Интернет стал наконец неотъемлемой частью нашей повседневной жизни в самых разных ее аспектах. Как бы хорошо мы ни были знакомы с Интернетом, нам, тем не менее, нужно хорошо понимать, как наилучшим образом обеспечить собственную безопасность в этой огромной цифровой вселенной. Мы все сталкиваемся со сложными задачами, пытаясь понять, как защитить нас самих, наших близких, нашу работу и, что более актуально в последнее время, всю нашу конфиденциальную информацию от атак в Интернете.
Прежде чем мы сможем приступить к практическим мерам по обеспечению безопасности в Интернете, нам необходимо познакомиться с используемыми в этой области основными понятиями. Терминология в области безопасности, вне всякого сомнения, может сбивать с толку непосвященных. Список специальных терминов, которые используются в сфере безопасности в Интернете, почти такой же большой и сложный, как медицинская или военная терминология. На самом деле многие понятия в области интернет-безопасности были заимствованы из медицины или военной сферы и, подобно терминам в этих областях, требуют для понимания достаточно подробного развернутого объяснения, лучше всего — с примерами.
Эта запись станет первой из цикла публикаций, в которых я попытаюсь объяснить распространенные, но от того не менее запутанные понятия из области безопасности. Я надеюсь, что эта и последующие публикации помогут вам разобраться в сложном лабиринте текстов, посвященных безопасности в Интернете. Нам важно знать ваше мнение, чтобы мы могли учесть его в наших будущих публикациях.
Что такое социальная инженерия?
Социальная инженерия — это попытки убедить человека или каким-либо образом воздействовать на него с тем, чтобы он предпринял какие-либо действия.
Социальная инженерия может применяться во благо — к примеру, организация может разослать своим сотрудникам информацию, посвященную вопросам здравоохранения и призванную убедить сотрудников делать прививки от гриппа. Однако преступники часто используют приемы социальной инженерии, чтобы посредством электронной почты, SMS-сообщений или телефонных звонков заставить потенциальную жертву предоставить информацию о себе (например, имя пользователя и пароль в онлайн-системе управления банковскими счетами или личные идентификационные данные, такие как номер паспорта или номер социального обеспечения) или предпринять какие-либо действия в интересах преступников.
Зачастую злоумышленники используют методики социальной инженерии с определенной эмоциональной составляющей, чтобы вынудить жертву действовать в спешке; например, вы можете получить сообщение электронной почты с извещением о том, что действие вашей кредитной карты приостановлено вследствие какой-либо подозрительной активности, или же поздравление с выигрышем в какой-то лотерее или конкурсе. Это приманка. В таком случае преступники надеются, что получатель такого сообщения сделает то, о чем его просят, например, перейдет по указанной ссылке или позвонит по указанному номеру телефона. Такая ссылка — это своего рода крючок: ссылки в фишинговых сообщениях СМС или электронной почты часто ведут, к примеру, на поддельные сайты, замаскированные под страницу входа в систему управления счетами вашего банка. В таком случае злоумышленник надеется, что вы введете свои учетные или персональные данные, которые он затем сможет использовать или продать. Звонить по номеру телефона может быть не менее опасно — вас может ожидать разговор с опытным мошенником, обладающим навыками выуживания из граждан их личных данных.
Наиболее квалифицированные преступники очень умело и убедительно выдают себя за законных представителей различных организаций, действующих с добрыми намерениями. Чтобы лучше понять, каким образом можно защитить себя от приемов социальной инженерии, ознакомьтесь с информацией на специализированных сайтах, таких так stopthinkconnect.org или apwg.org.