Что такое социальная инженерия?

Опубликовано
Разбираемся, как распознать мошеннические схемы, вместе с «Лабораторией Касперского»

Зачастую, говоря о кибербезопасности, в профессиональной среде имеют в виду исключительно технические аспекты: правильно настроенные бэкапы, иерархия доступа к данным, регулярно обновляемое антивирусное ПО, которое или блокирует подозрительные ресурсы, или сообщает об их посещении администратору сети. И да, все это действительно важно. Однако есть еще и ахиллесова пята любых, простых или сложных технологических систем – человеческий фактор.

Бывает так, что хакеры получают доступ к критически важной для бизнеса информации только из-за того, что ответственные сотрудники не имеют нужного уровня общей компьютерной грамотности. Человек должен понимать, например, что нельзя распаковывать файлы из подозрительных писем (и отличать подозрительные, собственно), но есть еще и сиюминутные факторы: страх, стресс, давление, внешний информационный фон. Всем этим пользуются злоумышленники.

Что такое социальная инженерия

Социальная инженерия – метод получения информации, подразумевающий использование некомпетентности, непрофессионализма, небрежности, страха или жадности человека. В ходе атаки мошенник устанавливает контакт с носителем нужной информации, располагает к себе, сулит выгоду или вводит в заблуждение, пытаясь получить сведения, которые сможет использовать для шантажа, кражи денег или других активов. Социальная инженерия подразумевает как использование компьютера, так и телефона, почтовой переписки, SMS и т.д.

Основные приемы социальной инженерии

Фишинг, то есть сбор пользовательских данных для авторизации (логинов и паролей) в различных онлайн-сервисах. Фишинг популярен, о нем многие знают, но, тем не менее, почти каждый когда-нибудь попадается на эту «удочку». Потенциальным жертвам приходят письма от клонов сервисов, которыми они пользуются: платежных систем, онлайн-магазинов и т. п. Эти письма – поддельные, их задача в том, чтобы заставить пользователя перейти по ссылке или нажать кнопку, а затем оставить мошенникам авторизационные данные.

Претекстинг – психологическая манипуляция по заранее подготовленному сценарию. Сценарий реализуется во время голосового общения, в ходе которого жертва сообщает преступнику нужную ему информацию или выполняет действие, которое приведет его к желанной цели (речь, например, идет о том, что жертва сообщает данные банковской карты). Часто мошенники представляются сотрудниками банков, кредитных сервисов, техподдержки или других служб, которым человек по умолчанию доверяет.

Скам. Это когда вместо кражи данных для получения выгоды в перспективе деньги вымогают сразу, в моменте. Мошеннику достаточно убедить жертву в том, что «выигрыш», «компенсация», «социальная выплата» и т.д. – реальность. Приемы разнообразны: логотипы вымышленных (но очень похожих на настоящие) министерств и ведомств, чаты поддержки, скрупулезно оформленные страницы оплаты, отзывы «счастливчиков». Имитация «розыгрыша приза», «формирования и отправки выплат на счет». Здесь нужно отметить, что все это по большей части свойственно русскоговорящему интернету.

Плечевой серфинг. Проще говоря, подглядывание из-за спины. Так легко получить пароли и логины для входа в местах общественного пользования: кафе и ресторанах, парках и залах ожидания в аэропорту или на вокзале.

Сбор данных из открытых источников. Причем речь идет не только про соцсети, но и об информации в поисковых системах, блогах, на форумах, в профессиональных сообществах и сообществах по интересам, на сайтах с частными объявлениями, на офлайн-мероприятиях: конференциях, докладах, мастер-классах.

Еще один инструмент мошенничества – SMS-рассылки. В них обычно сообщают о выигранных автомобилях и крупных суммах, об угрозе немедленной блокировки банковской карты и попавших в беду родственниках. Человек, у которого таким способом вызвали интерес, сочувствие или страх, способен на многое, в том числе поделиться секретной информацией.

Советы «Лаборатории Касперского»: что делать, чтобы защитить себя

На первый взгляд кажется, что и вычислить злоумышленника, и избежать рисков – просто, что опасность преувеличена, однако пользователи продолжают сообщать конфиденциальные данные, например, надиктовывать на незнакомый номер CVV-код карты, едва замаячит на горизонте машина в подарок.

Следуя нескольким простым правилам, мы можем избежать потери данных и денег (а для кого-то это, возможно, значит в итоге не потерять работу):

Не доверяйте источнику информации, не проверив его. Сделать это нетрудно. Например, посмотреть на заголовок электронного письма и сравнить его с другими письмами того же отправителя. Выясните, куда ведут ссылки: поддельные гиперссылки легко выявить, просто наведя на них курсор (только не нажимайте!). Проверьте орфографию: в банках над перепиской с клиентами работают целые отделы квалифицированных специалистов. Письмо с явными ошибками, вероятно, подделка. Кроме того, у сайта обязательно должен быть https-протокол (хотя это и не является гарантией, что это не мошенники), а WHOIS домена должен показывать его большой возраст и имя владельца, которое, если мы говорим про серьезную организацию вроде банка или государственного органа, не скрывается за сервисами маскировки персональных данных.

Если звонят «из банка», то стоит самостоятельно перезванивать по официальным контактам и выяснять, что и почему происходит. Не принимайте решений во время первого контакта с якобы представителем организации, так как зачастую у мошенников есть все данные, включая транзакции и состояние счета.

Спросите себя, а это точно настолько «горящий» вопрос? Мошенники часто используют иллюзию срочности в расчете на то, что жертва не будет особо задумываться о происходящем. Всего минута размышлений может помочь вам выявить и предотвратить атаку.

Если ваш почтовый клиент недостаточно тщательно фильтрует спам или не помечает письма как подозрительные, попробуйте изменить настройки. Хорошие спам-фильтры используют разнообразную информацию для распознавания нежелательных писем. Они фильтруют почту и блокируют подозрительные письма на основании данных из вложений, по ip-адресам, содержимому сообщений и т.д.

На тех устройствах, на которых это принципиально возможно, лучше использовать специальные защитные решения. Например, Kaspersky Internet Security или Kaspersky Internet Security для Android. Кроме того, не лишним будет прибегнуть к другим специальным решениям – таким как определители номеров, которые подскажут, поступали ли на входящий номер жалобы на спам или мошенничество.

Некоторые мошенники рассчитывают на то, что вы не станете вдумываться. Попробуйте оценить, насколько реалистична ситуация. Внимательнее слушайте, что говорят, старайтесь анализировать сказанное. Например, Национальный банк не кредитует физлиц (а мошенники, не знакомые с контекстом, стараются использовать бренд «погромче»).

Социальная инженерия в это неспокойное время воспряла как никогда. У напуганных людей, бывает, нет времени подумать, сообщать ли какие-то данные или нет, а мошенники этим пользуются. Будьте бдительны.

Читайте также