что такое социальная инженерия информатика
Социальная инженерия: неуловимый враг в мире кибербезопасности
Защита корпоративной информации, сетей и рабочих станций от постоянно меняющихся внешних и внутренних угроз — задача, похожая на стрельбу по движущейся мишени. А социальная инженерия превращает эту работу в практически невозможный подвиг. Деятельность, направленная на «взлом» человеческого сознания, как правило, незаметна и способна очень глубоко проникать в систему предприятия.
Что такое социальная инженерия?
В широком смысле под это понятие подпадают любые ситуации, в рамках которых преступники играют на особенностях человеческой психики и манипулируют индивидами так, чтобы они нарушили обычные процедуры и протоколы безопасности. Злоумышленники не пытаются проникнуть в корпоративную сеть через системные уязвимости. Их атаки направлены на людей. И те сами делятся конфиденциальной информацией, которая дает доступ в офисные помещения, системы или сети.
Даже если у организации лучшие системы киберзащиты, межсетевые экраны и процедуры, все равно в один прекрасный день может выясниться, что киберпреступникам удалось заполучить важные закрытые данные.
Структура атаки
Атака с использованием методов социальной инженерии всегда продумана и адаптирована под индивидуальные особенности объекта нападения, в отличие от обычных фишинговых атак с массовой случайной рассылкой электронных писем или звонками тысячам человек. На это требуется больше подготовки, но и шансы на успех повышаются в разы.
Сначала злоумышленники ищут конкретную информацию о целевой компании, ее организационной структуре и сотрудниках. Их действия могут быть направлены против работников определенных отделов или против любых людей с низким уровнем доступа в системы, через взаимодействие с которыми можно выйти на более высокие уровни. Идея состоит не в поиске слабого звена системы безопасности, а в обнаружении уязвимого человека. Играя на его страхах, жадности или любопытстве, злоумышленники вынуждают его нарушить протокол.
Для этого преступник ищет информацию в онлайн и офлайн-источниках и определяет потенциальных жертв. Интернет и социальные СМИ сильно упростили доступ к таким данным.
Так, хорошая начальная точка для непрямых действий — это схемы организаций. Социальные сети вроде LinkedIn и Facebook — это кладезь информации. Например, на LinkedIn очень легко найти список людей, работающих в том или ином подразделении компании. Далее можно понаблюдать за их поведением на Facebook, чтобы вычислить наиболее доверчивых индивидов. После этого остается раздобыть их контактную информацию (адрес электронной почты, телефонный номер).
Злоумышленники пытаются заслужить доверие жертвы или сыграть на чувствах страха и спешки, чтобы человек не успел как следует обдумать ситуацию.
Примеры сценариев атак:
Почему атаки с помощью социальной инженерии более опасны?
Подход социальной инженерии всегда комплекснее по сравнению с другими кибератаками, и потому они представляют значительную угрозу. Вот некоторые причины, делающие социальную инженерию опаснее других атак:
Меры предосторожности
Атаки с использованием методов социальной инженерии довольно изощренные, и непросто их остановить или хотя бы обнаружить. Как отмечалось ранее, системы обнаружения взломов в этом отношении могут оказаться недостаточно эффективны. Однако есть некоторые практики, полезные для предотвращения атак:
Социальная инженерия в эпоху социальной изоляции
Мир изменился. Я чувствую это в воде, чувствую это в земле, ощущаю в воздухе. Многое из того, что было — ушло. И не осталось тех, кто помнит об этом.
Пандемия изменила привычный уклад жизни огромного количества людей и подкинула проблем в самых разных сферах. Одна из этих сфер — информационная безопасность. Первостепенной задачей стал перевод сотрудников на удаленное место работы без потерь (здесь мы писали о рисках ИБ удаленного офиса). Затем последовал всплеск атак, связанных с дистанционным выполнением операций и возросшей популярностью онлайн-шоппинга и разнообразных онлайн-сервисов. Также обострились проблемы фишинга и социальной инженерии.
Несколько фактов:
Напомним основные этапы атаки социальной инженерии
Отметим, что в этой статье мы будем рассматривать атаки на человека не как на частное лицо, но как на сотрудника компании, когда злоумышленнику важно заполучить конфиденциальную информацию или доступ к рабочей станции пользователя.
Сценарий в работе
Для начала разделим все фишинговые сценарии на три больших условных группы:
Макросные сценарии:
1. Распродажа офисного имущества
Вам на почту приходит письмо с заманчивым предложением: “У нас осталось несколько списанных ноутбуков, почти новых, не битых-не крашеных и всего за треть от закупочной цены.” Или же: “Планируем новые закупки, старую мебель отдадим за бесценок, только заберите.” И к письму прикреплена таблица Excel с макросами. Знакомо?
2. Инвентаризация оборудования
Тоже частая ситуация и, что самое плохое, очень правдоподобная: “Посмотрите, есть ли в данном документе ваше оборудование?”
3. Обновление бонусной программы
Рассылка, которая рассказывает о возможных бонусах за привлечение в компанию новых сотрудников или партнеров.
4. Перерасчет заработной платы, премия
Обычно файл с макросами рассылается от имени главного бухгалтера. Изменение условий начисления премии, перерасчет заработной платы и в целом любые изменения в графике выплат стабильно вызывают интерес. В условиях пандемии выглядит вполне правдоподобно.
5. Банковские документы
Еще одна вариация “финансового” сценария. Подозрительные движения трехзначных сумм. Операции по вашему счету. Новые условия зарплатной программы. Люди эмоционально воспринимают новости, связанные с их финансами, и злоумышленник может сыграть на этом.
6. График выходных и праздничных дней
Как показывает практика, этот сценарий хорошо срабатывает перед праздниками, когда нужно многое успеть, и уровень внимательности к бытовым мелочам резко снижается. Перенос праздников, сокращенные или внезапно увеличенные выходные дни – отличные инфоповоды для злоумышленника.
7. Акт сверки счетов и прочая документация
Довольно редкий сценарий, но от этого не менее действенный. Он может сработать, если злоумышленник провел предварительную разведку и выяснил, с какими клиентами/партнерами компания-жертва в данный момент сотрудничает.
Парольные сценарии
Этот сценарий мы решили вынести в отдельный пункт. Пандемия многих заставила переехать в более бюджетные или оптимальные по планировке помещения (например, коворкинги вместо многоэтажных кабинетных офисов). Злоумышленник может пригласить жертву на вебинар по обсуждению переезда или на корпоративный митинг по теме “Идеальный офис: ваши предложения”. Если он будет достаточно убедителен, такой сценарий может увенчаться успехом.
2. Приглашение на внутреннюю встречу или вебинар
Все зависит от специфики работы компании и фантазии злоумышленника. Внутренний митап, приглашение на бесплатный вебинар по техническому английскому, участие в обсуждении грядущего корпоратива… Выбор воистину безграничен, а в условиях удаленной работы мало кого можно удивить предложением созвониться.
3. Внутрикорпоративные “плюшки”
Старый сценарий, который не теряет своей актуальности. Отлично показывает себя в периоды праздников, особенно если в компании есть корпоративный магазин с мерчем. Поэтому новость о скидке на что-либо или компенсации корпоративного питания с большой долей вероятности будет встречена тепло.
4. Интеграция с популярными сервисами и банками
Развитие предыдущей темы. Промокоды – очень соблазнительная вещь, ведь люди в массе своей охочи до скидок. Кто не захочет получить доступ к обучающим курсам или бесплатную подписку на киносервис в преддверии громкой премьеры? Что касается банков, тут всегда можно разыграть карту “смены зарплатного проекта с более выгодными условиями”.
5. Кто-то входит в ваш аккаунт!
Это также старый-добрый действенный сценарий. Здесь нужно сыграть на бдительности сотрудника и сделать так, чтобы инициатива исходила от него. Не сообразив, что происходит на самом деле, пользователь может перейти по ложной ссылке для сброса пароля или выйти на связь со злоумышленником, ответив на письмо.
6. Автоматическое оповещение из Jira/Wiki/Confluence/чата
Расчёт на то, что сотрудники пользуются этими программами каждый день, из-за чего уже не обращают внимания на сопровождающий текст оповещений. Жертва попадает на фишинговую копию страницы трекера, где вводит свои учетные данные. В этом сценарии на руку злоумышленников играет и то, что не все успели как следует познакомиться с новыми коллегами, которые присоединились к компании во время пандемии/на удаленке, особенно если компания крупная.
7. Тестирование нового сервиса %service_name%
Злоумышленник предлагает жертве проверить, сможет ли она войти в “тестируемый” сервис, который якобы находится на стадии внедрения. Если страница входа будет выглядеть достаточно правдоподобно и поддерживать корпоративный стиль, жертва может попасться на эту уловку и ввести свои учетные данные.
8. Запись на вакцинацию и прочие “околоковидные” сценарии
Этот сценарий становится все более вероятным. Люди, которым не терпится вернуться к нормальной жизни, отнесутся к такому письму с большим доверием.
Сценарии с исполняемыми файлами
Проанализировав статистику успешных атак социальной инженерии, мы пришли к выводу, что подавляющее большинство пользователей относятся с подозрением к призыву скачать и установить некое ПО на свою рабочую станцию. Тем не менее, пока злоумышленники не отказались от подобных сценариев:
1. Приглашение на собеседование или онлайн-встречу
Это может быть заманчивое письмо от “рекрутера” реальной крупной компании. Для проведения собеседования предлагается установить новое приложение или внутренний мессенджер.
2. Установка нового сервиса/”пропатченной” версии старого сервиса
Притворяясь представителем IT-отдела, злоумышленник может попросить пользователя установить новую версию ПО, в которой, например, исправлены серьезные уязвимости. Подойдет и вариант с новым, более гибким и безопасным VPN, который запускается в “тестовом” режиме.
Это, разумеется, далеко не все возможные сценарии — фантазия мошенников безгранична.
Цифры и факты
Теперь подробнее обратимся к опыту аудитов Digital Security. На графике ниже показан процент “пробива” по каждой группе сценариев, которые мы рассмотрели. Данные получены в ходе тестирований за 2018-2020 гг.
Сценарии с исполняемыми файлами были и есть наименее эффективны. В 2019 году наблюдался спад, что, вероятно, вызвано ростом осведомленности сотрудников. Скачок в 5% в 2020 году можно объяснить появлением новых сценариев с установкой псевдо-VPN-клиентов и аналогичных средств для удаленной работы.
Наиболее резкое сокращение числа успешных атак за три года наблюдается в группе сценариев с макросами. Это вполне закономерно: о них много рассказывают в учебных материалах и на тренингах.
Наблюдается тенденция постепенного снижения числа успешных атак, поскольку проблемам социальной инженерии уделяют все больше внимания. Свой вклад внесли и надоевшие всем представители “службы безопасности банка N”, которые своими звонками невольно заставляют пользователей быть в тонусе и проявлять здоровую подозрительность.
Тем не менее, какой-то процент пользователей всегда попадается на удочку, которую забрасывают наши аудиторы. А ведь для успешной атаки иногда достаточно и одной оплошности.
Часто сценарии используются комплексно, для большего покрытия. А наличие уязвимостей в инфраструктуре компании, если злоумышленник их обнаружит, может кратно увеличить “пробив”.
Вспомним пару интересных случаев из нашей практики.
Случай 1
В ходе аудита на одном из ресурсов клиента мы выявили ряд уязвимостей, делающих возможными атаки типа XSS. Это позволило разместить фишинговую форму не на ресурсе с похожим именем, а на легитимном веб-сервисе компании.
В веб-приложении были настроены механизмы Content Security Policy, допускающие исполнение встраиваемого JavaScript-кода и подгрузку JS-файлов только с разрешенных источников. Однако оказалось, что в списке доверенных источников для исполнения JS-кода присутствует запись https://*.googleapis.com. Это позволяет любому пользователю Google Cloud Platform разместить произвольный JS-файл в публично доступном хранилище, чей адрес будет удовлетворять требованиям CSP.
Далее по списку email-адресов сотрудников производилась почтовая рассылка. Ссылка в письме вела на фишинговый ресурс, внешне имитирующий корпоративный. Ничего не подозревающая жертва проходила по ссылке и, видя настоящий URL в адресной строке и знакомый интерфейс, вводила свои логин и пароль.
Случай 2
Во время работы над проектом аудиторы обнаружили хранимую XSS во внутреннем ресурсе компании. Также у этой компании был внутренний чат, куда можно было отправлять ссылки. После перехода сотрудников поддержки по ссылкам на уязвимый внутренний ресурс можно было получить их Cookies для дальнейшего проникновения в систему.
Рекомендации
Необходимо помнить, что фишинг в первую очередь направлен на персонал с низким уровнем грамотности в сфере информационной безопасности. Но это не значит, что на уловки хакеров не ведутся сотрудники ИБ- и ИТ-компаний. От атаки не застрахован никто. Чем выше и важнее занимаемая должность, тем больший интерес жертва представляет. Нужно держать сотрудников в тонусе, проверяя их осведомленность, регулярно напоминать о возможных рисках и проводить обучение.
1. Обратите внимание на отправителя
Решения для защиты электронной почты обычно доверяют недавно созданным доменам электронной почты, которые еще не были помечены как опасные, поэтому лучше надеяться на себя и проверять легитимность домена. Злоумышленник может зарегистрировать домен, который похож на домен вашей компании.
Кроме того, посмотрите – действительно ли такой отправитель существует? Бухгалтерия, IT-отдел, отдел маркетинга – c этого ли адреса от них обычно приходят письма?
И, наконец, если в поле “Отправитель” стоит незнакомый адрес, не лишним будет уточнить у более осведомленных лиц: действительно ли такой сотрудник существует?
2. Обратите внимание на тон и стиль письма
Обычно злоумышленники пытаются сделать свои письма предельно нейтральными, чтобы минимизировать количество признаков, по которым можно отличить фальшивое сообщение от настоящего. Вспомните, в каком стиле обычно выдержаны письма от условного отдела технической поддержки? Похоже ли на них письмо, которое вы получили? Может быть, тон чересчур официальный или, наоборот, неформальный?
3. Не переходите по сомнительным ссылкам
Предположим, вам пришло письмо с уведомлением о поставленной в Jira задаче от незнакомого коллеги или о том, что некто поделился с вами файлом в корпоративной системе. Не переходите напрямую по ссылкам, если не уверены в подлинности такого письма. Вы всегда можете войти в нужную корпоративную систему привычным способом и обнаружить обновление/оповещение там.
4. Уточните у коллег
Если письмо выглядит правдоподобно, но вы все равно сомневаетесь, не стесняйтесь обратиться за помощью к коллегам. Спросите у сисадмина, действительно ли они тестируют обновление OVA? Напишите главному бухгалтеру и поинтересуйтесь, правда ли изменились правила начисления премии? Не нужно бояться лишний раз проявить бдительность, ведь это малое усилие с вашей стороны может предотвратить огромный ущерб для компании.
5. Предупредите службу безопасности
Как можно скорее предупредите безопасников вашей компании, особенно если вы попались на уловку и ввели свои настоящие логин и пароль или запустили макросы. Возможно, это ложная тревога или даже учения, проводимые вашей компанией, а возможно и реальная атака.
В таком случае, чем раньше будут приняты меры, тем лучше. В нашей практике были случаи, когда дальнейшее проведение атаки становилось невозможным как раз из-за своевременного обращения сотрудников в службу безопасности.
6. Пройдите обучение по противодействию социальной инженерии
Активно участвуйте в обучающих программах вашей компании и повышайте уровень осведомленности. Как мы уже сказали, фантазия злоумышленников безгранична, а значит и меры защиты должны развиваться и своевременно внедряться в производственный процесс. Обучение и бдительность – ключ к успеху. Если же в вашей компании не проводятся такие мероприятия, может быть, пришло время вам выступить с инициативой?
7. Усовершенствуйте технические меры защиты
Это можно сделать в рамках своих возможностей и обязанностей, а также обратившись за помощью в отдел технического обеспечения и поддержки вашей компании. Не ленитесь менять пароли, у которых истек срок давности, не игнорируйте положения политики ИБ. Не распространяйте в социальных сетях информацию, которая может помочь злоумышленникам провести атаку на вас как на сотрудника компании (старые-добрые фотографии пропусков и бейджей).
8. Своевременно обновляйте ПО и ОС на вашей рабочей станции.
Что делать, если вы подозреваете, что кого-то из ваших коллег зафишили? Или даже вашего непосредственного начальника или человека, занимающего высокий пост в компании? Ответ прежний: не стесняться уточнить, если не лично, то через отдел, обеспечивающий безопасность. Не нужно бояться показаться смешным, поскольку злоумышленники часто используют образ людей, наделенных большими полномочиями, а значит в какой-то момент именно ваша бдительность может спасти ситуацию.
Вывод
Нужно понять и принять, что безопасность компании всегда требует от сотрудников дополнительных усилий. Но как и в случае с болезнью, лучше предупредить неприятности и снизить уровень угрозы, чем разбираться с дорогостоящими последствиями. Будьте бдительны и оставайтесь в безопасности.
Как избежать атаки с использованием социальной инженерии
Что такое социальная инженерия?
При слове «кибербезопасность» большинство думает о том, как защититься от хакеров, использующих технические уязвимости сетей. Но есть и другой способ проникнуть в организации и сети – через человеческие слабости. Это и есть социальная инженерия: способ обманом заставить кого-то раскрыть информацию или предоставить доступ к сетям данных.
Например, некто, притворяясь сотрудником службы поддержки, может попросить пользователей сообщить их пароли. Удивительно, как часто люди добровольно выдают эти данные, особенно если им кажется, что запрос поступает от уполномоченного лица.
Проще говоря, в случае социальной инженерии мошенники манипулируют людьми, чтобы получить от них информацию или доступ к ней.
=»Как работает социальная инженерия»
Виды атак с использованием социальной инженерии
Атаки с использованием социальной инженерии бывают разными. Поэтому важно в целом понимать, что такое социальная инженерия и как она работает. Научившись распознавать основной механизм действия, вы сможете гораздо легче вычислять подобные атаки.
Ловля «на живца»
Ловец «на живца» оставляет приманку – например, флешку с вирусом. Нашедший из любопытства вставляет ее в свой компьютер, и вирус поражает систему. Существует даже флешка, повреждающая компьютеры, – она заряжается через USB-порт и затем высвобождает мощный заряд через устройство ввода. И стоит такая флешка всего 54 доллара США.
Претекстинг
Злоумышленник использует предлог, чтобы привлечь внимание жертвы и заставить ее сообщить информацию. Например, во время безобидного, казалось бы, интернет-опроса у вас могут попросить данные вашего банковского счета. Или к вам подойдет человек с папкой документов и скажет, что проверяет внутренние системы. Но он может оказаться мошенником, пытающимся похитить у вас ценные данные.
Фишинг
При фишинговой атаке вы получаете письмо или сообщение от кажущегося надежным источника с просьбой предоставить информацию. Хорошо известный пример – письмо якобы от банка, который просит клиентов «подтвердить» конфиденциальную информацию и направляет их на поддельный сайт, где их учетные данные будут зафиксированы. Целевой фишинг – это отправка письма определенному сотруднику якобы от высшего руководства компании, запрашивающего конфиденциальные сведения.
Вишинг и смишинг
Это две разновидности фишинга. Первая подразумевает «голосовой фишинг», то есть телефонное мошенничество. Злоумышленник может притвориться сослуживцем – например, сотрудником IT-отдела, которому нужны ваши учетные данные. Вторая – попытка получить данные посредством SMS-сообщений.
«Ты – мне, я – тебе»
Говорят, честный обмен – не грабеж, но не в этом случае. Многие социальные инженеры убеждают своих жертв в том, что те получат что-то в обмен на данные или доступ к ним. Так работает фальшивый антивирус, предлагающий пользователю устранить угрозу на его компьютере, хотя сам «антивирус» и есть угроза.
Взлом электронной почты и рассылка по контактам
Злоумышленник взламывает почту человека или его учетную запись в социальной сети, получая доступ к его контактам. Теперь от имени жертвы он может сообщить им, что его ограбили, и попросить перечислить ему денег или разослать ссылку на вредоносное ПО или клавиатурный шпион под видом интересного видео.
«Охота» и фарминг
И наконец, несколько более продвинутых методов социальной инженерии. Большинство простых методов, описанных выше, являются формой «охоты». Все просто: проникнуть, захватить информацию и убраться восвояси.
Однако некоторые социальные инженеры налаживают связь с жертвой, чтобы получить больше данных за более длительный период времени. Этот метод известен как фарминг и представляет для злоумышленника повышенный риск разоблачения. Но в случае успеха он также дает гораздо больший «урожай».
Как избежать атаки с использованием социальной инженерии
Социальным инженерам особенно сложно противодействовать, поскольку они используют особенности человеческой натуры – любопытство, уважение к властям, желание помочь другу. Но есть ряд советов о том, как обнаружить их атаки.
Проверяйте источник
Задумайтесь на минуту о том, откуда исходит сообщение, – не доверяйте ему слепо. На вашем столе неизвестно откуда появилась флешка? Вам внезапно позвонили и сообщили, что вы получили в наследство 5 миллионов долларов? Ваш руководитель просит в письме предоставить ему массу данных об отдельных сотрудниках? Все это выглядит очень подозрительно, поэтому и действовать следует с осторожностью.
Проверить источник нетрудно. Например, посмотреть на заголовок электронного письма и сравнить его с другими письмами того же отправителя. Проверьте, куда ведут ссылки, – поддельные гиперссылки легко выявить, просто наведя на них курсор (только не нажимайте!). Проверьте орфографию: в банках над перепиской с клиентами работают целые отделы квалифицированных специалистов. Письмо с явными ошибками, вероятно, подделка.
Если сомневаетесь, перейдите на официальный сайт, свяжитесь с представителем и попросите подтвердить или опровергнуть сообщение.
Что им известно?
Знает ли тот, кто вам звонит или пишет, всю соответствующую информацию – например, ваше полное имя? Сотрудник банка уж точно должен иметь перед глазами все ваши данные и обязательно спросит проверочное слово, прежде чем разрешит вам вносить изменения в свой счет. Если этого не произошло, с большой долей вероятности письмо, сообщение или звонок – фальшивка. Будьте осторожны!
Остановитесь и подумайте
Социальные инженеры часто используют иллюзию срочности в расчете на то, что жертва не будет особо задумываться о происходящем. Всего минута размышлений может помочь вам выявить и предотвратить атаку.
Не спешите сообщать данные по телефону или переходить по ссылке. Лучше перезвоните по официальному номеру или перейдите на официальный сайт. Используйте другой способ связи, чтобы проверить благонадежность источника. Например, если друг в электронном письме просит перечислить ему деньги, напишите или позвоните ему по телефону, чтобы убедиться, что письмо действительно от него.
Требуйте данные, удостоверяющие личность
Социальному инженеру проще всего проникнуть в охраняемое здание, неся в руках коробку или кипу папок. Кто-нибудь обязательно придержит для него дверь. Не попадайтесь на эту удочку: всегда требуйте удостоверение личности.
То же правило действует и в других ситуациях. Если у вас запрашивают информацию – уточните имя и номер звонящего или его непосредственного руководителя. Затем просто проверьте эту информацию в интернете или справочнике прежде, чем сообщать какие-либо персональные данные. Если вы не знаете человека, который запрашивает информацию, и все еще сомневаетесь – скажите, что уточните у кого-нибудь и потом перезвоните.
Используйте надежный спам-фильтр
Если ваш почтовый клиент недостаточно тщательно фильтрует спам или не помечает письма как подозрительные, попробуйте изменить настройки. Хорошие спам-фильтры используют разнообразную информацию для распознавания нежелательных писем. Они могут выявлять подозрительные файлы или ссылки, заносить в черный список ненадежные IP-адреса или сомнительных отправителей и анализировать содержимое писем, чтобы обнаруживать фальшивки.
Насколько это правдоподобно?
Некоторые социальные инженеры рассчитывают на то, что вы не станете вдумываться. Попробуйте оценить, насколько реалистична ситуация, – так вы можете избежать атаки. Например:
Не спешите
Будьте особенно осторожны, если вам внушают, что ситуация неотложная. Это стандартный способ злоумышленников помешать вам все обдумать. Если чувствуете, что на вас давят, – притормозите. Скажите, что вам нужно время, чтобы добыть информацию, вам нужно спросить своего начальника, у вас сейчас нет нужных данных, – что угодно, чтобы дать себе время на осмысление.
В большинстве случаев мошенник не станет рисковать, осознав, что эффект неожиданности пропал.
Защитите свои устройства
Важно защитить устройства, чтобы даже в случае успешной атаки социальный инженер не смог получить слишком много информации. Будь то смартфон, домашняя сеть или крупная корпоративная система, принцип действия одинаков.
Подумайте о своем цифровом следе
Задумайтесь о вашем присутствии в Сети. Публикуя много личной информации в интернете (например, в социальных сетях), вы помогаете злоумышленникам. Например, в качестве проверочного слова многие сервисы предлагают использовать кличку вашего первого питомца. Делились ли вы этими сведениями в Facebook? Если да, то вы подвергаетесь риску! Кроме того, некоторые социальные инженеры входят в доверие, упоминая недавние события, которыми человек поделился в социальных сетях.
Советуем сдержаннее рассказывать о себе и сделать ваши публикации доступными только для друзей. Не нужно паранойи, просто будьте аккуратны.
Задумайтесь, какими еще аспектами своей жизни вы делитесь онлайн. Если, например, вы разместили в Сети свое резюме, стоит удалить оттуда свой адрес, номер телефона, дату рождения – любую полезную информацию, которой может воспользоваться преступник. Некоторые социальные инженеры очень тщательно готовятся к атаке, собирая все возможные данные о жертве, чтобы поймать ее на крючок. Не давайте им такой возможности.
Атаки с использованием социальной инженерии крайне опасны, поскольку происходят в совершенно обыденных ситуациях. Однако, полностью понимая их механизм и принимая элементарные меры предосторожности, вы гораздо меньше рискуете стать их жертвой.