ФИШИНГ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

SOCIAL ENGINEERING PHISHING

Victoria Mashkina

student, Department of Informatics, Computer Science and Information Security, Altai State Technical University named after. I. I. Polzunova,

Russia, Barnaul

Alexandra Boriskina

scientific supervisor, senior lecturer, Department of Informatics, Computer Science and Information Security, Information Security, Altai State Technical University named after I. I. Polzunova,

Russia, Barnaul

АННОТАЦИЯ

Фишинг – один из самых распространенных способов атак в современном цифровом мире, угрожающий информационной безопасности. Он является формой социальной инженерии, при которой злоумышленники пытаются выманить конфиденциальную информацию у людей, такую как пароли, номера кредитных карт или личные данные. В данной статье рассматривается фишинг как явление, его основные принципы и методы, а также способы защиты от него.

ABSTRACT

Phishing is one of the most common methods of attack in the modern digital world, threatening information security. It is a form of social engineering in which attackers try to trick people into giving away sensitive information, such as passwords, credit card numbers, or personal information. This article discusses phishing as a phenomenon, its basic principles and methods, as well as ways to protect against it.

Ключевые слова: информационная безопасность, конфиденциальность, защита информации, фишинг.

Keywords: information security, confidentiality, information security, phishing.

Фишинг — это прием искусного манипулирования людьми для получения конфиденциальной информации. Злоумышленники, применяющие фишинг, применяют разноплановые тактики, чтобы убедить своих жертв предоставить им доступ к личным данным. В большинстве случаев фишинг происходит через электронную почту, сообщения в мессенджерах или социальные сети. Фишингеры могут выдавать себя за представителей банков, крупных компаний или государственных организаций, чтобы подстроиться под доверие жертв и убедить их предоставить свои данные.

Важно отметить, что главная цель фишинга заключается в обмане пользователей, прикидываясь законной организацией или наживаясь на их доверии, с целью получить доступ к их личной информации. Фишингеры обычно применяют такие методы, как электронная почта, социальные сети, мессенджеры и телефонные звонки для достижения своих целей.

Существует несколько основных методов фишинга, которыми злоумышленники могут пользоваться:

1. Подделка электронных писем: злоумышленники могут отправлять электронные письма, выглядящие точно так же, как письма от известных организаций, например, банков или интернет-магазинов. В письме предлагается проверить данные аккаунта или решить возникшую проблему. Для этого пользователю предлагается перейти по ссылке, которая ведет на поддельный сайт, где злоумышленники могут получить доступ к его учетным данным.

2. Поддельные веб-сайты: фишингеры создают поддельные веб-сайты, которые выглядят идентично официальным сайтам известных организаций. Потенциальные жертвы могут быть перенаправлены на эти поддельные сайты, где с них могут быть украдены личные данные.

3. Социальные сети и мессенджеры: фишингеры используют социальные сети и мессенджеры для отправки поддельных сообщений или ссылок, которые ведут к поддельным сайтам или содержат вредоносные вложения. Они создают фальшивые аккаунты, чтобы выдаваться за кого-то другого, например, близкого друга или члена семьи, и отправляют сообщения, в которых просят предоставить личные данные. В доверие, которое пользователи испытывают к своим друзьям в социальных сетях, входит их уязвимость перед такими атаками.

4. Телефонный фишинг: преступники могут звонить людям, выдавая себя за сотрудников банков или других организаций, и пробовать убедить их сообщить личную информацию.

Ниже перечислен неполный перечень последствий, которые могут ожидать жертвы:

1. Потеря средств: жертвы могут столкнуться с кражей денег со своих банковских карт.

2. Утечка конфиденциальной информации: личные данные пользователей могут быть использованы злоумышленниками.

3. Психологические последствия: жертвы фишинга социальной инженерии могут испытывать стресс, тревогу и развитие недоверия к коммуникациям в сети.

Для защиты от фишинга можно применить несколько мер:

1. При открытии электронных писем нужно быть бдительным: проверять отправителя и содержание сообщения. Если что-то вызывает подозрения, не открывать приложенные файлы или ссылки.

2. Также стоит быть внимательным к URL-адресам: перед вводом личных данных на любых веб-сайте, необходимо убедиться, что URL начинается с "https://" и имеет зеленый значок замка, который гарантирует безопасное соединение.

3. Важна осторожность в социальных сетях: не распространяйте личную и конфиденциальную информацию или данные о своих аккаунтах в социальных сетях. Остерегайтесь принятия дружбы или сообщений от незнакомцев.

4. Регулярно обновляйте программное обеспечение на персональных компьютерах и мобильных девайсах чтобы быть на шаг впереди в обеспечении кибербезопасности.

5.  Для гарантированной защиты от вредоносных программ важно оснастить компьютеры и мобильные устройства антивирусным ПО.

6. Обучение и тренинг сотрудников являются неотъемлемой частью стратегии компании в борьбе с фишинговыми атаками. Надлежащее образование и подготовка позволяют нашим сотрудникам стать надежными "стражами ворот" и эффективно обезопасить нашу организацию от потенциальных угроз. Мы осознаем, что в нашем мире постоянно меняющихся технологий и изощренных хакеров, сотрудники являются первой линией защиты, и их успешное обучение и тренировка - залог успешной защиты от фишинговых атак.

Фишинг - опасное явление, которое представляет угрозу для информационной безопасности. Однако, применяя некоторые простые меры предосторожности и проявляя бдительность, риск стать жертвой фишинга можно минимизировать. Для защиты от этого типа киберугрозы рекомендуется проводить специальное обучение сотрудников, использовать технические средства защиты и проявлять осторожность во время онлайн-коммуникаций.

Список литературы:

1. Защита информации. Основные термины и определения. [электронный ресурс] – Режим доступа. - URL: https://docs.cntd.ru/document/1200058320 (дата обращения 26.11.2023)
2. Приказ ФСТЭК России от 29 апреля 2021 г. N 77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну». [Электронный ресурс] – Режим доступа. - URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-29-aprelya-2021-g-n-77 (дата обращения 26.11.2023)
3. Указ Президента РФ от 5 декабря 2016 г. № 646 “Об утверждении Доктрины информационной безопасности Российской Федерации” [Электронный ресурс] – Режим доступа. - URL: https://www.garant.ru/products/ipo/prime/doc/71456224/ (дата обращения 26.11.2023)