Краткое введение в социальную инженерию

[Шагоход 143 7 0]

Обеспечить компьютерную безопасность трудно (может быть, даже невозможно), однако представьте на минуту, что нам это удалось сделать. Где необходимо, применяется мощная криптография, протоколы безопасности безупречно выполняют свои функции. В нашем распоряжении имеются как надежное оборудование, так и надежное программное обеспечение. Даже сеть, в которой мы работаем, совершенно безопасна. Чудесно!

К несчастью, этого еще недостаточно. Сделать что-либо полезное эта замечательная система может лишь при участии пользователей. И это взаимодействие
человека с компьютером таит в себе наибольшую угрозу из всех существующих.
Люди часто оказываются самым слабым звеном в системе мер безопасности, и именно они постоянно являются причиной неэффективности последних.
В отношении безопасности математический аппарат безупречен,
компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны.
Брюс Шнайер «Секреты и ложь. Безопасность данных в цифровом мире»

Intro

Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать. 
Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.
Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.

Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.

К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.
К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны. 
Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.

Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности злоумышленника. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусорных контейнеров организаций, виртуальных мусорных корзин, кража портативного компьютера и других носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

Техники социальной инженерии

Все техники социальной инженерии основаны на особенностях принятия решений людьми.
Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.


Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

Обратная социальная инженерия.
Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:
Диверсия: Создание обратимой неполадки на компьютере жертвы.
Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру» (это в большей степени касается сотрудников, которые находятся в командировке или отпуске).

Меры противодействия

Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения. 
Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить. 

Вот некоторые правила, которые будут полезны:

1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций). 

Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании. 

В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует. 

2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение. 

3. Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь. 

Все описанные меры достаточно простые, однако большинство сотрудников забывают про эти меры и про тот уровень ответственности, который на них возложен при подписании обязательств о неразглашении коммерческой тайны. Компанией тратятся огромные финансовые средства на обеспечение информационной безопасности техническими методами, однако эти технические средства могут быть обойдены, если сотрудники не будут применять меры по противодействию социальным инженерам, а службы безопасности не будут периодически проверять бдительность персонала компании. Тем самым средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.

P.S. Если тема будет интересна, то в следующем топике я расскажу более подробно о методах и процедурах, помогающих минимизировать негативные последствия, связанные с методами социальной инженерии.

[alvin8088 5 0 0]

СИ это искусство делать иллюзию то ли для одного человека то ли для какого то сегмента общества, второе уже называют Социальным Программированием. Оно было давным давно до изобретения первого компьютера. СИ это яркий взлом сознания жертвы через самое слабое звено человека - его воображение, на которое влияют страхи, слабости и ... мечты. В зависимости от цели иллюзорной атаки выбираются методы и инструменты в человеческих факторах=) Самое главное - то достижение нужного результата, который зависит от действия жертвы на которое мы её сподвигли то ли заманили то ли заставили не принимая при этом физическое воздействие. СИ это красивая афера, Оста Бендер то же из таких инженеров, почитайте. С появлением гипноза раскрылась масса уязвимостей в человеке среднестатистическом. Полтора годика назад убивал одну браузерную игрушку посредством наглого воздействия на несколько сегментов обобщенных одними целями групп, каждая из которых за это время получили такую дозу впечатлений надежд и целей, что больше не захотела в эту игру играть как была снята маска) Но в реальности адреналина куда больше получаешь) СИ это драйв=)

[xzen 2 0 0]

Главное все понятно и доступно для новичка. Написано обо всем главное и очень кратко, что не заставляет ломать голову, пока поймешь. Отличная статья, нужно читать всем новичкам в этом направлении.

[pekaem84 6 0 0]

Никогда компьютеры не будут абсолютно защищены, ведь то, что сделал один человек, может взломать другой. А по поводу того, что люди самое слабое звено знали еще до изобретения компьютера. Помните плакаты? Болтун находка для шпиона.

[pekaem84 6 0 0]

По поводу троянского коня. Техника работала на заре компьютеризации. Сейчас стала менее эффективна (в том случае если письмо приходит на почту человека хоть немного разбирающегося в компьютерах) если же оно попадает на глаза девочке-блондинке. Тогда, согласен, успех гарантирован на 99%.

[pekaem84 6 0 0]

Дорожное яблоко, просто, пять баллов. Раньше ничего о таком способе не слышал. Сработает 100% я, наверное, и сам бы полюбопытствовал, если б мне на глаза попался такой носитель.  Изобретателю респект.

[pekaem84 6 0 0]

Защитится от такого способа добычи информации тяжело. Не все компании проводят тренинги по этому вопросу. Да, и рассчитывать, что на этих тренингах люди будут слушать лектора не стоит. Все равно пропустят мимо ушей. Так, что информация как уплывала из секретных архивов, так и будет уплывать. А помогут в этом люди. 

[xzen 2 0 0]

По поводу троянского коня. Техника работала на заре компьютеризации. Сейчас стала менее эффективна (в том случае если письмо приходит на почту человека хоть немного разбирающегося в компьютерах) если же оно попадает на глаза девочке-блондинке. Тогда, согласен, успех гарантирован на 99%.

Система троянского коня работала, работает и будет работать. Конечно, часть писем может быть отсеяна системой защиты, что-то отсеет бдительный пользователь. Но этот процент очень мал, основная масса коней сожгут свою Трою.   

[xzen 2 0 0]

Защитится от такого способа добычи информации тяжело. Не все компании проводят тренинги по этому вопросу. Да, и рассчитывать, что на этих тренингах люди будут слушать лектора не стоит. Все равно пропустят мимо ушей. Так, что информация как уплывала из секретных архивов, так и будет уплывать. А помогут в этом люди. 

Полностью согласен. Всегда самым слабым звеном в любой защите был человек. Даже если компания и отнесется серьезно к своей безопасности и будет инструктировать своих сотрудников. В большинстве случаев эти самые сотрудники не отнесутся серьезно к тому, что им говорят.

[bitsmax 3 0 0]

Мне вот очень интересно. Когда нам, действительно, смогут гарантировать полную безопасность? Судя по тому как развивается СИ, хакерство, то можно сделать вывод, что мы будет жить только менее безопасно.

[alvin8088 5 0 0]

Спасибо, что написали все доступным и понятным языком. Лично для меня информация оказалась очень актуальной) Жаль только, что обучение сотрудников - это совсем не выход(( Сужу по обстановке в нашей компании). Человеческий фактор был, есть и всегда будет - на 100% от него не застрахуешься.

[Fargo 59 0 0]

Хорошая вводная статья, не чего не скажешь!

Советую еще посмотреть фильм "Экспиримент <<Повиновение>>" 2012 года выпуска. В нем не плохо раскрыта тема С.И. При просмотре фильма стоит учитывать менталитет Американцев.

[Колька 5 0 0]

Обеспечить компьютерную безопасность трудно (может быть, даже невозможно), однако представьте на минуту, что нам это удалось сделать. Где необходимо, применяется мощная криптография, протоколы безопасности безупречно выполняют свои функции. В нашем распоряжении имеются как надежное оборудование, так и надежное программное обеспечение. Даже сеть, в которой мы работаем, совершенно безопасна. Чудесно!

 

К несчастью, этого еще недостаточно. Сделать что-либо полезное эта замечательная система может лишь при участии пользователей. И это взаимодействие

человека с компьютером таит в себе наибольшую угрозу из всех существующих.

Люди часто оказываются самым слабым звеном в системе мер безопасности, и именно они постоянно являются причиной неэффективности последних.

В отношении безопасности математический аппарат безупречен,

компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны.

Брюс Шнайер «Секреты и ложь. Безопасность данных в цифровом мире»

 

 

Intro

Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать. 

Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.

Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.

 

Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.

 

К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.

К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны. 

Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.

 

Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности злоумышленника. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусорных контейнеров организаций, виртуальных мусорных корзин, кража портативного компьютера и других носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

 

Техники социальной инженерии

Все техники социальной инженерии основаны на особенностях принятия решений людьми.

Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.

 

Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

 

Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

 

Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.

Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.

 

Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

 

Обратная социальная инженерия.

Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:

Диверсия: Создание обратимой неполадки на компьютере жертвы.

Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру» (это в большей степени касается сотрудников, которые находятся в командировке или отпуске).

 

Меры противодействия

Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения. 

Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить. 

 

Вот некоторые правила, которые будут полезны:

 

1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций). 

 

Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании. 

 

В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует. 

 

2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение. 

 

3. Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь. 

 

Все описанные меры достаточно простые, однако большинство сотрудников забывают про эти меры и про тот уровень ответственности, который на них возложен при подписании обязательств о неразглашении коммерческой тайны. Компанией тратятся огромные финансовые средства на обеспечение информационной безопасности техническими методами, однако эти технические средства могут быть обойдены, если сотрудники не будут применять меры по противодействию социальным инженерам, а службы безопасности не будут периодически проверять бдительность персонала компании. Тем самым средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.

 

P.S. Если тема будет интересна, то в следующем топике я расскажу более подробно о методах и процедурах, помогающих минимизировать негативные последствия, связанные с методами социальной инженерии.

Это пока еще в общем-то и не статья, всего лишь краткое объяснение темы. Считаю что в реалии можно уже создать такие системы которые никто и ни когда не осилит. Кевин Митник в своей книге не однократно  говорил что самое слабое звено  - это человеческий фактор.

[keker1414 0 0 0]

Тут лишь написано совсем немного из того что есть на самом деле

[bob13 0 0 0]

15.03.2016 в 20:18, xzen сказал:

Главное все понятно и доступно для новичка. Написано обо всем главное и очень кратко, что не заставляет ломать голову, пока поймешь. Отличная статья, нужно читать всем новичкам в этом направлении.

 

15.03.2016 в 20:18, xzen сказал:

ГЯ абсолютно согласен с вами. Для новичков такая информация может  быть очень полезной. Да к тому же такая информация поможет и опытным пользователям, без всяких сомнений.лавное все понятно и доступно для новичка. Написано обо всем главное и очень кратко, что не заставляет ломать голову, пока поймешь. Отличная статья, нужно читать всем новичкам в этом направлении.

 

[SeamCard 0 0 0]

В очередной раз убеждаюсь, что какой бы сильной и защищённой система ни была , всегда слабым звеном будет оставаться человек. Люди во многом очень предсказуемы и доверчивы, а значит можно запросто этим воспользоваться при острой необходимости. Хороший и познавательный обзор 

[Андрей Погорелов 0 0 0]

Существует множество различных мнений, что такое социальная инженерия. Некоторые рассматривают социальную инженерию, как жульничество или мошенничество для получения выгоды. Другие думают, что социальная инженерия это не только инструмент, используемый преступниками, а как науку, чьи теории можно разделить на части и изучить.

 

[russian_man_ 0 0 0]

Сам компьютер не всегда способен отражать атаки хакеров. Чтобы сильнее себя обезопасить нужно установить мощный антивирус, не довкрять свои данные незнакомцам в интернете, ну и не лазить по подозрительным сайтам, форумам. 

[Гари 6 0 0]

Ни одна плаформа на базе windows не способна обезопасить от взлома и проблем защиты. Другое дело Mac pro SwiftKey с полным набором для шифрования. Чисто мое мнение. 

[Action2 4 0 0]

Если говорить о человеческом факторе, то вот есть один хороший пример, как он действует:

"Так, человеческий фактор стоил агентству NASA 165,6 млн. $. В 1999 году команда инженеров, создающих софт для нового орбитального аппарата Mars Climate Orbiter, не смогла перевести единицы измерения из английской системы мер в метрическую. Данные в системе управления были перепутаны, и космический аппарат потерялся в космосе."
 

[rosanna1993 1 0 0]

3 часа назад, Action2 сказал:

Если говорить о человеческом факторе, то вот есть один хороший пример, как он действует:

"Так, человеческий фактор стоил агентству NASA 165,6 млн. $. В 1999 году команда инженеров, создающих софт для нового орбитального аппарата Mars Climate Orbiter, не смогла перевести единицы измерения из английской системы мер в метрическую. Данные в системе управления были перепутаны, и космический аппарат потерялся в космосе."
 

А скандал с швейцарскими банками лет 5 назад. Когда просто цру и немецкие спецслужбы наняли 1 из программистов внутри банка, заплатили ему 2 мл долларов и дали неприкосновенность. Он тупо жесткий диск вынес с клиентами, который 100 млрд скрыли от налогов. А ведь в UBS была 1 из лучших защит в мире!!))

[konOlga 1 0 0]

4 часа назад, rosanna1993 сказал:

А скандал с швейцарскими банками лет 5 назад. Когда просто цру и немецкие спецслужбы наняли 1 из программистов внутри банка, заплатили ему 2 мл долларов и дали неприкосновенность. Он тупо жесткий диск вынес с клиентами, который 100 млрд скрыли от налогов. А ведь в UBS была 1 из лучших защит в мире!!))

Ну у каждого есть слабость, либо скелет в шкафу!

Как правило помощники и становятся теми, кто продают. Чаще всего под них и копают. Поэтому любая информация, которая м.б использованная против, не д.б доступна более чем 2 людям.

P/S А касаемо банковской защиты, то у нас в стране ее продают ГОРАЗДО дешевле 2 мл ))

[Action2 4 0 0]

Социальная инженерия - это технология взлома человека. А вот и еще один пример, как действуют мошенники: 

Недавно одна моя знакомая тетка 41 года от роду сперла из магазина платье. Мы в шоке говорим ей, типа как ты это сделала? Там ведь камеры. Она дала ответ: “Подхожу к продавцам и говорю, я кошелек потеряла, дайте с камер наблюдения посмотрю.” Ей отвечают, что в магазине нет работающих камер и, что все они обычные муляжи. После этого она спокойно сперла платье и ушла

[Гари 6 0 0]

Брандмауэр Windows представляет собой защитную границу между компьютером (или комп. сетью) и внешней средой, пользователи или программы которой могут пытаться получить несанкционированный доступ к компьютеру, обеспечивает высокий уровень безопасности, отслеживая обмен данными.

Брандмауэр Windows ограничивает сведения, поступающие на компьютер с других компьютеров.⛔ Для обеспечения безопасности компьютера используемый брандмауэр (брандмауэр Windows или какой-либо другой) должен быть включен, а его параметры — обновлены.

[DUDKA 57 7 0]

Термин социальная инженерия подразумевает знание тонкостей человеческой психики, а также умение найти индивидуальный подход к каждому объекту, внушив ему необходимые мысли.

[Karlo 143 0 0]

Социальная инженерия - это полноценная система, которая требует внимательно изучения и отработки полученных навыков на практике.

[Adrona007 0 0 0]

Вы знаете это такая тема очень сейчас распространённая, сейчас защитить себя от всяких компьютерных взломов очень тяжело, в этой статье конечно столько всего описано, очень подробно

[Oksanochka35 0 0 0]

18.04.2020 в 11:48, DUDKA сказал:

Термин социальная инженерия подразумевает знание тонкостей человеческой психики, а также умение найти индивидуальный подход к каждому объекту, внушив ему необходимые мысли.

Чтобы найти к человеку подход, надо знать, что он любит, чем увлекается. Иногда достаточно посмотреть странички в соцсетях и уже почти понятно, что человек представляет из себя. Многие по своей глупости, каждый свой шаг снимают и выкладывают. 

[Hugoss 1 1 0]

Вообще не видно что автор темы пишет(

[Hugoss 1 1 0]

Чёрными буквами по чёрному фону))