Этический взлом - социальная инженерия
Давайте попробуем понять концепцию атак социальной инженерии на нескольких примерах.
Пример 1
Вы, наверное, заметили, что старые документы компании выбрасывают в мусорные урны. Эти документы могут содержать конфиденциальную информацию, такую как имена, номера телефонов, номера счетов, номера социального страхования, адреса и т. Д. Многие компании по-прежнему используют копировальную бумагу в своих факсимильных аппаратах, и после того, как рулон закончился, ее углерод уходит в мусорное ведро, на котором могут быть следы конфиденциальных данных. Хотя это звучит маловероятно, но злоумышленники могут легко получить информацию с мусорных контейнеров компании, воровав мусор.
Пример 2
Злоумышленник может подружиться с сотрудниками компании и установить с ним хорошие отношения в течение определенного периода времени. Эти отношения могут быть установлены онлайн через социальные сети, комнаты чата или офлайн за журнальным столиком, на детской площадке или любыми другими способами. Злоумышленник скрывает конфиденциальность сотрудников офиса и, наконец, выкапывает необходимую конфиденциальную информацию, не давая ни малейшего представления.
Пример 3
Социальный инженер может притвориться сотрудником, действующим пользователем или VIP-персоной, подделав удостоверение личности или просто убедив сотрудников в своей должности в компании. Такой злоумышленник может получить физический доступ к закрытым зонам, что открывает дополнительные возможности для атак.
Пример 4
В большинстве случаев злоумышленник может быть рядом с вами и может shoulder surfing пока вы вводите конфиденциальную информацию, такую как идентификатор пользователя и пароль, PIN-код учетной записи и т. д.
Фишинговая атака
Фишинговая атака - это компьютерная социальная инженерия, при которой злоумышленник создает электронное письмо, которое выглядит законным. Такие электронные письма выглядят так же, как и письма, полученные с исходного сайта, но могут содержать ссылки на поддельные сайты. Если вы недостаточно умны, вы введете свой идентификатор пользователя и пароль и попытаетесь войти в систему, что приведет к сбою, и к тому времени у злоумышленника будет ваш идентификатор и пароль для атаки на вашу исходную учетную запись.
Быстрая починка
Вы должны обеспечить соблюдение надлежащей политики безопасности в своей организации и провести необходимые тренинги, чтобы все сотрудники знали о возможных атаках социальной инженерии и их последствиях.
Уничтожение документов должно быть обязательным видом деятельности в вашей компании.
Удостоверьтесь, что все ссылки, которые вы получаете в своем электронном письме, поступают из аутентичных источников и указывают на правильные веб-сайты. В противном случае вы можете стать жертвой фишинга.
Будьте профессиональны и ни в коем случае не сообщайте свой идентификатор и пароль никому.