На чём основывается социальная инженерия фишинговых атак

На какие основные угрозы информационной безопасности стоит обратить внимание в 2020 году? В этой статье освещены наиболее распространенные и серьезные угрозы информационной безопасности организаций по версии портала CompQuip.

Какие инструменты используют мошенники для того чтобы завладеть личными данными людей?

Есть много способов:

  • Самые распространенные из них – это отправка сообщений по электронной почте или через социальные сети якобы от администрации, которая просит подтвердить логин и пароль.
  • Также часто мошенники создают сайты, которые могут быть аналогичны официальным сайтам каких-то популярных сервисов, для того чтобы при регистрации на этих сайтах завладеть личными данными. Не редко создаются даже целые интернет-магазины, при покупке в которых пользователи теряют деньги не получая товар.
  • Часто жертвой фишинга становятся доверчивые люди, которые жертвуют деньги якобы на благотворительность, например, при сборе средств больным детям, или на другие благие дела. Однако большая часть таких сборов – это обман.

Фишинг / Социально-технические атаки

Анализ информационной безопасности большинства организации в большинстве случаев указывает на на сотрудников, как на самую большую уязвимость. На то есть весомые основания. В 2018 году произошло огромное количество фишинговых атак против всех видов целей. Согласно статистике, представленной Small Business Trends, 1 из 99 писем является фишинг-атакой. В среднем это 4,8 письма на сотрудника в течение пятидневной рабочей недели. Если учесть сколько писем отправляется каждый день — это более 269 миллиардов фишинговых писем в день! Кроме того, как утверждает Small Business Trends, около 30% из всех фишинговых писем, проходят сквозь работающие по умолчанию системы защиты.

Читайте также:  Android process media произошла ошибка как исправить?

Что такое фишинговая атака?

Фишинговая атака — это атака основанная на социальной инженерии, для неё злоумышленник генерирует мошенническое электронное письмо, текст или веб-сайт, чтобы обманным путем заставить жертву передать конфиденциальную информацию, такую как учетные данные для работы, пароли к учетным записям в Интернете, данные кредитной карты и т. д.

Из всех угроз информационной безопасности в этом списке, фишинговые электронные письма являются одними из самых серьезных, поскольку они могут заставить сотрудника предоставить доступ к своим рабочим учетным данным, что позволит мошенникам злоупотребить этими привилегиями, чтобы нанести ущерб системам вашего бизнеса.

Кроме того, со временем все больше злоумышленников стали использовать фишинговые стратегии из-за того, насколько они дешевы, эффективны и просты в использовании. Это стратегия с низким уровнем риска и высокой прибылью для киберпреступников, которую они могут использовать с минимальными затратами времени и усилий.

Кренор Лорри Фейт. Не ловись, рыбка! Проблемы и методы борьбы с фишингом

ОБ АВТОРЕ Лорри Фейт Кренор (Lome Faith Cranor) занимает пост адъюнкт-профессора информатики и технической и общественной политики в Университете Карнеги-Меллона и возглавляет лабораторию практической конфиденциальности и безопасности, где руководит исследованиями в области борьбы с фишингом. Кроме того, недавно она стала соучредителем компании Wombat Security Technologies, цель которой — вывод разработанных ее группой продуктов на рынок. Кренор опубликовала четыре книги и множество научных статей о защите информации в сетях, фишинге, спаме, электронном голосовании и других предметах, связанных с информационной безопасностью. Она надеется, что со временем люди перестанут воспринимать выражение «практическая безопасность» как оксюморон. Основные положения

Фишинг — это вид сетевых преступлений, заключающийся в выманивании у людей конфиденциальной или секретной информации. Он уже обходится жертвам в миллиарды долларов в год, и угроза его растет. Поскольку фишинг основан на человеческих слабостях, изучение факторов, определяющих склонность людей клевать на удочку, поможет обучению пользователей и совершенствованию технологий защиты от мошенничества. Для борьбы с фишингом нужно объединение усилий правоохранительных органов, специалистов по защите информации и обычных пользователей. За последнюю неделю я получила массу электронных писем: предупреждения от нескольких банков о предстоящей блокировке моих кредитных карт, напоминание eBay о необходимости сменить пароль, уведомление от Apple о неоплаченных счетах за скачанную музыку, предложение авиакомпании быстро заработать $50, заполнив опросную анкету, и просьбу Красного Креста перечислить деньги в фонд помощи пострадавшим от землетрясения в Китае. С виду эта корреспонденция не вызывала никаких подозрений. Однако все письма, кроме сообщения от eBay, были фальшивками, известными под названием «фиш» (phish, искаженный вариант английского слова fish— «рыба»).

Читайте также:  Что такое jailbreak, его установка на iOS 12

Топ-самых популярных компаний и сервисов у хакеров

1. Google 2. Amazon 3. WhatsApp 4. Facebook 5. Microsoft 6. Outlook 7. Netflix 8. Apple 9. Huawei 10. PayPal

В первом квартале 2020 года Apple возглавляла список. Её клиенты получали больше всего писем, которые вели на мошеннические сайты, замаскированные под ресурсы компании.

Когда пользователи вводили Apple ID, он сразу же отправлялся хакерам. Аналогичным образом взламываются аккаунты других компаний.

В тему: Как мошенники обходят двухфакторную аутентификацию Apple ID

Check Point отмечает, что в июне функционировал популярный сайт с доменом , который не принадлежит Apple. Он был создан с целью кражи данных для входа в iCloud.

Домен зарегистрирован под IP-адресом , расположенным в Москве. [9to5Mac]