Social engineering is a method of unauthorized access to information or information storage systems without the use of technical means. The method is based on the use of human factor weaknesses and is considered very destructive.
Pretext is an action worked out according to a pre-compiled script (pretext). As a result, the goal must give out certain information, or perform a certain action. This type of attack is usually used over the phone. More often than not, this technique includes more than just a lie, and requires some preliminary research (for example, personalization: date of birth, amount of the last bill, etc.) in order to ensure trust in the target. The same type includes attacks on online messengers, for example, icq
Phishing - a technique aimed at fraudulently obtaining confidential information. Usually, an attacker sends an e-mail to the target, falsified by an official letter - from a bank or payment system - requiring "verification" of certain information, or certain actions. This letter usually contains a link to a fake web page that imitates an official one with a corporate logo and content, and contains a form that requires confidential information from the home address to the bank card PIN.
Travel apple
This attack method is an adaptation of the Trojan horse, and consists in using physical media. An attacker can throw an infected CD, or flash, in a place where the media can be easily found (toilet, elevator, parking). The carrier is falsified as official, and is accompanied by a signature designed to arouse curiosity.
Example: An attacker can drop a CD equipped with a corporate logo and a link to the company’s official website and label it “Q1 2007 Management Salary”. The disc can be left on the elevator floor, or in the lobby. An employee of ignorance can pick up a disk and insert it into a computer to satisfy his curiosity, or simply a good Samaritan will take the disk to the company.
Qui about the quo
An attacker can call the company at a random number and introduce himself as a tech support officer, asking if there are any technical problems. In the event that they exist, in the process of "solving" them, the target enters commands that allow the hacker to launch malicious software.
Pretext is an action worked out according to a pre-compiled script (pretext). As a result, the goal must give out certain information, or perform a certain action. This type of attack is usually used over the phone. More often than not, this technique includes more than just a lie, and requires some preliminary research (for example, personalization: date of birth, amount of the last bill, etc.) in order to ensure trust in the target. The same type includes attacks on online messengers, for example, icq
Phishing - a technique aimed at fraudulently obtaining confidential information. Usually, an attacker sends an e-mail to the target, falsified by an official letter - from a bank or payment system - requiring "verification" of certain information, or certain actions. This letter usually contains a link to a fake web page that imitates an official one with a corporate logo and content, and contains a form that requires confidential information from the home address to the bank card PIN.
Travel apple
This attack method is an adaptation of the Trojan horse, and consists in using physical media. An attacker can throw an infected CD, or flash, in a place where the media can be easily found (toilet, elevator, parking). The carrier is falsified as official, and is accompanied by a signature designed to arouse curiosity.
Example: An attacker can drop a CD equipped with a corporate logo and a link to the company’s official website and label it “Q1 2007 Management Salary”. The disc can be left on the elevator floor, or in the lobby. An employee of ignorance can pick up a disk and insert it into a computer to satisfy his curiosity, or simply a good Samaritan will take the disk to the company.
Qui about the quo
An attacker can call the company at a random number and introduce himself as a tech support officer, asking if there are any technical problems. In the event that they exist, in the process of "solving" them, the target enters commands that allow the hacker to launch malicious software.
Original message
Социальная инженерия — это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным.
Претекстинг - это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: дата рождения, сумма последнего счёта и др.), с тем, чтобы обеспечить доверие цели. К этому же виду относятся атаки и по онлайн мессенджерам, например по icq
Фишинг - техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо - от банка или платёжной системы - требующее "проверки" определённой информации, или совершения определённых действий. Это письмо обычно содержит линк на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и контентом, и содержащую форму, требующую ввести конфиденциальную информацию - от домашнего адреса до пин-кода банковской карты.
Дорожное яблоко
Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью "Заработная плата руководящего состава Q1 2007". Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто добрый самаритянин отнесёт диск в компанию.
Кви про кво
Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их "решения" цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.
Претекстинг - это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: дата рождения, сумма последнего счёта и др.), с тем, чтобы обеспечить доверие цели. К этому же виду относятся атаки и по онлайн мессенджерам, например по icq
Фишинг - техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо - от банка или платёжной системы - требующее "проверки" определённой информации, или совершения определённых действий. Это письмо обычно содержит линк на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и контентом, и содержащую форму, требующую ввести конфиденциальную информацию - от домашнего адреса до пин-кода банковской карты.
Дорожное яблоко
Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью "Заработная плата руководящего состава Q1 2007". Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто добрый самаритянин отнесёт диск в компанию.
Кви про кво
Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их "решения" цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.