Искусство и наука манипулирования человеческим поведением называется социальной инженерией. Ее цель состоит в том, чтобы заставить жертву предпринять какое-то действие, от покупки билета до перехода на новую диету.

К примеру, вся реклама – это форма социальной инженерии. Рекламодатели ставят перед собой цель побудить своих целевых потребителей покупать их продукты, например, зерновые определенной марки. Иногда этот прием можно использовать в хороших целях, например, для поощрения людей к переработке отходов. Но киберпреступники не такие альтруисты. Они используют социальную инженерию, чтобы побудить своих жертв к действиям, которые наносят ущерб безопасности их компании и помогают злоумышленникам достичь своих целей.

 

Как социальная инженерия соотносится с кибербезопасностью?

Подавляющее большинство киберпреступлений содержат элемент социальной инженерии. Вот почему так трудно обнаружить эти схемы и противостоять им. Киберпреступники хотят вызвать в вас чувство, которое побудит вас к действию. И на самом деле они обращаются к двум основным чувствам: страху и доверию. Злоумышленники должны убедить свою цель кликнуть на ссылку или загрузить вложение, поэтому они используют такие уловки, как спуфинг, чтобы обманом заставить вас купиться на их ложь, выдавая себя за надежные источники. Они также извлекают выгоду из хаоса и неопределенности. Это главная причина массового бума киберпреступности в 2020 году – множество людей, которые были сбиты с толку, напуганы и испытывали стресс, создали подходящую для мошенничества обстановку.

Киберпреступники становятся все более изощренными в разработке и доставке своих приманок. Мошенничество с использованием социальной инженерии, использующее целевой фишинг, может быть таким же простым, как поддельное электронное письмо от магазина с просьбой изменить пароль вашего онлайн-аккаунта, и столь же сложным, как правдоподобная имитация личности руководителя. Также это проверенный способ обманом заставить жертв загрузить программу-вымогатель. Это быстро, легко и прибыльно – количество таких атак уже выросло на 40% по сравнению с прошлым годом. Подобное мошенничество станет только более влиятельным в будущем, поскольку объем информации, доступной злоумышленникам, в дарквебе будет расти. Только в 2020 году было добавлено еще 22 миллиарда записей.

Вот несколько примеров социальной инженерии, связанной с кибербезопасностью:

  • Заманить жертву на поддельный веб-сайт для «обновления пароля», когда они в действительности передают его киберпреступникам.
  • Убеждение жертв загрузить документ с изложением новой политики компании, который на самом деле представляет собой бомбу-вымогатель.
  • Уговорить жертву отправить злоумышленникам конфиденциальную информацию, притворившись руководителем организации.

Кроме того, киберпреступники во многих случаях не единственные, кто занимается социальной инженерией, и не только они оказывают влияние. Культура кибербезопасности, политика компании, страх, стресс, истощение – все эти факторы в совокупности могут порождать обстоятельства, которые заставят сотрудников предпринимать определенные действия в отношении кибербезопасности.

 

10 фактов о социальной инженерии, которые демонстрируют серьезность этого риска

Взгляните на эту статистику, чтобы увидеть реальную картину этой угрозы.

  • 98% кибератак основываются на социальной инженерии.
  • 43% ИТ-специалистов заявили, что в прошлом году они стали мишенью социальной инженерии.
  • 45% сотрудников нажимают на сообщения электронной почты, которые они считают подозрительными, «на всякий случай».
  • 47% сотрудников назвали «отвлечение» главным фактором, который помешал им обнаружить попытки фишинга.
  • В среднем атаки социальной инженерии обходятся в 130 тысяч долларов.
  • Тип атак социальной инженерии номер один — фишинг.
  • IC3 сообщает, что компрометация корпоративной электронной почты с помощью социальной инженерии является самым затратным киберпреступлением.
  • Эффективность кибератак с применением социальной инженерией составляет чуть менее 80%.
  • По оценкам, от 70 до 90% нарушений вызваны социальной инженерией.
  • 45% сотрудников не сообщают о подозрительных сообщениях, опасаясь неприятностей.

 

Попробуйте себя в социальной инженерии

Создание здоровой культуры кибербезопасности необходимо для защиты бизнеса от последствий социальной инженерии. Сделав кибербезопасность приоритетом и обучая всех распознавать угрозы, вы заставляете каждого сотрудника чувствовать себя частью команды безопасности. Вот почему обучение противодействию фишингу так важно. Если хотя бы один сотрудник обнаружит и остановит фишинговое письмо, потому что он вложил средства в поддержание надежной защиты, это может сэкономить компании миллионы долларов, а также избавить компанию от бесчисленных головных болей при восстановлении после кибератаки.

 

Оригинал материала

5 июня, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
01.07.2025
ruID как пред-«Госуслуги». Новый сервис для приезжающих в Россию
01.07.2025
«Лидеры рынка уже не ограничиваются точечными инструментами»
01.07.2025
К давлению на Apple подключилась даже нейтральная Швейцария
01.07.2025
АНБ и CISA хотят снизить уязвимость ПО с помощью TRACTORа
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных