Социальная инженерия — это метод взлома, основанный на психологических манипуляциях. Вместо прямых атак на компьютерные системы или сети злоумышленники воздействуют на человека. Цель — убедить кого-либо совершить вредоносные действия, например, впустить постороннего, передать конфиденциальную информацию или скачать зараженный вирусом файл.
Фишинг («ловля на живца»). Атакующий отправляет письмо, имитирующее доверенный источник (например, банк), с просьбой ввести конфиденциальные данные на поддельном сайте — логин и пароль, реквизиты карты или счета. Текст письма обычно носит тревожный характер. Атаки могут происходить не только через электронные письма, но и через другие каналы, такие как SMS (смс-фишинг), телефонные звонки (вишинг) или социальные сети
Выдача себя за другого (pretexting). Злоумышленник придумывает вымышленную историю для получения доступа к информации. Самый распространённый пример — звонок от «службы безопасности» известного банка. Однако звонить могут и от кого угодно — например, от «ИТ-специалистов» вашей компании. Претекстинг может включать не только звонки, но и личные встречи или электронные переписки, где злоумышленник притворяется другим человеком для завоевания доверия.
«Атака в хвосте» (tailgating). Атакующий физически следует за кем-то в защищенное помещение, не имея на это разрешения или пропуска. Такие атаки часто происходят в местах с электронными замками, где человек с доступом держит дверь открытой для злоумышленника.
Подброс. Злоумышленник оставляет зараженный носитель (например, USB-флешку) в местах общего доступа. Сотрудник может найти такой носитель с надписью «документы» и, подключив его к рабочему компьютеру, неосознанно заразить систему вредоносным программным обеспечением.