|
|
|
|
Как защищаться от атак с использованием социального инжиниринга
C каждым годом методы социального инжиниринга в арсенале криминала становятся все более хитроумными, изощренными, пишет Гэри Оренстейн на сайте securitymagazine.com. Технологии неумолимо маршируют вперед. Такие достижения как искусственный интеллект или машинное обучение (применяемые, в частности, для дипфейков) увеличивают риски, связанные с социальным инжинирингом.
Социальный инжиниринг можно обозначить как «психологическую обманку», призванную манипулировать человеком для достижения криминальных целей. Он проявляется в разных видах и формах: электронные послания, телефонные звонки, письменные тексты. Тонко эксплуатирует людские слабости - страхи, любопытство, разгильдяйство. Используется в сложных схемах фишинга.
Так, например, несколько лет назад некоторые постояльцы лондонского отеля Риц «купились» на телефонные звонки якобы от имени гостиничной администрации, и выболтали реквизиты своих кредитных карт.
Компания Bitwarden, создавшая в 2016 году менеджер паролей – программу, которая позволяет хранить данные для входа, генерировать их, отслеживать утечки и даже безопасно делиться данными с другими ресурсами, провела исследование, которое показало, что финансовые институты составляют 35% объектов фишинговых атак. Американская компания Proofpoint (облачные, программные и аппаратные решения для фильтрации электронной почты, защиты от утечек данных, шифрования и архивирования почты) обращает внимание, что в 2021 году 83% компаний (в США – ред.) подверглись фишинговым атакам. Для сравнения – годом ранее таких компаний было «всего» 57%.
По мнению автора публикации, базовые протоколы интернет безопасности (internet security protocols) способны предупредить фишинг в электронной почте. Что для этого надо делать?
Если вы получили e-mail сообщение, прежде всего, проверьте, откуда оно пришло. Изучите имя и адрес отправителя. Важно уметь отличать реальный адрес от подменного или несуществующего. К сожалению, мобильные айфоны и смартфоны не всегда дают полный адрес, в то время как браузеры и приложения настольных компьютеров и ноутбуков предоставляют более существенную и полную информацию на этот счет.
Не пожалейте времени удостовериться, что обозначенные в сообщении ссылки и линки ведут на легальные сайты, но – и это важно! – не «кликая» на них в самом электронном письме. Если вас заинтересовала тема сообщения, то лучше попытаться самостоятельно, напрямую выйти на аккаунт или сайт, игнорируя любую информацию, ссылку в подозрительном письме.
Никогда не открывайте приложения, посланные вам неизвестными лицами и даже неожиданные приложения, полученные от известных вам людей без предварительной перепроверки.
Хотя данные рекомендации касаются в основном онлайновых схем, они в принципе применимы и к другим видам мошенничества. Например, к «вишингу». Последний отличается от фишинга тем, что не приглашает зайти на сайт, но позвонить на городской телефонный номер. Тем же, кто звонит, зачитывается под благовидным предлогом сообщение с предложением передать конфиденциальные данные.
В любом случае проявляйте бдительность, не стесняйтесь задавать вопросы, если что-то вам покажется подозрительным. Если есть сомнения относительно отправителя, звоните прямо в организацию, коей он представился. Доверьтесь инстинкту осторожности.
Еще несколько дополнительных и не бесполезных советов от автора статьи:
Используйте диспетчер паролей, специальную программу, помогающую пользователям создавать надежные пароли, держать их в цифровом хранилище, защищенном единым мастер - паролем, а затем по мере необходимости получать их при входе в учетные записи.
Не пренебрегайте двухфакторной аутентификацией – этой первой линией защиты от хакеров, покушающихся на ваши персональные и прочие конфиденциальные данные.
Ориентируйтесь на безопасные браузеры и поисковые машины. Большинство современных браузеров собирают информацию пользователя, исходя из его поисковых запросов, посещенных им страниц, просмотренных видео и прочего. В результате строится досье, включающее в себя личные данные, интересы и даже политические взгляды. Желательно избегать взаимодействия с отслеживающими скриптами, выбирать специальные браузеры для анонимного веб-серфинга (подробнее см. timeweb.com/ru/community/articles/luchshie-brauzery-dlya-anonimnogo-veb-serfinga).
Используйте программы шифрования для корреспонденций, содержащих чувствительную для вас информацию.
|