Несанкционированные действия в финансовой сфере организации.

Социальные хакеры используют все возможные способы, для того чтобы завладеть доверием людей, с целью использования их служебного положения для совершения финансовых махинаций.

Хищение паролей.

В области социальной инженерии хищение паролей, как правило используется в целях получения доступа к персональным (банковским) данным частных лиц. Различают следующие виды доступа:

- фишинг;

- фарминг.

Фишинг

Фишинг на сегодняшний день является одним из самых распространенных видов социальной инженерии. По сути фишинг это выведывание информации для доступа к банковским счетам доверчивых пользователей. Чаще всего "фишеры" используют поддельные электронные письма, якобы присылаемые банком, с просьбой подтвердить пароль или уведомление о переводе крупной суммы денег.

Выделяют три основных вида фишинга:

- почтовый;

- онлайновый;

- комбинированный.

Суть почтового фишинга в том, что жертве отправляется электронное письмо, в котором содержится просьба выслать те или иные конфиденциальные данные. К примеру, от имени интернет-провайдера с похожего почтового адреса отправляется письмо, в котором написано, что по провайдеру нужно узнать логин и пароль для доступа в Интернет указанного пользователя, так как сам провайдер по тем или иным техническим причинам этого сделать не может.

Онлайновый фишинг заключается в том, что мошенники один в один копируют какой-либо из известных сайтов, причем для него выбирается очень похожее доменное имя, и создается идентичный дизайн. Решив совершить в магазине покупку, пользователь вводит свои логин, пароль и номер пластиковой карты, после чего все эти данные становятся известными злоумышленнику. После чего мошенник незамедлительно "обнуляет" кредитную карточку жертвы.

Комбинированный фишинг является объединением двух предыдущих видов фишинга. Так же как в онлайновом фишинге создается поддельный сайт, а потом как в почтовом фишинге пользователям отсылаются письма с просьбой зайти на этот сайт.

Фарминг

Более опасным видом мошенничества, чем фишинг, является так называемый фарминг. Он заключается в изменении DNS-адресов так, чтобы страницы, которые посещает пользователь, были не оригинальными страницами, скажем, банков, а фишинг-страницами.

Поскольку суть фарминга сводится к автоматическому перенаправлению пользователей на фальшивые сайты, фарминг гораздо более опасен, чем фишинг, так как в отличие от последнего этот метод хищения данных не требует отсылки писем потенциальным жертвам и соответственно их ответа на них. Это, естественно, более изощренный, хотя и технически намного более сложный метод мошенничества, чем фишинг. Но зато при фарминге у пользователя практически нет причин проявлять свою недоверчивость: писем никто не присылал, на сайт никто заходить не просил. Пользователь сам по своему желанию решил зайти на сайт банка, и зашел. Только не на оригинальный, а на поддельный сайт.

Опасность фарминга многие исследователи связывают еще и с тем, что с целью его развития хакеры будут предпринимать все больше атак на DNS-серверы, и эти атаки будут все изощреннее. Опасно же это тем, что если количество взломов DNS-серверов возрастет, то это приведет к настоящему хаосу в мировой сети.

 

4) Информация о маркетинговых планах организации

Выведать информацию о маркетинговых планах организации и сыграть на опережение — едва ли не самый лакомый кусок для любого конкурента. Сделать это с помощью методов социальной инженерии проще всего. Популярность социальной инженерии среди мошенников, тех, кто занимается конкурентной разведкой и тому подобным, связана, с тем, что большинство методов социальной инженерии просты:

- Посещение стендов предприятия на выставке

Для того чтобы собрать большинство информации, достаточно просто посетить стенд этой организации на ближайшей выставке их продукции. Большинство менеджеров, которые находятся у своего стенда, с удовольствием расскажут все, что они знают о продукции и дальнейших перспективах. Очень часто нужно просто стоять и внимательно слушать.

- Интервью с ведущими специалистами.

Интервью – это один из самых простых и привлекательных способов узнать о том, что творится в организации. Способ простой, но вместе с тем очень действительный. Это происходит потому что люди хотят чувствовать свою значимость и, чтобы удовлетворить это чувство, нередко забывают о любой безопасности.

 

НСД к сети организации.

Пожалуй, чаще всего для получения доступа к сети применяется метод, именуемый социальной инженерией - и на него же зачастую обращают меньше всего внимания. Тем временем, пока администраторы по безопасности ставят брандмауэры и антивирусы, разрабатывают сложную систему допусков и паролей, злоумышленники проникают в сеть с помощью рядовых ничего не подозревающих пользователей.

 

Хищение баз данных.

Путей хищения баз данных достаточно много. Вот наиболее значимые из них:

o База данных уходит вместе с уволенным сотрудником. Злоумышленник может временно устроиться в фирму, у которой надо украсть информацию и через некоторое время уволиться.

Так же социальный хакер может

o Воспользоваться беспечностью сотрудников, которые оставляют важные документы на столах.

o Подглядеть за действиями сотрудников за компьютером.

o Представившись работником по обслуживанию компьютеров, получить прямой доступ к необходимой информации.

 

⇐ Предыдущая12345Следующая ⇒

Поделиться: