поэтому сильно не заморачиваются, какой трюк придумать. Ведь и автоматизмы у людей особо не меняются, на то они и автоматизмы. Всегда с осторожностью относитесь к неожиданным или пугающим сообщениям. Психологи проводили подобные эксперименты и до ситуации с бельгийским банком.
Мошенники подделывают телеграм-аккаунты генеральных директоров крупнейших российских компаний
Профили ваших социальных сетей, форумы, увлечения, проблемы, болезни, успехи – все это может быть использовано умелым мошенником! При этом https://cryptocat.org/ злоумышленник работает больше с людьми, чем с компьютерами. Электронная машина здесь – просто инструмент и средство коммуникации.
Однако случай с Google Drive привел к возникновению жертв среди рядовых пользователей. Никто не защищен от атаки, однако при несоблюдении правил безопасности сотрудниками компаний атака может принести непоправимый ущерб намного большему количеству людей. В начале XX века социальная инженерия стала использоваться правительствами и бизнесом для продвижения собственных целей. Это может быть как очень умелая правительственная пропаганда, так и маркетинговые ходы. В этой статье мы расскажем о социальной инженерии и о том, почему осознание этого критического риска крайне необходимо в вашей организации. Социальная инженерия представляет собой серьезную, но часто игнорируемую угрозу для бизнеса.
Войти на сайт
Киберпреступник манипулирует чувствами и мыслями атакуемого человека и заставляет его выполнить действия, приводящие к утечке ценной информации, которой могут быть как персональные, так и корпоративные данные. О том, какие технологии и приемы используются в социальной инженерии и как защитить себя и свою компанию от подобных атак, рассказываем простыми словами в данной статье. В 2014 году группа, известная как “Guardians of Peace” (GOP), атаковала компанию Sony Pictures Entertainment с помощью фишинговых писем, маскирующихся под официальные сообщения от надежных источников. GOP обманом заставила сотрудников Sony раскрыть свои учетные данные и перейти по вредоносным ссылкам, которые открывали доступ к системам компании. В современном мире социальная инженерия стала одним из основных рисков для корпоративной и личной безопасности.
Фишинг/вишинг
Обучение по вопросам безопасности должно проводиться регулярно, чтобы сотрудники были в курсе последних угроз. Крупные случаи атак социальной инженерии быстро распространяются в Интернете и заставляют другие компании задуматься о мерах безопасности. В 1950-х и 1960-х годах социальные инженеры нанимались компаниями для разработки маркетинговых кампаний, которые бы обращались к эмоциям и желаниям потребителей. Именно таким образом многие компании сумели завоевать доверие потребителей и даже изменить их мнение.
Смишинг, также известный как СМС-фишинг, представляет собой тип фишинговой атаки, которая происходит посредством текстовых СМС-сообщений, а не электронной почты. Эти сообщения часто содержат предложения о бесплатных товарах или предупреждения о сроках, связанных с банковской или иной конфиденциальной информацией. Основная цель смишинговой атаки заключается в том, чтобы заставить жертв перейти по вредоносной ссылке, чтобы украсть их конфиденциальную информацию. При фишинговой атаке вы получаете письмо или сообщение от кажущегося надежным источника с просьбой предоставить информацию. Хорошо известный пример – письмо якобы от банка, который просит клиентов «подтвердить» конфиденциальную информацию и направляет их на поддельный сайт, где их учетные данные будут зафиксированы.
Как правило, такие методы атак предлагают киберпреступникам модель высокого вознаграждения. Поражая более заметные цели в организации, они могут получать лучший результат затрачивая меньше ресурсов. Так, вместо как перевести usdt erc20 в trc20 того чтобы поразить 1000 жертв с меньшим вознаграждением, киберпреступники предпочитают с помощью шантажа и вымогательства нацеливаться на высокоприоритетных лиц, зная, что они могут уйти с большей выгодой.
Когда человека переполняют такие чувства, как страх или сочувствие, он часто может принимать необдуманные решения. В начале пандемии киберпреступники использовали эти эмоции для проведения успешных фишинговых атак. По мнению Амира Лахани, старшего стратега по информационной безопасности, FortiGuard Labs, Fortinet, хотя 2020 год уже прошел, многие из прошлогодних проблем кибермошенничества сохранятся как минимум до середины 2021 года.