Урок:

Що таке соціальна інженерія? Напади, методи та запобігання

19.05.2024
0 0
Вміст уроку:
1
2
3

Урок не містить жодного завдання. Додайте завдання.

Щоб додати завдання, оберіть категорію завдання на панелі запитань.

1

Прочитайте теоретичний матеріал:

Соціальна інженерія стала невід’ємною частиною кібершахраїв. Мова йде про спеціальну методику маніпуляції, яка допомагає змусити людину віддати зловмисникам необхідні дані. Яким чином? Використовуючи людські слабкості – тобто емоції та природну поведінку жертви. Соціальна інженерія — це мистецтво маніпулювання користувачами обчислювальної системи з метою розкриття конфіденційної інформації, яка може бути використана для отримання несанкціонованого доступу до комп’ютерної системи. Термін також може включати такі дії, як використання людської доброти, жадібності та цікавості для отримання доступу до будівель з обмеженим доступом або спонукання користувачів до встановлення бекдорного програмного забезпечення. Сьогодні існує чимало методів використання соціальної інженерії. В основі – маніпуляція людськими страхами, зацікавленістю або довірою. Жертвою соціальної інженерії можна стати як під час особистого спілкування, так і по телефону або через цифрові гаджети. Зловмисники можуть «маскуватися» під установи, яким довіряє людина.

Наприклад, прикидаючись представниками оператора мобільного зв’язку або працівниками банку, вони можуть надсилати електронні листи з додатком або посиланням, за яким людина має ввести свої особисті дані. Жертві також можуть додатково зателефонувати із проханням відкрити цей додаток або ж перейти за посиланням. Вважається, що таке «живе» спілкування додає ситуації чималої правдоподібності і зазвичай змушує людей відкривати вкладення. Знання трюків, які використовують хакери, щоб оманою змусити користувачів оприлюднити життєво важливу інформацію для входу, є фундаментальним для захисту комп’ютерних систем.

Соціальна інженерія – це термін, що використовується для позначення широкого спектра зловмисних дій, що здійснюються за допомогою людської взаємодії. Він використовує психологічні маніпуляції, щоб змусити користувачів робити помилки безпеки або видавати конфіденційну інформацію. Необхідно остерігатися будь-яких незапитаних пропозицій допомоги, що особливо пропонують перехід за сторонніми посиланнями.

0601q3yf-f1e1-734x337.pngПоширені методи соціальної інженерії:

  • Фішинг (виловлювання персональних даних)

  • Вішинг (телефонне шахрайство)

  • Смішинг (SMS-шахрайство)

  • Бейтінг (шахрайство через зовнішні носії)

Методи соціальної інженерії можуть приймати різні форми:

Експлойт знайомства: користувачі менш підозрілі щодо знайомих їм людей. Зловмисник може ознайомитися з користувачами цільової системи до атаки соціальної інженерії. Зловмисник може взаємодіяти з користувачами під час їжі, коли користувачі курять, він може приєднатися, на соціальних заходах тощо. Це робить зловмисника знайомим користувачам. Припустімо, що користувач працює в будівлі, яка вимагає код доступу або картку для отримання доступу; зловмисник може стежити за користувачами, коли вони заходять у такі місця. Користувачі найбільше люблять тримати двері відкритими, щоб зловмисник зайшов, оскільки вони знайомі з ними. Зловмисник також може запитати відповіді на запитання, наприклад, де ви познайомилися зі своєю дружиною, ім’я вашого вчителя математики в середній школі тощо. Користувачі, швидше за все, розкриють відповіді, оскільки довіряють знайомому обличчю.

Обставини , що лякають: люди, як правило, уникають людей, які лякають оточуючих. Використовуючи цю техніку, зловмисник може прикинутися гарячою сваркою по телефону або зі спільником у схемі. Потім зловмисник може запитати у користувачів інформацію, яка буде використана для порушення безпеки системи користувачів. Користувачі, швидше за все, дають правильні відповіді, щоб уникнути конфронтації з зловмисником. Цей прийом також можна використовувати, щоб уникнути перевірки на контрольно-пропускному пункті.

Фішинг: ця техніка використовує хитрість і обман для отримання особистих даних від користувачів. Соціальний інженер може спробувати видати себе за справжній веб-сайт, наприклад Yahoo, а потім попросити нічого не підозрюючого користувача підтвердити ім’я облікового запису та пароль. Цю техніку також можна використовувати для отримання інформації про кредитну картку або будь-яких інших цінних особистих даних.

Переслідування: ця техніка передбачає стеження за користувачами позаду, коли вони входять у заборонені зони. З людської ввічливості користувач, швидше за все, впустить соціального інженера в зону обмеженого доступу.

Експлуатація людської цікавості: використовуючи цю техніку, соціальний інженер може навмисно кинути заражений вірусом флеш-диск у місце, де користувачі можуть легко його підхопити. Користувач, швидше за все, підключить флешку до комп’ютера. Флеш-диск може автоматично запускати вірус, або користувач може спробувати відкрити файл із такою назвою, як Employees Revaluation Report 2013.docx, який насправді може бути зараженим файлом.

Експлуатація людської жадібності: використовуючи цю техніку, соціальний інженер може заманити користувача обіцянками заробити багато грошей в Інтернеті, заповнивши форму та підтвердивши свої дані за допомогою даних кредитної картки тощо.

Протидія соціальної інженерії

Більшість методів, які використовують соціальні інженери, передбачають маніпулювання людськими упередженнями.

Щоб протистояти експлойту знайомства, користувачів потрібно навчити не замінювати знайомство заходами безпеки. Навіть люди, з якими вони знайомі, повинні довести, що вони мають дозвіл на доступ до певних областей та інформації.

Щоб протистояти атакам залякування обставин, користувачі повинні бути навчені визначати методи соціальної інженерії, які виловлюють конфіденційну інформацію, і ввічливо відмовляти.

Щоб протистояти методам фішингу , більшість сайтів, таких як Yahoo, використовують безпечні з’єднання для шифрування даних і доведення, що вони є тими, за кого себе видають. Перевірка URL може допомогти вам виявити підроблені сайти. Уникайте відповідей на електронні листи з проханням надати особисту інформацію.

Щоб протистояти небезпечним атакам, користувачі повинні бути навчені не дозволяти іншим використовувати їхній дозвіл безпеки для отримання доступу до зон обмеженого доступу. Кожен користувач повинен використовувати власний дозвіл доступу.

Щоб протистояти людській цікавості, краще надати підібрані флеш-диски системним адміністраторам, які мають перевірити їх на наявність вірусів чи іншої інфекції, бажано на ізольованій машині.

Щоб протистояти методам, які використовують людську жадібність , співробітники повинні бути навчені щодо небезпеки попадання на такі шахрайства.

2

Перегляньте навчальне відео:

3

Виконайте інтерактивні вправи:

Рефлексія від 5 учнів

Сподобався:

0

Так: 5

Ні: 0

Зрозумілий:

0

Так: 5

Ні: 0

Потрібні роз'яснення:

0

Ні: 5

Так: 0

Рекомендуємо

Елементи вибору: прапорці, перемикачі

Елементи вибору: прапорці, перемикачі

56

Аватар профіля Федотова Наталія Олександрівна
Інформатика
8 клас

25 грн

Методи в С#

Методи в С#

226

Аватар профіля Чайковський Олександр Олександрович
Інформатика
7—12 клас та I курс

85 грн

Методи проектування і подання алгоритмів

Методи проектування і подання алгоритмів

249

Аватар профіля Андрієнко Мар`ян Андрійович
Інформатика
11 клас

25 грн

Методи мислення

Методи мислення

321

Аватар профіля Біланинець Олена Андріївна
Технології
дорослі

30 грн

§ 10. Графічні методи модуля tkinter

§ 10. Графічні методи модуля tkinter

488

Аватар профіля Киреєва Оксана Анатоліївна
Інформатика
7 клас

50 грн

Властивості та методи елементів керування. Кнопка

Властивості та методи елементів керування. Кнопка

508

Аватар профіля Лизько Валентина Степанівна
Інформатика
8 клас

33 грн

Схожі уроки

Впорядкування, пошук і фільтрування даних.

Впорядкування, пошук і фільтрування даних.

1302

Аватар профіля Вожга Ірина Леонідівна
Інформатика
9 клас

Створення й уведення структури таблиць. Поняття таблиці, поля, запису. Створення таблиць, означення полів і ключів у середовищі СКБД. Властивості полів, типи даних.

Створення й уведення структури таблиць. Поняття таблиці, поля, запису. Створення таблиць, означення полів і ключів у середовищі СКБД. Властивості полів, типи даних.

1118

Аватар профіля Савка-Ржематорська Оксана Василівна
Інформатика
9 клас

Цикли з передумовою у вкладених циклах

Цикли з передумовою у вкладених циклах

1350

Аватар профіля Вожга Ірина Леонідівна
Інформатика
6 клас

Налаштування часових параметрів аудіо- та відеоряду.

Налаштування часових параметрів аудіо- та відеоряду.

500

Аватар профіля Солодовнікова Катерина Олексіївна
Інформатика
8 клас

Елемент керування «кнопка». Поняття об’єкту та його властивостей і методів (на прикладі елементів екранної форми). Властивості і методи елементів керування.

Елемент керування «кнопка». Поняття об’єкту та його властивостей і методів (на прикладі елементів екранної форми). Властивості і методи елементів керування.

655

Аватар профіля Пилипенко Олена Володимирівна
Інформатика
8 клас

Елемент керування кнопка

Елемент керування кнопка

286

Аватар профіля Пилипенко Олена Володимирівна
Інформатика
8 клас