Види соціальної інженерії

Соціальна інженерія охоплює широкий спектр кібератак, спрямованих на використання людської помилки або довірливості для одержання доступу до певної інформації або сервісів. Користувачів можуть обманом переконати надати доступ до систем або відкрити певні документи, файли, електронні листи чи вебсайти. Для цього застосовуються різні форми маніпуляцій, технологій, але всі вони покладаються на людський фактор для досягнення успіху.

Хоча методи соціальної інженерії часто використовуються для отримання початкового доступу, їх можна застосовувати на пізніших етапах атаки. Прикладами є компрометація корпоративної електронної пошти, шахрайство, самозванство, підробка та вимагання.

Види фішингу

• Метою звичайного фішингу є викрадення важливої інформації, як-от номери кредитних карток і паролі, через електронну пошту за допомогою обману.

• Цільовий фішинг (spear phishing) – це більш просунутий варіант фішингу, спрямований на конкретні організації чи особи.

• Вейлінг (whaling) стосується фішингових атак, націлених на високих посадовців (керівників, політиків тощо).

• SMS-фішинг, смішинг (smishing) поєднує в собі «SMS» і «фішинг», застосовуючи текстові повідомлення для проведення атаки.

• Голосовий фішинг, вішинг (vishing) складається з комбінації слів «voice» та «фішинг». У цьому типі атак використовуються телефонні дзвінки для отримання конфіденційних даних цілі.

Інші види соціальної інженерії

Існують різні підходи до того, щоб переконати користувача надати чутливу інформацію або виконати певну дію, яка потрібна злочинцеві.

• Watering hole атака відбувається шляхом зараження сайту, який регулярно відвідує ціль зловмисників.

• Бейтінг (baiting) – це тип атаки соціальної інженерії, під час якої злочинці спонукають користувача надати свої конфіденційні дані, обіцяючи щось в обмін (наприклад, безкоштовне завантаження ігор, музики чи фільмів).

• Претекстінг (pretexting) – створення певної ситуації, що спонукатиме ціль видати зловмиснику свою чутливу інформацію.

• Атаки квід-про-кво (Quid Pro Quo) полягають у спробах злочинців видати себе за працівників ІТ-відділу чи інших постачальників технічних послуг.

• «Медова пастка» (honeytrap) – це різновид соціальної інженерії, в якому зловмисники створюють фальшиві профілі у соціальних мережах і на сайтах знайомств з викраденими фото, аби привабити потенційні цілі.

• Відлякувальні програми (scareware) змушують користувача повірити в загрозу, часто неіснуючу, як-от зараження пристрою вірусом.

• Компрометація корпоративної електронної пошти (business e-mail compromise, BEC) – це просунутий вид кібератак, націлений на підприємства та організації. До прикладу, він може включати обман співробітника або керівника для виконання грошового переказу, або ж злам електронної пошти працівника чи управлінця для відправки листів зі шкідливим кодом контактам компанії (клієнтам, постачальникам тощо).

• Шахрайство – це навмисне спотворення або приховання фактів для одержання конфіденційної інформації цілі або виконання нею потрібних зловмисникові дій.

• Самозванство, імперсоналізація – це видача себе за іншу особу для отримання вигоди.

• Підробка – це шахрайська імітація чого-небудь.

• Вимагання – атаки на мережі, спрямовані на викрадення чутливих даних для продажу в дарквебі або отримання викупу за них.

Джерело