Қаржы энциклопедиясы

Әлеуметтік инженерия

Әлеуметтік инженерия дегеніміз не?

Әлеуметтік инженерия — бұл жеке ақпарат пен қорғалатын жүйелерге қол жеткізу үшін адамның әлсіз жақтарын пайдалану әрекеті. Әлеуметтік инженерия мақсатты есептік жазбаға кіру үшін компьютерлік жүйелерді бұзудан гөрі жеке тұлғаларды басқаруға негізделген.

Әлеуметтік инженерияны түсіну

Мысалы, әйел құрбан болған ер адамның банкіне қоңырау шалып, төтенше жағдайды талап етіп, оның шотына кіруді сұрайтын әйелі болып көрінуі мүмкін. Егер әйел банктің клиенттерге қызмет көрсету өкілін әлеуметті түрде өкілдің эмпатикалық тенденциясына жүгіну арқылы инженерлік-техникалық тұрғыдан дамыта алса, ол ер адамның шотына қол жеткізіп, оның ақшасын ұрлауы мүмкін. Сол сияқты, қаскүнем электрондық пошта провайдерінің клиенттерге қызмет көрсету бөліміне хабарласып, құпия сөзді қалпына келтіру үшін шабуылдаушының мақсатты поштаның тіркелгісін басқаруына мүмкіндік береді.

Әлеуметтік инженерия мақсатты манипуляцияны білдіреді, осылайша олар негізгі ақпараттан бас тартады. Жеке тұлғаны ұрлаумен немесе несие картасын немесе банктік шотты бұзумен қатар, әлеуметтік инженерия компанияның коммерциялық құпияларын алу немесе ұлттық қауіпсіздікті пайдалану үшін қолданылуы мүмкін.

Әлеуметтік инженерия ықтимал нысандардың алдын-алу үшін қиын. Күшті парольдерді пайдалану және шоттар үшін екі факторлы аутентификация сияқты сақтық шаралары қолданылады, бірақ олардың шоттарына банктік қызметкерлер сияқты өз шоттарына қол жеткізе алатын үшінші тұлғалар бұзылуы мүмкін. Алайда, адамдар өздерінің тәуекелдерін құпия ақпарат беруден аулақ болу, әлеуметтік медиада ақпараттармен бөліскенде абай болу, парольдерді қайталамау, екі факторлы аутентификацияны қолдану, есептік жазбаның қауіпсіздік сұрақтарына жалған немесе болжау қиын жауаптарды пайдалану және шоттарды, әсіресе қаржылық шоттарды мұқият қадағалаңыз.

Шабуылшылар адамдардан көмек сұрау сияқты әлеуметтік инженерлік схемаларда таңқаларлықтай қарапайым тактиканы жиі қолданады. Тағы бір тактика — апат құрбандарынан жеке жеке куәлікті ұрлау үшін пайдаланылуы мүмкін ақпаратты беруді сұрау арқылы пайдалану.

Техникалық қолдау маманы немесе жеткізуші ретінде позицияға кіру зиянды тіркеме сияқты заңды электрондық пошта хабарын жіберу сияқты тіркелгіге рұқсатсыз кірудің оңай жолдары болып табылады. Мұндай электрондық хаттар көбінесе жұмыс белгісі жіберіледі, онда адамдар белгісіз жіберушіге күмәнданбайды.

Электрондық пошта хабарларын хакер жіберген кезде олар белгілі жіберушіден шыққан сияқты көрінуі мүмкін. Нақты адамдарға бағытталған нақтырақ тактика олардың қызығушылықтары туралы білуді, содан кейін мақсатқа осы қызығушылыққа байланысты сілтемені жіберуді қамтуы мүмкін. Сілтеме зиянды кодты қамтуы мүмкін, ол компьютердегі жеке ақпаратты ұрлай алады. Танымал әлеуметтік инженерия техникасына фишинг, мысық аулау, құйрық аулау және жем салу жатады.

 

Ұқсас посттар: