Социальная инженерия – это тип атаки, целью которой является психология человека, а не техническая уязвимость.
Методы
- Вишинг (фальшивый телефонный звонок)
- Смишинг (поддельный SMS)
- Претекстинг (выдача себя за другое лицо – например, ИТ-поддержка)
- Следование (вход в авторизованную дверь и прохождение мимо)
- Наживка (свободная USB-память) Release)
- Quid pro quo (информация в обмен на подарок)
Типичные сценарии атак
- Звонок в службу поддержки клиентов банка (фейковый)
- Запрос пароля от «ИТ-отдела»
- Мошенничество с электронной почтой «генерального директора» (мошенничество с генеральным директором)
- Сценарий «Требуется немедленная помощь поблизости»
В компаниях Последствия
- Большие потери при недостаточном обучении сотрудников
- Мошенничество генерального директора, потеря миллионов долларов
- Утечка данных
- Ущерб имиджу
Сопутствующие преступления
- TCK ст.158/1-ф мошенничество с информационной системой
- TCK ст.135 запись персональных данных
- TCK ст.157 мошенничества
Предотвращение (Компания)
- Регулярное обучение сотрудников
- 2FA на всех аккаунтах
- Система двойного подтверждения (крупные переводы)
- Политика безопасности
- Имитация фишинга
Предотвращение (Индивидуальное)
- Не сообщать пароль при подозрительном поиске
- Не сообщать пароли для подозрительных запросов
- Не сообщайте пароли для проверки подозрительных запросов
- Не сообщайте код SMS
- Подтверждайте сообщения «срочные деньги» по телефону
Верховный суд 23. CD
23. CD признает, что «организованное и систематическое» мошенничество с использованием социальной инженерии представляет собой организованную преступность и влечет за собой суровое наказание.