Ikviens, kam ir tālrunis un var saņemt zvanus, ir uzņēmīgs pret aizbildinoties ar uzbrukumu. Uzbrucēji, aizbildinoties, var jums piezvanīt, aizbildinoties, piemēram, izliekoties no uzņēmuma tehniskās nodaļas vai citas komandas, kurai ir piekļuve parolēm, lai manipulētu ar jums un iegūtu informāciju. Šie uzbrucēji var pārdot vai ļaunprātīgi izmantot šos datus, tāpēc jums ir aktīvi jāsargā sava informācija.
Tātad, kas ir izlikšanās? Kā jūs varat sevi pasargāt?
Kas ir aizbildināšanās?
Aizbildinoties, sociālās inženierijas veids, rodas, ja hakeris izmanto maldinošus līdzekļus, lai mēģinātu piekļūt sistēmai, tīklam vai jebkurai informācijai. Uzbrucējs uzbur nepatiesu scenāriju, ko sauc par ieganstu, izliekoties par kādu pieredzējušu personu, piemēram, IT personālu, personāla vadītāju vai pat valdības aģentu. Šis uzbrukums var notikt tiešsaistē un personīgi.
Ieganstīšanās sākās Apvienotajā Karalistē 2000. gadu sākumā, kad žurnālisti, kas meklēja sulīgus kausiņus par slavenībām, izmantoja ārkārtējus pasākumus, lai tās izspiegotu. Konkurence starp ziņu zīmoliem bija sīva, liekot žurnālistiem izgudrot jaunus veidus, kā iegūt privātu informāciju.
Pirmkārt, tas bija tik vienkārši, kā izlūkot mērķa slavenības balss pastu. Balss pasta ziņojumos tika iekļauts noklusējuma PIN, ko daudzi lietotāji neapgrūtināja mainīt, un žurnālisti to izmantoja. Ja noklusējuma PIN tika mainīts, daži zvanīja saviem mērķiem un izlikās par tālruņa uzņēmuma tehniķiem. Viņi iegūtu balss pasta PIN un piekļūtu tur paslēptajai informācijai.
Parasti, aizbildinoties ar scenārijiem, parasti šķiet, ka tie prasa lielu steigu vai līdzjūtību no iespējamā upura. Uzbrucēji var izmantot e-pastus, tālruņa zvanus vai īsziņas, lai sazinātos ar saviem mērķiem.
Aizbildinoša uzbrukuma elementi
Ieganstīšanās scenārijā ir divi galvenie elementi: krāpnieka atveidotais "varonis" un "ticama situācija" domāta, lai apmānītu mērķi, lai noticētu, ka varonim ir tiesības uz informāciju ir pēc.
Iedomājieties, ka mēģināt apstrādāt darījumu, bet tas neizdodas. Jūs nesaņemat pasūtīto picu, un tiešsaistes veikals ir slēgts. Kas par bēdu! Bet tas vēl nav viss. Dažas minūtes vēlāk neizskaidrojamas kļūdas dēļ jūs uzzināsit, ka jūsu konts ir debetēts.
Drīz pēc tam uzbrucējs piezvana un iegūst raksturu, izliekoties par klientu apkalpošanas aģentu no jūsu bankas. Tā kā jūs gaidāt zvanu, jūs iekrītat šajā iespējamajā situācijā un sniedzat savas kredītkartes informāciju.
Kā darbojas aizbildināšanās?
Aizbildināšanās izmanto identitātes verifikācijas trūkumus. Balss darījumu laikā fiziskā identifikācija ir gandrīz neiespējama, tāpēc iestādes izmanto citas metodes, lai identificētu savus klientus.
Šīs metodes ietver pieprasīšanu pārbaudīt dzimšanas datumu, tuvāko radinieku, pēcnācēju skaitu, kontaktadreses, mātes pirmslaulības uzvārdu vai konta numuru. Lielāko daļu šīs informācijas var iegūt tiešsaistē no mērķa sociālo mediju kontiem. Pretexters izmanto šo informāciju, lai "pierādītu" sava rakstura autentiskumu.
Krāpnieki izmanto jūsu personisko informāciju, lai jūs atklātu sensitīvāku informāciju, ko viņi var izmantot. Šīs personiskās informācijas iegūšana prasa rūpīgu izpēti, jo, jo konkrētāki ir iegūtie dati, jo vairāk būsiet spiests atteikties no vēl vērtīgākas informācijas.
Krāpniekiem ir arī tiešie informācijas avoti, kas nav sociālie mediji. Viņi var izkrāpt tālruņa numuru vai e-pasta domēna nosaukumu organizācijai, par kuru viņi uzdodas, lai palielinātu ticamību iespējamajai situācijai, kas tiek pārdota mērķim.
3 ievērojamas ieganstu veidošanas metodes
Krāpnieki un hakeri izmanto dažādas aizbildināšanās metodes, lai piekļūtu sensitīvai informācijai.
1. Vishing un Smishing
Šīs metodes ir ļoti līdzīgas. Vishing uzbrukumi ietver balss zvanu izmantošanu, lai pārliecinātu upuri atteikties no krāpniekam nepieciešamās informācijas. Smiling blēdības, no otras puses, izmantojiet SMS vai īsziņas.
Vishing ir lielāka iespēja gūt panākumus, jo mērķi, visticamāk, ignorēs īsziņas nekā tiešus zvanus no šķietami svarīga personāla.
2. Ēsma
Piemānīšana ietver lielas atlīdzības izmantošanu informācijas vākšanai, un tā var ietvert arī uzticama avota viltošanu.
Krāpnieks var izlikties par advokātu, apgalvojot, ka jums ir mantojums no attāla radinieka, un viņam ir nepieciešama jūsu finanšu informācija, lai apstrādātu darījumu. Cietušie var būt arī augsta ranga mērķorganizācijas darbinieki.
Vēl viens izplatīts manevrs ir nomest aploksni, kurā ir zibatmiņas disks ar uzņēmuma logotipu un ziņu, lai strādātu pie steidzama projekta. Zibatmiņas disks būtu piekrauts ar ļaunprātīgu programmatūru, ko hakeri izmantotu, lai piekļūtu uzņēmuma serveriem.
3. Scareware
Šajā metodē hakeri izmanto bailes kā taktiku. Ievērojams piemērs ir uznirstošais logs nedrošā vietnē, kas informē, ka jūsu ierīcē ir vīruss, un pēc tam lūdz lejupielādēt pretvīrusu programmu, kas patiesībā ir ļaunprātīga programmatūra. Biedējošo programmu var izplatīt arī, izmantojot e-pastus un saites īsziņās.
Kā pasargāt sevi no aizbildinoties ar uzbrukumiem
Aizbildinoši uzbrukumi ir tik izplatīti, ka gandrīz nav iespējams tos pilnībā apturēt. Tomēr var veikt pasākumus, lai tos ievērojami ierobežotu.
Viens solis ir e-pasta analīze. Aplūkojot e-pasta domēna nosaukumu, var iegūt ieskatu par to, vai tas ir viltots vai īsts. Tomēr var aizbildināties ar uzbrukumiem viltus e-pasta domēni tāpēc izskatās gandrīz identiski oriģinālam, tāpēc ir ārkārtīgi grūti pamanīt šos ieganstus.
Taču līdz ar sarežģīto AI tehnoloģiju attīstību e-pasta analīze ir kļuvusi pieejamāka. AI tagad var pamanīt pikšķerēšanas modeļus un meklējiet ieganstu pazīmes. Tas var identificēt trafika anomālijas un viltotus e-pasta parādāmos nosaukumus, kā arī frāzes un tekstu, kas bieži tiek izmantots, aizbildinoties ar uzbrukumiem.
Lietotāju izglītošana, protams, ir būtiska. Nevienam nevajadzētu prasīt jūsu bankas paroli, kredītkartes PIN kodu vai sērijas numuru. Jums nekavējoties jāziņo par pieprasījumu attiecīgajām iestādēm. Turklāt atgādinājums savai ģimenei, draugiem un darbiniekiem neklikšķināt uz nezināmām saitēm un izvairīties ar nedrošu vietņu apmeklēšanu var pietikt, lai novērstu ļaunprātīgas programmatūras iekļūšanu jūsu uzņēmuma vietnēs serveriem.
Neizmantojiet krāpniecību
Ieganstīšanās operācijas veikšana var nebūt vienkārša, taču ir vienkāršas darbības, kuras varat veikt, lai nekļūtu par upuri. Neklikšķiniet uz saitēm nedrošās vietnēs un nevienam neatklājiet savu pieteikšanās informāciju. Jūsu bankas tiešsaistes platformā ir pārbaudītas klientu apkalpošanas līnijas. Kad kāds klientu apkalpošanas aģents sazinās ar jums, pārliecinieties, ka numuri atbilst oficiālajai līnijai.