Социальная инженерия — это искусство манипулирования людьми для получения доступа к конфиденциальной информации, системам или ресурсам. Может применяться как в криминальных целях, так и в рамках безопасности информации. На данную тему больше информации можно получить на странице Awareness training.
Основы
Инженерия социальная основывается на понимании психологии и поведения людей. Манипуляторы прибегают к обману, внушению доверия или созданию ситуаций, в которых граждане вынуждены раскрывать информацию, которую обычно тщательно скрывают.
Социальные инженеры могут проникать в системы информационной безопасности, убеждая сотрудников предоставить им доступ или конфиденциальную информацию.
Методы
Фишинг. Один из самых распространенных методов. Злоумышленники отправляют фальшивые электронные письма, представляясь как доверенные лица или организации, просят получателей ввести конфиденциальную информацию, такую как пароли или номера кредитных карт.
Имитация авторитетных лиц. Манипуляторы в определенных случаях претендуют на роль высокопоставленных сотрудников компании или других авторитетных фигур. Могут обращаться к сотрудникам и просить их выполнять определенные действия.
Подделка личности. Специалисты могут создавать фальшивые профили и вводить в заблуждение людей в социальных сетях. Устанавливают контакт с целью и могут выяснять конфиденциальную информацию через беседы.
Дамский вариант. Социальные инженеры могут использовать свою внешность или обаяние, чтобы вызвать доверие и получить доступ к ограниченным областям.
Использование кризисных ситуаций. Специалисты могут создавать ситуации, которые требуют немедленного действия, и просят жертвы раскрывать информацию в силу стресса или необходимости помочь.
Как предотвратить социальную инженерию?
Предотвращение угроз в сети требует обучения и осведомленности сотрудников и членов организации.
Проводите регулярные тренинги по обнаружению и предотвращению социальной инженерии. Обученные сотрудники могут легче распознавать потенциальные угрозы. Используйте многофакторную аутентификацию для защиты аккаунтов. Это усложняет задачу социальным инженерам.
Проверяйте личность и авторитет лиц, запрашивающих конфиденциальную информацию или доступ к системам. Учите сотрудников быть осторожными в социальных сетях и не раскрывать личную информацию неизвестным лицам.
Разработайте процедуры для реагирования на случаи социальной инженерии и быстрого информирования сотрудников и органов безопасности.