Сьогодні найбільшою загрозою кібербезпеці як великих компаній, так і звичайних користувачів, є методи соціальної інженерії, що застосовують для зламу існуючих засобів захисту. Основною причиною цього є те, що застосування соціальної інженерії не вимагає значних фінансових витрат і досконалого знання інформаційних технологій.
Соціальна інженерія – метод несанкціонованого доступу до інформації або до систем зберігання інформації без використання технічних засобів. Дослідження показують, що людям притаманні деякі поведінкові схильності, які можна використати для маніпулювання. Більшість зламів систем безпеки відбуваються саме завдяки використанню соціальної інженерії, а не електронному зламу.
Основні види соціальних атак
Варто виділити основні види шахрайства, через які постійно страждають компанії та підприємства. Не зважаючи на те, що про них давно відомо, ці схеми працюють і змушують страждати підприємства у всьому світі.
- Фішинг. Цей вид шахрайства побудований на надсиланні листа ніби від банку чи іншою установи, в якому міститься посилання, за яким необхідно ввести пароль чи іншу конфіденційну інформацію, потрібну шахраю. При цьому приводи для надсилання такої інформації можуть бути різними, наприклад, відновлення бази даних після її випадкової втрати.
- Вішинг. Назва цього виду інтернет-шахрайства пішла від попереднього та полягає у імітування дзвінків на мобільний телефон начебто від банківської установи (із попередньо записаним голосом) та отриманні запиту про комунікацію із банком для підтвердження тієї чи іншої інформації. При цьому жертва отримує вимогу сказати свій пароль або іншу конфіденційну інформацію, яка необхідна для доступу до банківських рахунків.
- Попередження про вірус на комп’ютері. В даному випадку розробник шкідливого програмного забезпечення попереджає жертву про зараження її комп’ютера вірусом і повідомляє, що для очищення операційної системи необхідно перейти за посиланням та встановити необхідну програму. Саме ця програма є шкідливою та забезпечує доступ до необхідної інформації.
Хто такий “соціальний хакер”?
Для кращого усвідомлення характеру атаки, потрібно звернути увагу на образ соціального інженера та навички якими він має володіти.
“Соціальний хакер” вмiє психологiчно впливати на людину, цим самим манiпулювати нею та спонукати її до певних дiй. Також він має бути навчений збирати необхiдну iнформацiю будь-якими способами та володіти глибокими знаннями у сфері кібербезпеки, у сфері ІТ, комп’ютерних систем та мереж. Зазвичай злодій гарно орієнтується в термінології, володіє професійним жаргоном та знає внутрішні порядки компанії-жертви.
Як захиститись від загроз, основою яких є соціальна інженерія?
Експерти з кіберзахисту стверджують, що “основним способом захисту від соціальної інженерії є навчання. Персонал підприємства повинен мати чіткі інструкції щодо спілкування зі сторонніми людьми”.
Не менш важливим є те, що поширення мобільних технологій, які дають змогу користувачам підключатись до корпоративних мереж вдома або в дорозі, є серйозною загрозою для компаній. Організація безпеки систем співробітників, які працюють вдома, у більшості випадків, обмежується технічними засобами. Політика безпеки повинна вимагати, щоб домашні системи даних працівників були захищені брандмауерами (міжмережевими екранами), які блокуватимуть спроби зловмисників отримати доступ до мережі ззовні.
Нагадуємо, офіційний додаток Firefox Private Network VPN для Android вже доступний для завантаження в Google Play, хоча сам VPN-сервіс знаходиться в статусі закритого бета-тестування.
Також двоє 31-річних мешканців Харківщини за допомогою активного сканування сайту на вразливість із використанням спеціалізованого програмного забезпечення та засобів анонімізації здійснювали несанкціоновані втручання в роботу сайтів конкурентів та отримували доступ баз даних.
Зверніть увагу, кільця з NFC-чипом стали доступними для власників карток Visa, випущених державним “Ощадбанком”. Клієнти банку отримали можливість користувтаися технологічною новинкою, за яку доведеться викласти 3,5 тисячі гривень.
До речі, за допомогою TensorFlow.js можна в режимі реального часу “стерти” людини в кадрі, при цьому вся навколишня його обстановка залишається колишньою.
Окрім цього, Google надає користувачам можливість синхронізувати паролі при авторизації в облікового запису, проте в майбутньому в браузері Chrome можуть з’явитися додаткові налаштування контролю, які дозволять користувачам вибирати, які паролі і де потрібно зберігати – локально на пристрої, в хмарі або в обліковому записі Google
