Сегодня в рамках кампании
#nohacked мы поговорим о
социальной инженерии. Если вы активно пользуетесь Интернетом, то наверняка вам приходилось сталкиваться с той или иной формой социальной инженерии. Ее цель состоит в том, чтобы обманным путем или иными методами получить от вас конфиденциальную информацию.
Фишинг
Это один из самых известных и распространенных видов социальной инженерии. Фишинговые сайты и электронные письма имитируют подлинные и обманным путем заставляют людей ввести на веб-странице конфиденциальную информацию, например имя пользователя и пароль. Недавно специалисты Google
провели исследование, по результатам которого выяснилось, что некоторым фишинговым сайтам удается обмануть своих жертв в 45% случаев. Полученные таким способом данные могут быть либо проданы, либо использованы для доступа к вашему аккаунту.
Другие виды социальной инженерии
Владельцы сайта должны остерегаться не только фишинга. Некоторые виды социальной инженерии затрагивают ПО и инструменты, применяемые на вашем сайте. Если вы скачиваете или используете какие-либо
системы управления контентом (CMS), плагины или расширения, убедитесь, что они получены из надежных источников, например непосредственно с сайта разработчика. Программное обеспечение с непроверенных ресурсов может содержать вредоносные коды, с помощью которых хакеры получат доступ к вашему веб-серверу.
Разберем пример. Василиса – веб-мастер. Зоомагазин «Колыбель для кошки» пригласил ее помочь в разработке своего сайта. Разработав несколько эскизов, Василиса начинает подбирать ПО для создания ресурса, но выясняет, что ее любимый плагин Photo Frame Beautifier больше не поддерживается, а скачать его на официальном сайте уже нельзя. Она быстро находит ресурс с архивом старых плагинов, скачивает нужное ПО и с его помощью завершает работу над проектом. Через два месяца Василиса получает в Search Console уведомление о том, что сайт ее клиента был взломан. Она в экстренном порядке пытается устранить проблему и выясняет, что злоумышленники изменили плагин Photo Frame Beautifier и с его помощью получили доступ к сайту. Она удалила плагин, исправила взломанный контент, приняла меры для предотвращения подобных атак и запросила в Search Console повторную проверку. Как мы видим, оплошность Василисы привела ко взлому сайта ее клиента.
Как защититься от социальной инженерии
Социальная инженерия эффективна в первую очередь потому, что люди редко обращают внимание на нюансы. Однако существуют способы, позволяющие защититься от нее.
- Будьте бдительны. Соблюдайте осторожность, если нужно указать конфиденциальную информацию или установить программное обеспечение для сайта. Проверяйте URL-адреса, чтобы не ввести конфиденциальную информацию на вредоносной веб-странице. При установке программного обеспечения для управления контентом убедитесь, что оно получено из надежных источников, например с веб-сайта разработчика.
- Пользуйтесь двухэтапной аутентификацией. Эту функцию предлагают многие сервисы, например Google. Она обеспечивает дополнительную защиту аккаунта, даже если кто-то украл пароль от него. Используйте двухэтапную аутентификацию везде, где это возможно. Преимущества этого решения мы рассмотрим в нашей следующей статье.
Дополнительные сведения по социальной инженерии:
Надеемся, что эти советы помогут вам обезопасить свой сайт. Не забывайте с помощью хештега
#nohacked отслеживать наши кампании в социальных сетях, а также делиться своим личным опытом и секретами безопасной работы в Интернете. Приглашаем вас также ознакомиться с
записью видеовстречи, посвященной вопросам безопасности, которая прошла 27-го августа на YouTube канале Google Россия. Не забудьте также ознакомиться с нашей первой статьей
#NoHacked: как не стать жертвой хакеров.
[оригинал статьи на английском]
автор: Эрик Куан (Eric Kuan), специалист по работе с веб-мастерами, Юань Ню (Yuan Niu), специалист по веб-спаму
