Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124

#NoHacked: как распознать социальную инженерию и защитить себя от нее

Сегодня в нашей кампании #NoHacked мы поговорим о социальной инженерии. Следите за обсуждениями в Twitter и Google+, используя хэштег #nohacked. (Часть 1)

Если вы провели некоторое время в Интернете, вы, скорее всего, сталкивались с той или иной формой социальной инженерии. Социальная инженерия пытается извлечь из вас конфиденциальную информацию, манипулируя вами каким-либо образом.

Фишинг

Возможно, вы знакомы с фишингом, одной из наиболее распространенных форм социальной инженерии. Фишинговые сайты и электронные письма имитируют законные сайты и обманом заставляют вас вводить конфиденциальную информацию, такую как ваше имя пользователя и пароль, на этих сайтах. Недавнее исследование Google показало, что некоторые фишинговые сайты могут обманывать жертв в 45% случаев! Как только ваша информация попадет на фишинговый сайт, она будет либо продана, либо использована для манипулирования вашими учетными записями.

Другие формы социальной инженерии

Как владельцу сайта, фишинг — не единственная форма социальной инженерии, которой вам следует остерегаться. Еще одна форма социальной инженерии связана с программным обеспечением и инструментами, используемыми на вашем сайте. Если вы загружаете или используете какую-либо систему управления контентом (CMS), плагины или надстройки, убедитесь, что они получены из надежных источников, например, непосредственно с сайта разработчика. Программное обеспечение с непроверенных сайтов может содержать вредоносные эксплойты, которые позволяют хакерам получить доступ к вашему сайту.

Например, веб-мастер Ванда недавно была нанята Brandon’s Pet Palace для помощи в создании сайта. Набросав несколько дизайнов, Ванда приступает к компиляции программного обеспечения, необходимого ей для создания сайта. Однако она узнает, что Photo Frame Beautifier, один из ее любимых плагинов, был удален с официального сайта плагина CMS и что разработчик решил прекратить поддержку плагина. Она выполняет быстрый поиск и находит сайт, предлагающий архив старых плагинов. Она загружает плагин и использует его для завершения работы сайта. Два месяца спустя уведомление в Search Console уведомляет Ванду о том, что сайт ее клиента был взломан. Она быстро пытается исправить взломанный контент и находит источник компрометации. Оказывается, плагин Photo Frame Beautifier был изменен третьей стороной, чтобы разрешить злоумышленникам доступ к сайту. Она удалила плагин, исправила взломанный контент, обезопасила свой сайт от будущих атак и подала запрос на повторное рассмотрение в Search Console. Как вы можете видеть, непреднамеренная оплошность Ванды привела к компрометации сайта ее клиента.

Защита от атак социальной инженерии

Социальная инженерия эффективна, потому что не очевидно, что в том, что вы делаете, что-то не так. Однако есть несколько основных способов защитить себя от социальной инженерии.

  • Будьте бдительны: Всякий раз, когда вы вводите конфиденциальную информацию в Интернете или устанавливаете программное обеспечение для веб-сайта, испытывайте здоровую дозу скептицизма. Проверяйте URL-адреса, чтобы убедиться, что вы не вводите конфиденциальную информацию на вредоносные сайты. При установке программного обеспечения для веб-сайта убедитесь, что программное обеспечение поступает из известных, авторитетных источников, таких как сайт разработчика.
  • Используйте двухфакторную аутентификацию: Двухфакторная аутентификация, подобная двухэтапной верификации Google, добавляет еще один уровень безопасности, который помогает защитить вашу учетную запись, даже если ваш пароль был украден. Вам следует использовать двухфакторную аутентификацию во всех учетных записях, где это возможно. На следующей неделе мы поговорим более подробно о преимуществах двухфакторной аутентификации.

Дополнительные ресурсы о социальной инженерии:

  • Узнайте больше о том, как защитить себя от фишинговых атак
  • Сообщить о фишинговой странице
  • Избегайте мошенничества Google и сообщайте о нем
  • Выявление «фишинговых» и «подменных» электронных писем

Если у вас есть какие-либо дополнительные вопросы, вы можете задать их на форумах помощи веб-мастерам, где сообщество веб-мастеров поможет ответить на ваши вопросы. Вы также можете присоединиться к нашей беседе о безопасности в эфире 26 августа.