Злоумышленники отправляют поддельные сообщения, обычно по электронной почте, представляясь доверенными источниками. Целью таких сообщений является получение конфиденциальных данных, таких как логины, пароли и номера банковских карт.
Известные примеры: Фишинговые атаки часто направлены на крупные компании. Одним из таких случаев стала атака на компанию Google, когда сотрудники получили электронные письма с вредоносными ссылками, которые привели к потере данных.
2. Вишинг (Vishing)
Вишинг – это разновидность фишинга, но вместо электронных писем злоумышленники используют телефонные звонки. Они могут представиться сотрудниками службы безопасности банка и попросить предоставить личные данные или ПИН-коды, утверждая, что на счёте клиента подозрительная активность.
Известные программы: Злоумышленники могут использовать специализированное программное обеспечение для подделки телефонных номеров, чтобы звонки выглядели исходящими от реальных компаний, создавая у жертвы большее доверие.
3. Смишинг (Smishing)
Смишинг – это фишинг через SMS-сообщения. Атака заключается в том, что жертва получает текстовое сообщение от имени банка или другой службы с просьбой перейти по ссылке для подтверждения данных или восстановления доступа.
Пример атаки: в последние годы участились атаки смишинг на клиентов банков, где жертвы получают сообщение с просьбой подтвердить операцию, на которую они якобы не давали разрешения, и переходят по вредоносной ссылке.
4. Переодевание (Impersonation)
Переодевание, или имперсонация, заключается в том, что злоумышленник притворяется сотрудником компании, клиентом или представителем государственной службы, чтобы войти в доверие. Цель таких атак – получить доступ к физическим или цифровым ресурсам, которым доверяет жертва.
5. Байтинг (Baiting)
Этот метод основан на создании ложного интереса. Злоумышленник может оставить на видном месте флешку или USB-устройство с заманчивой надписью, надеясь, что кто-то подберет и подключит его к компьютеру. На устройстве будет установлено вредоносное ПО, которое активируется при подключении.
Известные программы и атаки: В мире социальной инженерии широко известна программа Metasploit, которая позволяет злоумышленникам использовать различные модули для создания фишинговых ссылок и вредоносного ПО, устанавливаемого на флешки для проведения атак.
Примеры атак на основе социальной инженерии
Социальная инженерия – это не только теория, её применение в реальности доказывают многие случаи, повлиявшие на крупнейшие компании.
– Атака на компанию RSA: В 2011 году атака на компанию RSA Security началась с простого фишингового письма, которое привело к компрометации конфиденциальных данных и ослабило системы безопасности, которые компания предлагала своим клиентам.
– Атака на компанию Twitter: В 2020 году произошла массовая атака на учетные записи известных