Social Engineering

Що ви дізнаєтесь у Social Engineering

• Визначати претекстинг, імітацію авторитету та маніпуляцію терміновістю під час живих телефонних та особистих взаємодій
• Застосовувати верифікацію зворотним дзвінком та позасмугову автентифікацію для підтвердження особи абонента через офіційні довідники компанії
• Розпізнавати момент переходу, коли нормальна ділова розмова переходить у приховане вилучення інформації
• Відхиляти запити на інформацію твердо та професійно, не пошкоджуючи легітимні ділові стосунки
• Пояснити, як зловмисники використовують публічно доступні дані OSINT з LinkedIn, прес-релізів та соціальних мереж для побудови переконливих претекстів

Social Engineering — Кроки навчання

1. вступ

   Це звичайний вівторок після обіду, і Аліса працює над критичним терміном виконання проекту.

2. Несподіваний дзвінок

   У Аліси несподівано дзвонить мобільний телефон. Ідентифікатор абонента показує «ІТ-підтримка – внутрішня». Оскільки Аліса визнає, що це потенційно представник ІТ-відділу її компанії, вона вирішує відповісти на дзвінок.

3. Переконливий вступ

   Аліса відчуває стурбованість потенційною проблемою безпеки та хоче допомогти її вирішити швидко.

4. Збір інформації

   Аліса, відчуваючи тиск через терміновість і вірячи, що це законна ІТ-підтримка, починає розглядати можливість надання необхідної інформації.

5. Ескалація запиту

   Аліса вважає, що в неї немає іншого вибору, як підкоритися, оскільки її обліковий запис може бути зламано.

6. Шкідливий веб-сайт

   Аліса помітила, що веб-сайт виглядає схожим на сторінку входу в її компанію, хоча в URL-адресі щось не так.

7. Спроба доступу

   Боб успішно перехопив облікові дані Аліси і тепер намагається змусити її завантажити зловмисне програмне забезпечення, замасковане під інструмент безпеки.

8. Перевірка електронної пошти

   Після дзвінка Аліса відкриває свій поштовий клієнт, щоб перевірити наявність обіцяного повідомлення. Серед папки «Вхідні» вона помічає електронний лист від «ІТ-підтримки» з темою «Терміново: засіб діагностики безпеки».

9. Реалізація

   Коли Аліса кладе слухавку, до неї напливають спогади про нещодавнє навчання компанії з кібербезпеки. Вона пам’ятає, як інструктор спеціально попереджав про зловмисників, які видають себе за ІТ-підтримку, створюють помилкову терміновість і намагаються змусити співробітників завантажити шкідливе програмне забезпечення.

10. Негайне реагування безпеки

    Аліса негайно вживає заходів, щоб мінімізувати потенційну шкоду від атаки. Вона знає, що вже надала свої облікові дані шкідливому веб-сайту, а це означає, що її обліковий запис може бути зламано. Озирнувшись на веб-переглядач, вона помітила, що URL-адреса використовувала HTTP замість HTTPS – чіткий червоний прапорець, який вона пропустила під тиском. Вона також записує подумки всю інформацію, яку вона надала під час розмови: ідентифікатор свого працівника, останні чотири цифри свого соціального страхування та облікові дані для входу.