Давайте попробуем понять концепцию атак социальной инженерии на нескольких примерах.
Пример 1
Вы, должно быть, заметили, что старые документы компании выбрасываются в мусорные баки как мусор. Эти документы могут содержать конфиденциальную информацию, такую как имена, номера телефонов, номера счетов, номера социального страхования, адреса и т. Д. Многие компании по-прежнему используют копировальную бумагу в своих факсимильных аппаратах, и после завершения сворачивания ее углерод попадает в мусорный ящик, в котором могут быть следы конфиденциальных данных. Хотя это звучит невероятно, но злоумышленники могут легко получить информацию из мусорных контейнеров компании путем кражи через мусор.
Пример 2
Злоумышленник может подружиться с персоналом компании и установить с ним хорошие отношения в течение определенного периода времени. Эти отношения могут быть установлены в Интернете через социальные сети, чаты или в автономном режиме за журнальным столиком, на игровой площадке или с помощью любых других средств. Злоумышленник уверенно берет сотрудников офиса и, наконец, находит необходимую конфиденциальную информацию, не давая подсказки.
Пример 3
Социальный инженер может притвориться сотрудником, действительным пользователем или VIP-персоной, подделав удостоверение личности или просто убедив сотрудников в его должности в компании. Такой злоумышленник может получить физический доступ к закрытым областям, что открывает дополнительные возможности для атак.
Пример 4
В большинстве случаев случается так, что злоумышленник может находиться рядом с вами и может заниматься серфингом, когда вы вводите конфиденциальную информацию, такую как идентификатор пользователя и пароль, PIN-код учетной записи и т. Д.
Фишинговая атака
Фишинговая атака — это компьютерная социальная инженерия, при которой злоумышленник создает электронную почту, которая выглядит законной. Такие электронные письма выглядят так же, как и те, что были получены с исходного сайта, но они могут содержать ссылки на поддельные веб-сайты. Если вы недостаточно умны, то вы введете свой идентификатор пользователя и пароль и попытаетесь войти в систему, что приведет к сбою, и к этому времени злоумышленник получит ваш идентификатор и пароль для атаки на исходную учетную запись.
Вам следует обеспечить соблюдение надлежащей политики безопасности в вашей организации и провести необходимые тренинги, чтобы все сотрудники знали о возможных атаках социальной инженерии и их последствиях.
Уничтожение документов должно быть обязательным видом деятельности в вашей компании.
Удостоверьтесь, что все ссылки, которые вы получаете на свою электронную почту, поступают из подлинных источников и указывают на правильные веб-сайты. В противном случае вы можете стать жертвой фишинга.
Будьте профессиональны и никогда никому не сообщайте свой идентификатор и пароль.