Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Социальный инжиниринг и утечки информации

Аватар пользователя zdor
Автор: Здор Вадим, InfoWatch
(0)
()
Опубликовано в:

Социальный инжиниринг стал одним из наиболее распространенных в настоящее время методов атаки и был использован во многих нашумевших инцидентах. Взлом RSA в 2011 году, например, включал в себя кампанию спир-фишинга (от англ. spear phishing, целенаправленное нападение на физическое или юридическое лицо с целью доступа к важным данным) и зараженные вредоносным ПО  Excel файлы.

Таким образом, для адекватного моделирования реальных угроз, с которыми сталкиваются организации, необходимо обратить внимание и на проведение  пен-тестов с использованием социального инжиниринга.

Социальный инжиниринг в первую очередь опирается на психологию. Существует несколько типов стимулов и мотиваций, к которым  очень восприимчивы люди и которые широко используются для несанкционированного получения информации путем социального инжиниринга. Например, доктор Роберт Чалдини в своей книге «Психология влияния» описал шесть основных мотиваций:

  1. Взаимный обмен: ты – мне, я - тебе
  2. Социальное доказательство: люди считают свое поведение правильным в данной ситуации, если часто видят других людей, ведущих себя подобным образом
  3. Обязательства / Консистенция: выработка модели поведения и ее поддержание в силу привычки.
  4. Благорасположение: желание "вписаться в компанию", подверженность влиянию со стороны людей, которые нам нравятся
  5. Авторитет: молчаливое согласие с просьбами или требованиями вышестоящих людей
  6. Дефицит: чувство повышенной мотивации с целью обладания  чего-либо, если предложение ограничено или эксклюзивно

Злоумышленники могут использовать эти мотивации при попытках получения конфиденциальной информации.

Total votes: 0
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.