Социальная инженерия

«Привет! Мне срочно нужны деньги, можешь скинуть на карту? Отдам через пару дней» — кто из нас не получал такие сообщения со знакомых аккаунтов? Впоследствии оказывается, что страница друга взломана, а сообщение написал мошенник, который хотел воспользоваться доверием адресата. Многие из нас сталкивались с подобными ситуациями, но далеко не все знакомы с термином, который лежит в основе большинства хакерских атак. Социальная инженерия — это совокупность приемов и методов, которые применяются с целью получения конфиденциальных данных и денежных средств. 

Социальная инженерия в ее общепринятом понимании появилась много лет назад: злоумышленники быстро поняли, что для получения необходимых сведений достаточно обмануть человека, выдать себя за кого-то другого, воспользоваться страхами или комплексами собеседника. В прошлом веке подобными манипуляциями занимались телефонные хулиганы, а с появлением компьютеров социальная инженерия полностью перешла в онлайн-режим.

Количество атак, совершенных социальными хакерами, растет с каждым годом. Чтобы обезопасить себя от психологических и социологических приемов, необходимо понять, как работают схемы злоумышленников. Эксперты «Портмоне» расскажут об основных типах социальной инженерии и методах защиты от них.

Методы социальной инженерии

Атака на неискушенного интернет-пользователя может идти по множеству разных сценариев. Злоумышленники используют такие человеческие чувства как невнимательность, любопытство, жадность и доверчивость, «играют» на качествах характера собеседника или недостатке профессиональных знаний. Расскажем о самых распространенных видах социальной инженерии.

Фишинг

Один из основных методов социальной инженерии — фишинг — заключается в создании массовой интернет-рассылки якобы от имени известной организации. В классической схеме фишинга пользователь получает email с «обоснованной» просьбой пройти по ссылке на подставной сайт с целью авторизации. В письме может содержаться просьба изменить пароль или сообщить данные банковской карты. Жертва мошенничества не понимает, что попадает на фишинговый ресурс, и предоставляет запрашиваемую информацию. 

Троян

Эта техника заключается в проникновении вредоносной программы в компьютер жертвы. Суть заключается в следующем: на почту приходит письмо с предложением получить дополнительный доход, выигрыш, компромат на коллегу, обновление антивируса или другую «приманку». Скачивая программу, пользователь заражает свое устройство вирусом, который способен собирать или изменять имеющуюся информацию. Файл тщательно маскируется, поэтому распознать подделку удается далеко не каждому: именно поэтому «троянского коня» относят к методам социальной инженерии.

Кви про кво

Свое название этот метод получил от латинского словосочетания «quid pro quo», что в переводе означает «услуга за услугу». Алгоритм действий преступника следующий: он звонит пользователю, представляется сотрудником технической поддержки и сообщает о сбоях в работе программного обеспечения. Естественно, никаких неполадок нет, но доверчивый человек пытается помочь и выполняет указания злоумышленника, тем самым предоставляя доступ к важной информации.

Претекстинг

Еще один прием социальной инженерии. Претекстинг — это действие, отработанное по заранее составленному алгоритму. Чтобы получить нужные данные, социальный хакер выдает себя за лицо, известное потенциальной жертве.

Злоумышленники звонят гражданам и представляются сотрудниками кредитно-финансовых организаций, колл-центров или технической поддержки. Чтобы вызвать доверие, мошенники сообщают собеседнику информацию о нем (например, фамилию, должность, дату рождения) или проектах, с которыми он работает. Нередки случаи, когда хакер представляется знакомым или членом семьи и просит быстро перевести средства на указанный счет. 

Обратная социальная инженерия  

Этот вид атаки направлен на создание ситуации, при которой жертва самостоятельно обращается к мошеннику. Обычно преступники добиваются своих целей двумя путями: рекламируя собственные «услуги» или устанавливая вредоносное ПО.

Внедрение особого ПО

Схема киберпреступников направлена на то, чтобы пользователь обратился за решением проблемы именно к ним. Изначально установленная программа работает «как часы», но со временем возникают неполадки. Выполняя указанные мошенниками действия, человек дает доступ к своим данным. А когда обнаруживается утечка, преступник остается вне подозрений, так как, по мнению жертвы, он просто оказывал помощь и выполнял свою работу.

Еще один пример применения методов социальной инженерии — на устройстве могут появиться диалоговые окна с уведомлением о сбоях или необходимости обновлений. Не подозревая об обмане, пользователь проходит по ссылке в диалоговом окне или скачивает «новую версию» программы, тем самым устанавливая вредоносный файл на свой компьютер. 

Реклама

Зачастую в поисках мастера мы полагаемся на собственную интуицию и испытываем сложности в оценке работы технического специалиста. Этим пользуются преступники: рекламируя услуги, они создают ситуацию, когда потенциальная жертва вынуждена сама к ним обратиться. Под видом ремонтных работ или восстановления Windows мошенник может установить «вирусный» файл или получить доступ к конфиденциальной информации. Если хакер имеет задатки психолога, он может с легкостью выудить необходимые данные в процессе коммуникации.

Основные признаки атаки при помощи социальной инженерии

Вы спокойно работаете за компьютером, и вдруг на почту «прилетает» письмо с сообщением от сотрудников якобы известной вам компании. Как понять, что к вам применяются приемы социальной инженерии и не дать ни одного шанса злоумышленникам? Обратите внимание на такие нюансы:

1. Орфографические или пунктуационные ошибки, слишком официальная стилистика изложения, отсутствие логики и структуры письма должны вас насторожить. Стремясь получить быстрые результаты, мошенники не всегда уделяют внимание грамотности.
2. Адрес отправителя с неверными или пропущенными символами, а также своеобразная «абракадабра» — маркер, по которому можно вычислить мошенника.
3. Письмо требует безотлагательного ответа, а при его прочтении возникает чувство срочности. Времени на раздумья не остается: совершить целевое действие нужно немедленно, и именно на это рассчитывает преступник.
4. Запрос личных данных и конфиденциальной информации. Помните, что авторитетные компании никогда не просят отправить им пароли или другие личные данные по электронной почте или в мессенджерах. Если же это произошло — свяжитесь с менеджерами, используя контакты, размещенные на официальном сайте организации.
5. Вам сообщают о головокружительном выигрыше или огромном наследстве? Рекомендуем относиться к подобным месседжам скептически и перепроверять информацию даже в том случае, если она кажется правдивой.

Как защититься от атаки

• Обращайте внимание на адрес отправителя письма и сайт, на котором собираетесь оставить личные данные: советуем проверить SSL-сертификат, доменное имя (в нем не должно быть замены букв или пропусков символов), а также контактные телефоны и реквизиты компании.
• Не работайте с важными данными в присутствии незнакомцев. Мошенники могут воспользоваться этой ситуацией, чтобы подсмотреть пароли или другие важные сведения.
• Любопытство — чувство, которое подталкивает нас открыть интересный файл, забыв о безопасности. Будьте бдительны: не переходите на сомнительные ресурсы и не скачивайте неизвестные файлы.
• Используйте разные пароли для доступа к личной и корпоративной почте, соцсетям и банковским приложениям.
• Антивирус оперативно сигнализирует о наличии угрозы, «битых» файлов, спама и нежелательных программ. Такое приобретение точно окупится и сбережет не только ваши данные, но и массу нервных клеток.

Социальная инженерия — явление, которому можно противостоять, если придерживаться нехитрых правил и сохранять бдительность. Если же вы беспокоитесь о сохранности конфиденциальной информации во время совершения онлайн-платежей, отличным решением станет выбор надежного сервиса. Portmone — компания, которая прошла аудит и получила сертификат о соответствии международным стандартам PCI DSS. Мы используем технологию токенизации для защиты онлайн-транзакций и гарантируем полную безопасность денежных средств и данных наших клиентов.