09.05.2023
1 хв
2204
Соціальна інженерія – це термін, що використовується для позначення широкого спектра зловмисних дій, що здійснюються за допомогою людської взаємодії. Він використовує психологічні маніпуляції, щоб змусити користувачів робити помилки безпеки або видавати конфіденційну інформацію. Необхідно остерігатися будь-яких незапитаних пропозицій допомоги, що особливо пропонують перехід за сторонніми посиланнями. Як правило, у подібних випадках йдеться про прийоми соціальної інженерії. Це правило є тим більш актуальним, якщо від користувача потрібно вказати облікові або банківські дані. У такому разі без жодних сумнівів йдеться про шахрайство, тому що фінансові організації, що поважають себе, ні за яких обставин не будуть запитувати облікові дані за допомогою повідомлення ел. пошти. Крім того, настійно рекомендуємо перевірити адресу відправника повідомлення ел. пошти і переконатися у його легітимності.
Серед найбільш популярних методів соціальної інженерії можна виділити наступні: Бейтинг або лов “на живця” (користувач обманним шляхом заманюється на сайт зловмисників, після чого на його комп’ютер встановлюється шкідливе ПЗ), фішинг (надсилання шахрайських повідомлень з метою отримання конфіденційних даних), вішінг ( використання системи попередньо записаних голосових повідомлень для виманювання особистих даних) або лже-антивірус (використання помилкових повідомлень про зараження системи ПК та його лікування програмним забезпеченням, яке заражає комп’ютер). Найслабша ланка захисту будь-якої системи – самі користувачі. Соціальна інженерія намагається використати притаманні людям слабкості, напр. квапливість, жадібність, альтруїзм чи страх перед офіційною установою, з метою отримання конфіденційної інформації та подальшого доступу до системи.
В розділі озглянуті програмні продукти, які використовуються для соціальної інженерії.
Платформа для тестування на проникнення з відкритим кодом, призначена для соціальної інженерії. SET має ряд векторів атаки, які дозволяють вам швидко провести правдоподібну атаку.
Fluxion – це рімейк linset від vk496 з меншою кількістю багів та більшою кількістю функцій. Скрипт намагається отримати пароль (ключ WPA/WPA2) від цільової точки доступу Wi-Fi, використовуючи у своїй соціальну інженерію (фішинг). Вона сумісна із останнім релізом Kali (Rolling).
Seeker знаходить точне розташування смартфона за допомогою соціальної інженерії.Концепція Seeker проста, подібно до того, як ми розміщуємо фішингові сторінки для отримання облікових даних, чому б не розмістити підроблену сторінку, яка запитує ваше місцезнаходження, як багато популярних веб-сайтів на основі розташування. Seeker запускає підроблений веб-сайт на вбудованому PHP-сервері та використовує ngrok або Serveo для створення посилання, яке створить тунель та перенаправить ціль до створеного сайту.
CATPHISH створює схожі доменні імена та намагається перевірити їх доступність. Отриману інформацію можна використовувати для фішингу, корпоративного шпигунства, а також для їх виявлення.
