Социальный инжиниринг

· 2 мин

Размышлял о социальном инжиниринге в связи с тем, что меня отключили от инстаграма на проверку.

Для тех, кто не знает что это — это метод хакерской атаки с использованием манипуляции живого человека для того, чтобы, например, он сам отдал вам пароль или открыл дверь в офис. Самое слабое звено в системах, как правило, человек и многие сложные атаки так или иначе задействуют социальный инжиниринг.

На эту тему есть классная история 2012 года в Wired, где путём социального инжиниринга и манипуляции сотрудниками Amazon и Apple, злоумышленник получил доступ к аккаунту Apple автора статьи и удалил все детские фотографии. Атака не несла цели получить деньги, а, насколько я помню, была способом демонстрации силы хакера, дыр в системах и тупости людей.

Но суть не в этом.

Я думал о том, что делать, если инстаграм меня не восстановит. Многие мои подписчики подписаны на несколько людей, кого я знаю и с кем общаюсь. Я могу им написать и попросить у себя опубликовать историю и ссылку на мой новый аккаунт.

Но так же им может написать и кто-то другой, представиться мной, скопировать мою манеру общаться (из постов и сторис) и ему могут поверить. Вуаля, социальный инжиниринг.

Более того, злоумышленники могут сделать такую атаку — заполнить много жалоб на конкретный аккаунт и ждать, пока его отправят на проверку. Как только аккаунт на проверке (желательно, когда его хозяин спит), можно начать обрабатывать тех, кого он может знать.

Мораль — если вам напишет знакомый о помощи с другого аккаунта, попросите созвониться. Нужна верификация личности, иначе это может быть фейк.