Конструктор уроків
1
Прочитайте теоретичний матеріал:
Соціальна інженерія стала невід’ємною частиною кібершахраїв. Мова йде про спеціальну методику маніпуляції, яка допомагає змусити людину віддати зловмисникам необхідні дані. Яким чином? Використовуючи людські слабкості – тобто емоції та природну поведінку жертви. Соціальна інженерія — це мистецтво маніпулювання користувачами обчислювальної системи з метою розкриття конфіденційної інформації, яка може бути використана для отримання несанкціонованого доступу до комп’ютерної системи. Термін також може включати такі дії, як використання людської доброти, жадібності та цікавості для отримання доступу до будівель з обмеженим доступом або спонукання користувачів до встановлення бекдорного програмного забезпечення. Сьогодні існує чимало методів використання соціальної інженерії. В основі – маніпуляція людськими страхами, зацікавленістю або довірою. Жертвою соціальної інженерії можна стати як під час особистого спілкування, так і по телефону або через цифрові гаджети. Зловмисники можуть «маскуватися» під установи, яким довіряє людина.
Наприклад, прикидаючись представниками оператора мобільного зв’язку або працівниками банку, вони можуть надсилати електронні листи з додатком або посиланням, за яким людина має ввести свої особисті дані. Жертві також можуть додатково зателефонувати із проханням відкрити цей додаток або ж перейти за посиланням. Вважається, що таке «живе» спілкування додає ситуації чималої правдоподібності і зазвичай змушує людей відкривати вкладення. Знання трюків, які використовують хакери, щоб оманою змусити користувачів оприлюднити життєво важливу інформацію для входу, є фундаментальним для захисту комп’ютерних систем.
Соціальна інженерія – це термін, що використовується для позначення широкого спектра зловмисних дій, що здійснюються за допомогою людської взаємодії. Він використовує психологічні маніпуляції, щоб змусити користувачів робити помилки безпеки або видавати конфіденційну інформацію. Необхідно остерігатися будь-яких незапитаних пропозицій допомоги, що особливо пропонують перехід за сторонніми посиланнями.
Поширені методи соціальної інженерії:
Фішинг (виловлювання персональних даних)
Вішинг (телефонне шахрайство)
Смішинг (SMS-шахрайство)
Бейтінг (шахрайство через зовнішні носії)
Методи соціальної інженерії можуть приймати різні форми:
Експлойт знайомства: користувачі менш підозрілі щодо знайомих їм людей. Зловмисник може ознайомитися з користувачами цільової системи до атаки соціальної інженерії. Зловмисник може взаємодіяти з користувачами під час їжі, коли користувачі курять, він може приєднатися, на соціальних заходах тощо. Це робить зловмисника знайомим користувачам. Припустімо, що користувач працює в будівлі, яка вимагає код доступу або картку для отримання доступу; зловмисник може стежити за користувачами, коли вони заходять у такі місця. Користувачі найбільше люблять тримати двері відкритими, щоб зловмисник зайшов, оскільки вони знайомі з ними. Зловмисник також може запитати відповіді на запитання, наприклад, де ви познайомилися зі своєю дружиною, ім’я вашого вчителя математики в середній школі тощо. Користувачі, швидше за все, розкриють відповіді, оскільки довіряють знайомому обличчю.
Обставини , що лякають: люди, як правило, уникають людей, які лякають оточуючих. Використовуючи цю техніку, зловмисник може прикинутися гарячою сваркою по телефону або зі спільником у схемі. Потім зловмисник може запитати у користувачів інформацію, яка буде використана для порушення безпеки системи користувачів. Користувачі, швидше за все, дають правильні відповіді, щоб уникнути конфронтації з зловмисником. Цей прийом також можна використовувати, щоб уникнути перевірки на контрольно-пропускному пункті.
Фішинг: ця техніка використовує хитрість і обман для отримання особистих даних від користувачів. Соціальний інженер може спробувати видати себе за справжній веб-сайт, наприклад Yahoo, а потім попросити нічого не підозрюючого користувача підтвердити ім’я облікового запису та пароль. Цю техніку також можна використовувати для отримання інформації про кредитну картку або будь-яких інших цінних особистих даних.
Переслідування: ця техніка передбачає стеження за користувачами позаду, коли вони входять у заборонені зони. З людської ввічливості користувач, швидше за все, впустить соціального інженера в зону обмеженого доступу.
Експлуатація людської цікавості: використовуючи цю техніку, соціальний інженер може навмисно кинути заражений вірусом флеш-диск у місце, де користувачі можуть легко його підхопити. Користувач, швидше за все, підключить флешку до комп’ютера. Флеш-диск може автоматично запускати вірус, або користувач може спробувати відкрити файл із такою назвою, як Employees Revaluation Report 2013.docx, який насправді може бути зараженим файлом.
Експлуатація людської жадібності: використовуючи цю техніку, соціальний інженер може заманити користувача обіцянками заробити багато грошей в Інтернеті, заповнивши форму та підтвердивши свої дані за допомогою даних кредитної картки тощо.
Протидія соціальної інженерії
Більшість методів, які використовують соціальні інженери, передбачають маніпулювання людськими упередженнями.
Щоб протистояти експлойту знайомства, користувачів потрібно навчити не замінювати знайомство заходами безпеки. Навіть люди, з якими вони знайомі, повинні довести, що вони мають дозвіл на доступ до певних областей та інформації.
Щоб протистояти атакам залякування обставин, користувачі повинні бути навчені визначати методи соціальної інженерії, які виловлюють конфіденційну інформацію, і ввічливо відмовляти.
Щоб протистояти методам фішингу , більшість сайтів, таких як Yahoo, використовують безпечні з’єднання для шифрування даних і доведення, що вони є тими, за кого себе видають. Перевірка URL може допомогти вам виявити підроблені сайти. Уникайте відповідей на електронні листи з проханням надати особисту інформацію.
Щоб протистояти небезпечним атакам, користувачі повинні бути навчені не дозволяти іншим використовувати їхній дозвіл безпеки для отримання доступу до зон обмеженого доступу. Кожен користувач повинен використовувати власний дозвіл доступу.
Щоб протистояти людській цікавості, краще надати підібрані флеш-диски системним адміністраторам, які мають перевірити їх на наявність вірусів чи іншої інфекції, бажано на ізольованій машині.
Щоб протистояти методам, які використовують людську жадібність , співробітники повинні бути навчені щодо небезпеки попадання на такі шахрайства.
2
Перегляньте навчальне відео:
3
Виконайте інтерактивні вправи:
Рефлексія від 5 учнів
Сподобався:
Так: 5
Ні: 0
Зрозумілий:
Так: 5
Ні: 0
Потрібні роз'яснення:
Ні: 5
Так: 0