Соціальна інженерія – це атаки, що використовують не вразливості техніки, а людський фактор: довіру, поспіх, емоції. Мета зловмисника – змусити вас виконати дію (віддати пароль, перейти за посиланням, переказати гроші), яка відкриє доступ до системи або даних.
Як виглядають механізми атак
• Фішингові листи – виглядають як офіційні повідомлення (банк, колега, сервіс), містять підроблені посилання або вкладення.
• Вишинг / смс-фішинг – підроблені SMS або дзвінки з вимогою термінових дій.
• Претендентство (pretexting) – зловмисник створює правдоподібну легенду (напр., представник служби підтримки) і просить секретну інформацію.
• Baiting – підкидання «спокусливого» носія (USB) або файлу, який запускає шкідливе ПЗ.
• Tailgating – фізичний доступ, коли хтось проходить за працівником у двері без контролю.
Як захиститися – практичні кроки
Для кожного користувача
• Перевіряйте відправника і URL – наведіть курсор, перш ніж клікати.
• Ніколи не вводьте паролі через посилання у листі – заходьте на сайт вручну.
• Не відкривайте підозрілі вкладення і не вставляйте знайдені USB.
• Використовуйте багатофакторну автентифікацію (MFA).
• Якщо сумніваєтеся – зателефонуйте в організацію/колезі за офіційним номером.
Для організації
• Впровадьте політику повідомлення про інциденти – щоб співробітники знали, кому повідомляти.
• Проводьте регулярні тренінги з кібергігієни та соціальної інженерії.
• Робіть регулярні симуляції фішингу і давайте зворотний звʼязок.
• Налаштуйте поштові фільтри, SPF/DKIM/DMARC для доменів.
• Застосовуйте принцип найменших прав – обмежуйте доступи за потребою.
• Документуйте і відпрацьовуйте план реагування на інциденти.
Короткі поради, які врятують ситуацію
• Перед терміновим запитом на переказ або зміну даних – уточніть усно.
• Не поспішайте виконувати інструкції зі «строкових» листів.
• Навчайте дітей і близьких – шахраї масово «полюють» через соцмережі.
Цю тему студенти вивчають у рамках курсу “Курси з кібербезпеки” у Дрогобицькому університеті. Маєш питання або хочеш організувати тренінг для вашої групи/школи – пиши на cybersecurity@dspu.edu.ua
Ми допоможемо налаштувати захист та провести навчання. 🔒