Социальная инженерия

Содержание

Слайд 2

Сейчас наши девайсы хранят очень много информации. От безобидных заметок до

Сейчас наши девайсы хранят очень много информации. От безобидных заметок до

персональных данных, секретных файлов и банковских карт.
Слайд 3

Социальная инженерия – метод получения необходимого доступа к информации, основанный на особенностях психологии людей

Социальная инженерия – метод получения необходимого доступа к информации, основанный на

особенностях психологии людей
Слайд 4

Конечно, сегодня социальную инженерию зачастую используют в интернете для получения закрытой

Конечно, сегодня социальную инженерию зачастую используют в интернете для получения закрытой

информации или информации, которая представляет большую ценность.
Слайд 5

Современные социальные инженеры используют свои навыки для повышения результатов в бизнесе и жизни.

Современные социальные инженеры используют свои навыки для повышения результатов в бизнесе

и жизни.
Слайд 6

Все техники социальной инженерии основаны на когнитивных искажениях. Эти ошибки в

Все техники социальной инженерии основаны на когнитивных искажениях. Эти ошибки в поведении

используются социальными инженерами для создания атак, направленных на получение конфиденциальной информации, часто с согласия жертвы. Так, одним из простых примеров является ситуация, в которой некий человек входит в здание компании и вешает на информационном бюро объявление, выглядящее как официальное, с информацией об изменении телефона справочной службы интернет-провайдера. Когда сотрудники компании звонят по этому номеру, злоумышленник может запрашивать личные пароли и идентификаторы для получения доступа к конфиденциальной информации.
Слайд 7

ФИШИНГ (англ. phishing, от fishing — рыбная ловля, выуживание) — это

 ФИШИНГ (англ. phishing, от fishing — рыбная ловля, выуживание) — это вид интернет-мошенничества, целью

которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.
Слайд 8

Популярные фишинговые схемы 1) Несуществующие ссылки 2) Мошенничество с использованием брендов

Популярные фишинговые схемы

1) Несуществующие ссылки

2) Мошенничество с использованием брендов известных корпораций

3)

Подложные лотереи

4) Ложные антивирусы и программы для обеспечения безопасности

 5) IVR или телефонный фишинг

7) Претекстинг

8) Квид про кво

9) «Дорожное яблоко»

10) Сбор информации из открытых источников

11) Плечевой серфинг

6) Телефонный фрикинг

Слайд 9

Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт

Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт

и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например, www.PayPai.com. Выглядит это, будто это ссылка на PayPal, мало кто заметит, что буква «l» заменена на «i». Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных кредитной карты эта информация сразу направляется к злоумышленнику.

Несуществующие ссылки

Слайд 10

Подменное письмо Письмо якобы от google с ссылкой на подменный сайт, с просьбой подтвердить данные аккаунта

Подменное письмо

Письмо якобы от google с ссылкой на подменный сайт, с

просьбой подтвердить данные аккаунта
Слайд 11

Подменное письмо

Подменное письмо

Слайд 12

В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты,

В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты,

содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учётные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.

Мошенничество с использованием брендов известных корпораций

Слайд 13

Подменный сайт Сам подменный сайт адрес которого отличается, лишь на одну букву

Подменный сайт

Сам подменный сайт адрес которого отличается, лишь на одну букву

Слайд 14

Пользователь может получить сообщения, в которых говорится о том, что он

Пользователь может получить сообщения, в которых говорится о том, что он

выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации

Подложные лотереи

Слайд 15

Смс с ссылкой

Смс с ссылкой

Слайд 16

Подобное мошенническое программное обеспечение, также известное под названием «scareware», — это

Подобное мошенническое программное обеспечение, также известное под названием «scareware», — это программы, которые

выглядят как антивирусы, хотя, на самом деле, все обстоит совсем наоборот. Такие программы генерируют ложные уведомления о различных угрозах, а также пытаются завлечь пользователя в мошеннические транзакции. Пользователь может столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения.

Ложные антивирусы и программы для обеспечения безопасности

Слайд 17

Защита браузера

Защита браузера

Слайд 18

Телефонный фишинг — Вишинг (англ. vishing — voice fishing) назван так

Телефонный фишинг — Вишинг (англ. vishing — voice fishing) назван так по аналогии с фишингом.

Данная техника основана на использовании системы предварительно записанных голосовых сообщений с целью воссоздать «официальные звонки» банковских и других IVR систем. Обычно жертва получает запрос (чаще всего через фишинг электронной почты) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя посредством ввода PIN-кода или пароля. Поэтому, предварительно записав ключевую фразу, можно выведать всю нужную информацию. 

IVR или телефонный фишинг

Слайд 19

Слайд 20

Телефонный фрикинг (англ. phreaking) — термин, описывающий эксперименты и взлом телефонных

Телефонный фрикинг (англ. phreaking) — термин, описывающий эксперименты и взлом телефонных систем

с помощью звуковых манипуляций с тоновым набором. Эта техника появилась в конце 50-х в Америке. Телефонная корпорация Bell, которая тогда покрывала практически всю территорию США, использовала тоновый набор для передачи различных служебных сигналов. Энтузиасты, попытавшиеся повторить некоторые из этих сигналов, получали возможность бесплатно звонить, организовывать телефонные конференции и администрировать телефонную сеть.

Телефонный фрикинг

Слайд 21

Претекстинг (англ. pretexting) — атака, в которой злоумышленник представляется другим человеком

Претекстинг (англ. pretexting) — атака, в которой злоумышленник представляется другим человеком и

по заранее подготовленному сценарию выуживает конфиденциальную информацию.

Претекстинг

Слайд 22

Претекстинг – по сути это техника актерской игры, где всё происходит

Претекстинг – по сути это техника актерской игры, где всё происходит

по сценарию. В результате жертва самая даёт нужную злоумышленнику информацию сам того не подозревая.

Допустим если злоумышленник играет роль сотрудника банка, он должен знать ФИО жертвы и примерно знать операции, которые он недавно совершал. И имея такой базовый набор, человек по ту сторону вполне может узнать пинкод карты, пароль из смс, реквизиты и многое другое, что даст ему полный доступ к карте жертвы.

Слайд 23

Так как этот метод очень неэффективен, то и защита от этой

Так как этот метод очень неэффективен, то и защита от этой

техники тоже проста, просто не сообщать важные данные операторам так, как настоящий оператор никогда не попросит информацию, которую нельзя разглашать
Слайд 24

Квид про кво (от лат. Quid pro quo — «то за

Квид про кво (от лат. Quid pro quo — «то за это») — в английском

языке это выражение обычно используется в значении «услуга за услугу». Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону (используя актёрское мастерство) или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы.

Квид про кво

Слайд 25

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических

носителей. Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника

«Дорожное яблоко»

Слайд 26

USB Killer – это на первый взгляд обычная флешка которая заставит

USB Killer – это на первый взгляд обычная флешка которая заставит

вас плакать когда вы вставите ее в usb порт вашего персонального компьютера. После не громкого щелчка, который вы запомните на всю жизнь, вашему ПК понадобится в лучшем случае замена порта usb, а в худшем целых комплектующих.

BadUSB – метод атаки, включающий перепрошивку USB-устройства так, чтобы оно воспринималось компьютером как иное устройство. Например, USB-флешку компьютер будет видеть как клавиатуру или внешнюю сетевую карту, тем самым BadUSB сможет исполнять на компьютере заложенный в нее вредоносный код.

Слайд 27

Применение техник социальной инженерии требует не только знания психологии, но и

Применение техник социальной инженерии требует не только знания психологии, но и умения

собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.

Сбор информации из открытых источников

Слайд 28

(англ. shoulder surfing) включает в себя наблюдение личной информации жертвы через

(англ. shoulder surfing) включает в себя наблюдение личной информации жертвы через её

плечо. Этот тип атаки распространён в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте.

Плечевой серфинг

Слайд 29

Как определить атаку социального инженера Ниже перечислены методы действий социальных инженеров:

Как определить атаку социального инженера Ниже перечислены методы действий социальных инженеров: представление себя

другом-сотрудником либо новым сотрудником с просьбой о помощи; представление себя сотрудником поставщика, партнерской компании, представителем закона; представление себя кем-либо из руководства; представление себя поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч жертве для установки; предложение помощи в случае возникновения проблемы и последующее провоцирование возникновения проблемы, которое принуждает жертву попросить о помощи; использование внутреннего сленга и терминологии для возникновения доверия; отправка вируса или троянского коня в качестве приложения к письму; использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль; предложение приза за регистрацию на сайте с именем пользователя и паролем; записывание клавиш, которые жертва вводит на своём компьютере или в своей программе (кейлоггинг); подбрасывание различных носителей данных (флэш-карт, дисков и т. д.) с вредоносным ПО на стол жертвы; подброс документа или папки в почтовый отдел компании для внутренней доставки; видоизменение надписи на факсе, чтобы казалось, что он пришел из компании; просьба секретаря принять, а затем отослать факс; просьба отослать документ в место, которое кажется локальным (то есть находится на территории организации); подстройка голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий — их сотрудник;
Слайд 30

ЗАДАНИЕ 1 На приведите примеры социальной инженерии, которые случались в вашей

ЗАДАНИЕ 1 На приведите примеры социальной инженерии, которые случались в вашей жизни,

с вашими знакомыми, родственниками (не менее 5). Определите к какой из фишинговых схем они относятся.
Слайд 31

ЗАДАНИЕ 2 Составьте список мероприятий по противодействию методов социальной инженерии (не менее 10).

ЗАДАНИЕ 2 Составьте список мероприятий по противодействию методов социальной инженерии (не менее

10).
- Предыдущая
Top unusual job
Следующая -
Королева зубная щетка

Похожие презентации

Устройства вывода
Система DVM для разработки параллельных программ
Основные операции с бинарными деревьями
Моделирование биологических моделей
Мобильные приложения
Рекомендации по регистрации в ЕСИА органов местного самоуправления
Понятие презентации и слайдов. Урок № 2
Алгоритм обнаружения графических примитивов типа окружность при обработке изображений в реальном времени
Микросхемы процессоров и шины
Развивающая и рекреационная функции печати, радио и телевидения
Детский технопарк “Альтаир”. Радиоэлектронные технологии
Программное обеспечение DetectorsManager и Netvision Traffic
КОМПЬЮТЕРНЫЕ СЕТИ ВИДЫ СЕТЕЙ, ИНТЕРНЕТ
Структура и назначение программного обеспечения
Основы веб-дизайна
Вычислительные сети. (Тема 15)
Циклические алгоритмы на Паскале
Операционные системы. Виды операционных систем
Скачать презентацию Возможности операционной системы Linux в учебном процессе Возможности операционной системы Linux в учебном проце
Структура данных. Лекция 3
Представление информации в компьютере
Организация ввода и вывода данных в языке Паскаль
Презентация на тему Основы моделирования
Презентация "архитектура пк" - скачать презентации по Информатике
Графический дизайн
Схемотехника последовательных устройств
Системы управления базами данных (лекция 01)
Как не заблудиться на безграничных просторах Интернета
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть