Соціальна інженерія

«Привіт! Мені терміново потрібні гроші, чи можеш скинути на картку? Віддам через пару днів» — хто з нас не отримував таких повідомлень зі знайомих акаунтів? Згодом виявляється, що сторінка друга зламана, а повідомлення написав шахрай, який хотів скористатися довірою адресата. Багато хто з нас стикався з подібними ситуаціями, але далеко не всі знайомі з терміном, що є основою більшості хакерських атак. Соціальна інженерія — це сукупність засобів і методів, що застосовуються з метою отримання конфіденційних даних і грошових коштів.

Соціальна інженерія в її загальноприйнятому контексті з’явилася багато років тому: зловмисники швидко зрозуміли, що для отримання необхідних відомостей достатньо обдурити людину, видати себе за когось іншого, скористатися страхами чи комплексами співрозмовника. У минулому столітті подібними маніпуляціями займалися телефонні хулігани, а з появою комп’ютерів соціальна інженерія повністю перейшла в онлайн-режим.

Кількість атак, здійснених соціальними хакерами, зростає з кожним роком. Щоб убезпечити себе від психологічних і соціологічних нападів, необхідно зрозуміти, як працюють схеми зловмисників. Експерти «Портмоне» розказали про основні типи соціальної інженерії та методи захисту від них.

Методи соціальної інженерії

Атака на недосвідченого інтернет-користувача може йти за безліччю різних сценаріїв. Зловмисники використовують такі людські почуття як неуважність, цікавість, жадібність і довірливість, «грають» на якостях характеру співрозмовника чи нестачі професійних знань. Розповімо про найпоширеніші види соціальної інженерії.

Фішинг

Один з основних методів соціальної інженерії — фішинг — полягає у створенні масової інтернет-розсилки нібито від імені відомої організації. У класичній схемі фішингу користувач отримує email з «обґрунтованою» вимогою пройти за посиланням на підставний сайт з метою авторизації. У листі може бути прохання змінити пароль або повідомити дані банківської картки. Жертва шахрайства не розуміє, що потрапляє на фішинговий ресурс, і надає запитувану інформацію.

Троян

Ця техніка полягає у проникненні шкідливої програми в комп’ютер жертви. Суть полягає в наступному: на пошту надходить лист із пропозицією отримати додатковий дохід, виграш, компромат на колегу, оновлення антивірусу або іншу «приманку». Завантажуючи програму, користувач заражає свій пристрій вірусом, здатним збирати або змінювати наявну інформацію. Файл ретельно маскується, тому розпізнати підробку вдається не кожному: саме тому «троянського коня» вважають одним з методів соціальної інженерії.

Кві про кво

Свою назву цей метод отримав від латинського словосполучення «quid pro quo», що в перекладі означає «послуга за послугу». Алгоритм дій злочинця наступний: він дзвонить користувачеві, представляється співробітником технічної підтримки та повідомляє про збої в роботі програмного забезпечення. Звісно, ніяких неполадок немає, але довірлива людина намагається допомогти та виконує вказівки зловмисника, тим самим надаючи доступ до важливої інформації.

Претекстинг

Ще один метод соціальної інженерії. Претекстинг — це дія, відпрацьована за заздалегідь складеним алгоритмом. Щоб отримати потрібні дані, соціальний хакер видає себе за особу, відому потенційній жертві.

Зловмисники дзвонять громадянам і представляються співробітниками кредитно-фінансових організацій, кол-центрів або технічної підтримки. Щоб викликати довіру, шахраї повідомляють співрозмовнику інформацію про нього (наприклад, прізвище, посаду, дату народження) або про проєкти, з якими він працює. Іноді хакер представляється знайомим або членом сім’ї та просить швидко переказати кошти на вказаний рахунок.

Зворотна соціальна інженерія

Цей вид атаки спрямований на створення ситуації, коли жертва самостійно звертається до шахрая. Зазвичай злочинці досягають своєї мети двома шляхами: рекламуючи власні «послуги» або встановлюючи шкідливе ПЗ.

Впровадження особливого ПЗ

Схема кіберзлочинців спрямована на те, щоб користувач звернувся для розв’язання проблеми саме до них. Спочатку встановлена програма працює «як годинник», але з часом виникають неполадки. Виконуючи вказані шахраями дії, людина надає доступ до своїх даних. А коли виявляється факт витоку інформації, злочинець залишається поза підозрою, оскільки, на думку жертви, він просто надавав допомогу та виконував свою роботу.

Ще один приклад застосування методів соціальної інженерії — на пристрої можуть з’явитися діалогові вікна з повідомленням про збої або необхідність оновлення. Не підозрюючи про обман, користувач проходить за посиланням у діалоговому вікні або завантажує «нову версію» програми, тим самим встановлюючи шкідливий файл на свій комп’ютер.

Реклама

Найчастіше під час пошуків майстра ми покладаємось на власну інтуїцію та не завжди можемо об’єктивно оцінити роботу технічного спеціаліста. Цим користуються злочинці: рекламуючи послуги, вони створюють ситуацію, коли потенційна жертва змушена сама звернутися до них. Під виглядом ремонту або відновлення Windows шахрай може встановити вірусний файл або отримати доступ до конфіденційної інформації. Якщо хакер має задатки психолога, він може легко вивудити необхідні дані в процесі комунікації.

Основні ознаки атаки за допомогою соціальної інженерії

Ви спокійно працюєте за комп’ютером, аж раптом на пошту прилітає лист з повідомленням від співробітників нібито відомої вам компанії. Як зрозуміти, що на вас випробовуються методи соціальної інженерії та не дати жодного шансу зловмисникам? Зверніть увагу на такі нюанси:

  1. Орфографічні та пунктуаційні помилки, надто офіційна стилістика тексту, відсутність логіки та структури листа мають вас насторожити. Прагнучи отримати швидкі результати, шахраї не завжди приділяють увагу грамотності.
  2. Адреса відправника з невірними або пропущеними символами, а також своєрідна «абракадабра» — маркер, за яким можна розпізнати шахрая.
  3. Лист вимагає невідкладної відповіді, а після його прочитання виникає почуття терміновості. Часу на роздуми не залишається: вчинити цільову дію треба негайно, і саме на це розраховує злочинець.
  4. Запит особистих даних і конфіденційної інформації. Пам’ятайте, що авторитетні компанії ніколи не просять надіслати їм паролі або інші особисті дані електронною поштою або месенджерами. Якщо ж це сталося, зв’яжіться з менеджерами, використовуючи контакти, розміщені на офіційному сайті організації.
  5. Вам повідомляють про запаморочливий виграш або величезний спадок? Рекомендуємо ставитися до подібних меседжів скептично і перевіряти інформацію навіть у тому випадку, якщо вона здається правдивою.

Як захиститися від атаки

  • Звертайте увагу на адресу відправника листа та сайт, на якому маєте намір залишити особисті дані: радимо перевірити SSL-сертифікат, доменне ім’я (у ньому не повинно бути заміни літер або відсутності потрібних символів), а також контактні телефони та реквізити компанії.
  • Не працюйте з важливими даними в присутності незнайомців. Шахраї можуть скористатися цією ситуацією, щоб дізнатися паролі або отримати інші важливі відомості.
  • Цікавість — почуття, що іноді спонукає нас відкрити файл, забувши про безпеку. Будьте пильні: не переходьте на сумнівні ресурси та не завантажуйте невідомі програми.
  • Використовуйте різні паролі для доступу до особистої та корпоративної пошти, соцмереж і банківських додатків.
  • Антивірус оперативно сигналізує про наявність загрози, «битих» файлів, спаму та небажаних програм. Таке придбання точно окупиться і збереже не лише ваші дані, а й масу нервових клітин.

Соціальна інженерія — явище, якому можна протистояти, якщо дотримуватися нехитрих правил і зберігати пильність. Якщо ж ви турбуєтеся про збереження конфіденційної інформації під час здійснення онлайн-платежів, чудовим рішенням стане вибір надійного сервісу. Portmone — компанія, що пройшла аудит і отримала сертифікат відповідності міжнародним стандартам PCI DSS. Ми використовуємо технологію токенізації для захисту онлайн-транзакцій і гарантуємо повну безпеку грошових коштів і даних наших клієнтів.

Рекомендовані статті

Золотий призер в номінації «Кращий сервіс онлайн-платежів» в 2016-2021 роках за версією PaySpace Magazine Awards

Portmone.com - перша компанія в Україні, яка пройшла міжнародний аудит безпеки по стандарту PCI DSS і отримала відповідний сертифікат від компанії SRC