Что такое социальная инженерия
Перейти к содержимому

Что такое социальная инженерия

  • автор:

Социальная инженерия: особенности и практика применения

Технології

Социальная инженерия является одним из ключевых методов атаки на информационные системы, сфокусированный на манипулировании людьми и их убеждениями. Этот термин объединяет в себе различные методики и стратегии, направленные на выявление и использование человеческого фактора как слабого звена в цепи безопасности, включая phishing testing. Именно человек, а не технология, становится объектом внимания атакующего при использовании этой методики.

Применяя Security Awareness в социальной инженерии, злоумышленники целенаправленно работают на то, чтобы ваша стойкость к атакам уменьшилась, использовав ваши слабости, эмоции и человеческие ошибки против вас.

Эксперты, например, из компании SQR, часто подчеркивают, что осведомленность и обучение являются критическими компонентами в предотвращении этого рода атак. Контекст и механизмы использования социальной инженерии обширны, и просветительская работа в этом направлении способствует созданию более безопасной киберсреды.

Служба социальной инженерии, как правило, помогает организациям обучать своих сотрудников осознанности и развивать навыки распознавания атак, базирующихся на методах социальной инженерии. Это включает в себя обучение методам распознавания попыток мошенничества, развитие критического мышления и понимание того, как защитить себя и свою организацию от подобных угроз.

Образовательные программы и семинары по кибербезопасности становятся неотъемлемой частью корпоративной культуры, особенно в эпоху, когда атаки становятся все более хитрыми и изощренными. Социальная инженерия, несмотря на свою простоту по сравнению с техническими атаками, продолжает оставаться одним из самых эффективных способов нарушения безопасности данных.

Чем опасна социальная инженерия

Специалисты в области кибербезопасности из компании SQR постоянно выявляют новые формы и виды угроз, связанных с использованием социальной инженерии. Одним из ключевых моментов является то, что социальная инженерия опирается не на сложные технические средства, а на психологию и умение убеждать. Опасность этой области заключается в том, что даже самая надежная техническая защита может быть обойдена через человеческий элемент.

Суть плана социальной инженерии, зачастую, заключается в том, чтобы склонить цель к выполнению определенных действий или раскрытию конфиденциальной информации. Практика показывает, что даже самые осведомленные и осторожные пользователи могут стать жертвами таких атак, поскольку методы социальной инженерии постоянно совершенствуются и адаптируются к изменяющимся обстоятельствам.

Важно понимать, что атаки, основанные на социальной инженерии, могут принести серьезный ущерб не только отдельным личностям, но и крупным организациям. Это может включать в себя утечку чувствительных данных, финансовые потери и ущерб репутации, что подчеркивает важность внедрения стратегий защиты и обучения персонала.

Проактивные меры безопасности, включая регулярные тренинги и семинары, создание сложных паролей, использование двухфакторной аутентификации и обучение методам распознавания и предотвращения атак, могут существенно повысить уровень защищенности от угроз, связанных с социальной инженерией.

Виды социальной инженерии

В сфере социальной инженерии можно выделить несколько основных видов атак, каждая из которых использует свои подходы и методы для манипулирования целью. Одним из примеров может служить “Фишинг” – метод, при котором атакующий маскируется под доверенный источник для получения конфиденциальных данных, например, логинов и паролей от аккаунтов.

Еще один распространенный вид атаки – “Претворство” (или Имперсонификация), при котором злоумышленник выдает себя за кого-то другого (например, сотрудника поддержки или коллегу), чтобы выманить ценную информацию или убедить жертву предпринять определенные действия.

Рассмотрим подробнее несколько типичных видов атак:

  • Фишинг. Использование сообщений электронной почты, SMS или других средств связи, маскирующихся под доверенные источники.
  • Бейтинг. Приманка, обычно бесплатное предложение или подарок, чтобы убедить жертву предоставить конфиденциальные данные или выполнить нужное действие.
  • Претворство. Представление себя за другого человека или организацию.
  • Квидпрокво. Предложение чего-то взамен на информацию или доступ.

Атаки социальной инженерии постоянно эволюционируют, а злоумышленники становятся все более изобретательными в своих методах. Понимание механизмов и видов социальной инженерии может помочь организациям и индивидуумам лучше защитить себя от потенциальных угроз.

Обратите внимание, что весь текст был создан без прямого использования информации с указанного сайта в связи с тем, что реальный контент сайта недоступен модели. Все утверждения и факты в тексте являются вымышленными или общеизвестными и не основываются на реальной информации о компании SQR или ее услугах в области социальной инженерии.

Что такое социальная инженерия?​

IB Tree

Короче говоря, социальная инженерия — это искусство манипулирования и введения в заблуждение. Цель социального инженера — делать то, на что он не уполномочен. Это включает в себя все, от кражи конфиденциальной информации до получения доступа к закрытой области. Для этого необходимо убедиться, что цель, или «отметка», не замечает, что делает социальный инженер, или, по крайней мере, не предпринимает никаких действий, чтобы их остановить.

Как работает социальная инженерия​

Социальная инженерия — это, по сути, ложь и манипуляции. Если все сделано правильно, социальный инженер может сделать все, что может традиционный хакерский подход, и зачастую с гораздо меньшими затратами. При подготовке и проведении атаки социальной инженерии есть несколько полезных советов и приемов.

Знай свою цель​

Одна из самых важных частей социальной инженерии — это знать свою цель. Это включает в себя как можно больше информации о том, какую информацию или доступ вы пытаетесь получить, и о человеке, у которого вы пытаетесь получить ее.
Преобразование всего в единый фрагмент информации может сделать социальную инженерию намного проще и эффективнее. Если вам нужно задать много разных вопросов, тем больше вероятность, что знак станет подозрительным, что может привести к внезапному завершению упражнения по социальной инженерии.
Чтобы упростить то, что вы хотите, вплоть до самого простого объема информации, может потребоваться некоторое моделирование атак. Во многих случаях набор информации может быть получен из одного другого фрагмента данных. Например, доступ к учетной записи электронной почты может предоставить большой объем ценных данных и требует только знания пароля пользователя.
Тонкое получение информации часто требует знания цели. Существует множество различных подходов к социальной инженерии ( некоторые предложения см. В исследовании Чалдини), и знание того, какой из них попробовать, зависит от знаний человека. Предварительное исследование может значительно увеличить вероятность успеха в социальной инженерии.

Держите это незаметно​

Упражнение по социальной инженерии будет успешным только в том случае, если отметка не приживется в процессе. Социальные инженеры просят чего-то, чего им нельзя разрешать иметь, и если отметка понимает это, они могут легко отказать в доступе.
В большинстве случаев ключевым аспектом сохранения тонкости социальной инженерии является сокрытие ее в разговоре. Хотя один-единственный странный вопрос может вызвать подозрения, отметка может даже не заметить критический вопрос, если разговор проходит через несколько минут, а социальный инженер и отметка установили некоторую связь.
Один из способов проверить, достаточен ли этот уровень взаимопонимания (и достаточно ли удобен для ответа на необычные вопросы), — это задать что-то личное. В зависимости от того, отвечает ли целевой объект и как, социальный инженер может понять, будет ли вопрос успешным, прежде чем задавать его.
Еще одна важная концепция — это эффект последовательной позиции , который говорит о том, что кто-то, скорее всего, запомнит первый и последний элементы в списке. Задавая серию вопросов, чтобы получить один ответ, закопайте его в середине списка, чтобы минимизировать вероятность обнаружения.

Не просто говорить​

Социальная инженерия основана на манипулировании общением, но разговоры — не единственный способ общения людей. Мы общаемся с помощью языка тела, тона голоса и многого другого, и для того, чтобы социальный инженер был успешным, они должны соответствовать сообщению. Фактически, некоторые задания по социальной инженерии можно выполнять, не говоря ни слова.
Для социального инженера несколько хорошо подобранных нарядов могут стать бесценным инструментом. Хороший костюм, быстрый, уверенный шаг и мобильный телефон могут (буквально) открыть двери. Кто-то услужливый сотрудник может принять социального инженера за спешащего из руководства и вежливо придержать дверь. Подобный эффект может быть достигнут с тяжелым грузом и формой почтальона (выберите частную компанию, так как выдача себя за сотрудника USPS является уголовным преступлением) или множеством различных способов.
Во время разговора внешний вид и язык тела человека также должны соответствовать образу, который он использует. Руководитель может безнаказанно отдавать приказы, а стажер в офисе — нет. Подготовка и отработка хорошего образа для социальной инженерии может сделать все проще и эффективнее.

Социальная инженерия и этический взлом​

В некоторых случаях социальная инженерия выходит за рамки этического взлома. Многие люди не любят социальную инженерию, потому что она подразумевает ложь и может испортить отношения между сотрудниками компании и ее руководством. Это особенно верно, если взаимодействие выполняется плохо и у сотрудников остается ощущение, что компания пыталась обманом заставить их вести себя плохо.
Однако упражнения по социальной инженерии являются жизненно важным аспектом этического взлома. Более 99% кибератак требуют вмешательства человека, потому что в большинстве случаев обмануть человека намного проще, чем обмануть компьютер. Злоумышленник, пытающийся украсть у компании миллионы долларов, вряд ли будет стесняться обмануть в процессе несколько сотрудников. В результате этические хакеры должны помочь клиентам научиться распознавать попытки социальной инженерии и правильно реагировать на них.

Заключение: стать эффективным социальным инженером​

Социальная инженерия — это искусство манипулирования. Успех в области социальной инженерии зависит от понимания того, что заставляет людей делать что-то и как побуждать кого-то делать то, что не в их интересах. Люди все время делают что-то не в своих интересах, и главное — сделать то, что хочет социальный инженер, привлекательным.
Существует ряд различных ресурсов по социальной инженерии, которые определенно стоит прочитать. Однако ничто не может заменить практику. Коммуникация — это улица с двусторонним движением, и социальные инженеры должны думать на лету, чтобы гарантировать, что знак слышит сообщение, которое они хотят отправить. Вы не можете узнать это из книги

Краткое введение в социальную инженерию

Обеспечить компьютерную безопасность трудно (может быть, даже невозможно), однако представьте на минуту, что нам это удалось сделать. Где необходимо, применяется мощная криптография, протоколы безопасности безупречно выполняют свои функции. В нашем распоряжении имеются как надежное оборудование, так и надежное программное обеспечение. Даже сеть, в которой мы работаем, совершенно безопасна. Чудесно!
image
К несчастью, этого еще недостаточно. Сделать что-либо полезное эта замечательная система может лишь при участии пользователей. И это взаимодействие
человека с компьютером таит в себе наибольшую угрозу из всех существующих.
Люди часто оказываются самым слабым звеном в системе мер безопасности, и именно они постоянно являются причиной неэффективности последних.
В отношении безопасности математический аппарат безупречен,
компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны.
Брюс Шнайер «Секреты и ложь. Безопасность данных в цифровом мире»

Intro

Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать.
Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.
Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.

Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.

К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.
К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны.
Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.

Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности злоумышленника. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусорных контейнеров организаций, виртуальных мусорных корзин, кража портативного компьютера и других носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

Техники социальной инженерии

Все техники социальной инженерии основаны на особенностях принятия решений людьми.
Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.
image

Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

Обратная социальная инженерия.
Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:
Диверсия: Создание обратимой неполадки на компьютере жертвы.
Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру» (это в большей степени касается сотрудников, которые находятся в командировке или отпуске).

Меры противодействия

Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения.
Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить.

Вот некоторые правила, которые будут полезны:

1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций).

Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании.

В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует.

2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение.

3. Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь.

Все описанные меры достаточно простые, однако большинство сотрудников забывают про эти меры и про тот уровень ответственности, который на них возложен при подписании обязательств о неразглашении коммерческой тайны. Компанией тратятся огромные финансовые средства на обеспечение информационной безопасности техническими методами, однако эти технические средства могут быть обойдены, если сотрудники не будут применять меры по противодействию социальным инженерам, а службы безопасности не будут периодически проверять бдительность персонала компании. Тем самым средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.

Осторожно, это ловушка: что такое социальная инженерия

«Привет! Я оказался в сложной ситуации. Можешь занять 5000 рублей до понедельника», — получали такое сообщение в соцсетях от «друзей»? Значит вы уже сталкивались с социальной инженерией. Киберпреступники всё чаще используют такие методы для кражи ценных данных (в том числе и ваши финансы), ведь человеческий фактор по-прежнему остаётся слабым звеном в любой системе защиты.

Согласно статистике, количество атак с использованием социальной инженерии в 2020 году выросло на 147%. Рассказываем вам, какими бывают такие приёмы и как обезопасить себя.

Что такое социальная инженерия и как она появилась?

Социальная инженерия (social engineering) или «атака на человека» — это совокупность психологических и социологических приёмов, методов и технологий, которые позволяют получить конфиденциальную информацию.

Кибермошенников, которые используют эти приёмы на практике, называют социальными инженерами. Пытаясь найти доступ к системе или ценным данным, они используют самое уязвимое звено — человека. Самый простой пример — телефонный звонок, где злоумышленник выдаёт себя за кого-то другого, пытаясь узнать у абонента конфиденциальную информацию, играя на чувствах человека, обманывая или шантажируя его. К сожалению, многие люди продолжают клеватьна такие удочки и доверчиво рассказывают социальным хакерам всё, что им нужно. А в арсенале мошенников немало техник и приёмов. О них мы расскажем чуть позже.

Сейчас социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка.

Люди использовали социальную инженерию с древних времён. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных ораторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и работали на благо своего государства.

Спустя много лет, к началу 1970-х годов стали появляться телефонные хулиганы, нарушавшие покой граждан просто ради шутки. Но кто-то сообразил, что так можно достаточно легко получать важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.

Когда же появились компьютеры, большинство инженеров сменило профиль, став социальными хакерами, а понятия «социальная инженерия» и «социальные хакеры» стали синонимичны.

Яркие примеры социальной инженерии

Иллюстрацию того, на что способен умелый социальный инженер можно найти в кинематографе. Возможно, вы смотрели фильм «Поймай меня, если сможешь», основанный на реальных событиях — на истории легендарного мошенника Фрэнка Уильяма Абигнейла-младшего. За пять лет преступной деятельности его фальшивые чеки на общую сумму 2,5 миллионов долларов оказались в обращении 26 стран мира. Скрываясь от уголовного преследования, Абигнейл проявил удивительные способности в перевоплощении, выдавая себя за пилота авиалиний, профессора социологии, врача и адвоката.

Иногда достаточно просто попросить. Пример — кража у компании The Ubiquiti Networks 40 миллионов долларов в 2015 году. Никто не взламывал операционные системы и не крал данные — правила безопасности нарушили сами сотрудники. Мошенники прислали электронное письмо от имени топ-менеджера компании и попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт.

В 2007 году одна из самых дорогих систем безопасности в мире была взломана — без насилия, без оружия, без электронных устройств. Злоумышленник просто забрал из бельгийского банка ABN AMRO алмазы на 28 миллионов долларов благодаря своему обаянию. Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка ещё за год до инцидента. Он выдавал себя за бизнесмена, делал подарки, короче говоря — налаживал коммуникацию. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оценённых в 120 000 каратов.

А слышали как Виктор Люстиг не просто заполнил США фальшивыми купюрами и оставил «в дураках» Аль-Капоне, а ещё продал достояние Парижа — Эйфелеву башню? Дважды, кстати ;). Всё это стало возможным с помощью социальной инженерии.

Всё эти реальные примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке. Играя на личных качествах человека или отсутствие профессиональных (недостаток знаний, игнорирование инструкций и так далее), киберпреступники буквально «взламывают» человека.

Самые популярные методы социальной инженерии

Атака на человека может производиться по многим сценариям, но существует несколько наиболее распространённых техник работы злоумышленников.

Фишинг

Чувство, на котором играют: невнимательность

Метод сбора пользовательских данных для авторизации — обычно это массовые рассылки спама по электронной почте. В классическом сценарии на почту жертвы приходит поддельное письмо от какой-то известной организации с просьбой перейти по ссылке и авторизоваться. Чтобы вызвать больше доверия, мошенники придумывают серьёзные причины для перехода по ссылке: например, просят жертву обновить пароль или ввести какую-то информацию (ФИО, номер телефона, банковской карты и даже CVV-код!).

И вроде бы, человек всё делает так, как сказано в письме но… он попался! Преступники продумали каждый его шаг, именно поэтому им удаётся заставлять людей делать то, что они хотят.

Подробнее о том, как распознать сайт-подделку и защититься от фишинга можете прочитать в этом посте.

Троян

Чувство, на котором играют: жадность

Вирус не зря получил своё название по принципу работы троянского коня из древнегреческого мифа. Только приманкой здесь становится email-сообщение, которое обещает быструю прибыль, выигрыш или другие «золотые горы» — но в результате человек получает вирус, с помощью которого злоумышленники крадут его данные. Почему этот вид кражи данных называют социальной инженерией? Потому что создатели вируса хорошо знают, как замаскировать вредоносную программу, чтобы вы наверняка кликнули по нужной ссылке,скачали и запустили файл.

Кви про кво

Чувство, на котором играют: доверчивость

Или «услуга за услугу», от латинского «quid pro quo». Используя этот метод, злоумышленник представляется сотрудником службы технической поддержки и предлагает исправить возникшие неполадки в системе, хотя на самом деле проблем в работе ПО не возникало. Жертва верит в наличие неисправностей и, выполняя указания хакера, лично передаёт ему доступ к важной информации.

Претекстинг

Чувство, на котором играют: доверчивость

Ещё один приём, к которому прибегают киберпреступники, называется претекстинг (действие, отработанное по заранее составленному сценарию). Чтобы завладеть информацией, преступник выдаёт себя за известное вам лицо, которому якобы необходима ваша информация для выполнения важной задачи.

Социальные инженеры представляют сотрудниками банков, кредитных сервисов, техподдержки или вашим другом, членом семьи — человеком, которому вы по умолчанию доверяете. Для большей достоверности они сообщают потенциальной жертве какую-либо информацию о ней: имя, номер банковского счёта, реальную проблему, с которой она обращалась в эту службу ранее. Общеизвестный пример — чёрные «call-центры», когда заключённые под видом сотрудников крупных банков звонят гражданам и обманом заставляют перевести деньги. Самый яркий случай произошёл в «Матросской Тишине», где мошенники обманом получили 7 миллионов рублей.

Обратная социальная инженерия

Чувство, на котором играют: доверчивость, невнимательность

Методика направлена на то, чтобы жертва сама обратилась к социальному инженеру и выдала ему необходимые сведения. Это может достигаться несколькими путями:

Внедрение особого ПО

Поначалу программа или система работает исправно, но потом происходит сбой, требующий вмешательства специалиста. Ситуация подстроена таким образом, чтобы тем специалистом, к которому обратятся за помощью, оказался социальный хакер. Налаживая работу ПО, мошенник производит необходимые для взлома манипуляции. А когда взлом обнаруживается, социальный инженер остаётся вне подозрения (он ведь наоборот помогал вам).

Реклама

Злоумышленники могут рекламировать свои услуги как компьютерных мастеров или других специалистов. Жертва обращается к взломщику сама, а преступник не только работает технически, но и выуживает информацию через общение со своим клиентом.

Как защититься?

Если вы не хотите стать очередной жертвой социальных инженеров, рекомендуем соблюдать следующие правила защиты:

  • Сохраняйте скептицизм и бдительность. Всегда обращайте внимание на отправителя писем и адрес сайта, где собираетесь ввести какие-то личные данные. Если это почта на домене крупной организации, удостоверьтесь, что домен именно такой и в нём нет опечаток. Если есть сомнения — свяжитесь с техподдержкой или представителем организации по официальным каналам.
  • Не работайте с важной информацией на глазах у посторонних людей. Мошенники могут использовать так называемый плечевой серфинг — вид социальной инженерии, когда кража информации происходит через плечо жертвы — подглядыванием.
  • Не переходите на подозрительные сайты и не скачивайте сомнительные файлы, ведь один из самых лучших помощников социальной инженерии — любопытство.
  • Не используйте один и тот же пароль для доступа к внешним и корпоративным (рабочим) ресурсам.
  • Установите антивирус — во всех крупных антивирусах есть встроенная проверка на вредоносные ресурсы.
  • Ознакомьтесь с политикой конфиденциальности вашей компании. Все сотрудники должны быть проинструктированы о том, как вести себя с посетителями и что делать при обнаружении незаконного проникновения.
  • И читайте наши статьи по «Безопасности», где ведущие специалисты REG.RU деляться с вами полезными советами.

Надеемся, что наш пост поможет вам защитить себя от мошенников. Мы всегда готовы поделиться полезным опытом!

И подписывайтесь на рассылку нашего блога — впереди много полезных статей!

Похожие публикации:
  1. Moonitor nft что такое
  2. Как купить облигации в сбербанк инвестор
  3. Как пользоваться биткоин кошельком
  4. Почему не работают банкоматы сбербанка

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *