Top.Mail.Ru

Виды социальной инженерии

виды социальной инженерии

В художественных фильмах нам показывают крутых хакеров, которые ищут бэкдоры, взламывают программы, пробираются в дата-центры или крадут компьютеры пользователей.

В реальности такие авантюры проводятся крайне редко.

Куда чаще конфиденциальные данные утекают по вине самих пользователей.


Из-за своей доверчивости или сердобольности люди не только передают важные данные, но и реальные деньги.

Такой способ мошенничества работает благодаря социальной инженерии.


ЧТО ТАКОЕ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ И КАК ОНА ПОЯВИЛАСЬ?

По данным «Positive Technologies», 93% атак на частные лица и 43% на организации проводятся с использованием социальной инженерии.


Это неудивительно, ведь люди в угоду властям умышлено обобщены социальными сетями, где всё подробно рассказывают о своей жизни, совершают покупки, «рекламируют» свой бизнес, что значительно упрощает задачу злоумышленникам.

Не нужно быть хакером, чтобы втереться в доверие к человеку и воспользоваться им в своих целях.


Социальная инженерия — это метод психологического манипулирования людьми с целью совершения определенных действий или разглашения конфиденциальной информации.


Такой метод может использоваться и в рекламе, и при обычном общении между людьми.

Но чаще всего его используют именно для кражи данных и денег, поэтому этот термин в основном ассоциируется с киберпреступлениями.


Проследить развитие этого метода сложно.

Если копать глубоко и рассматривать social engineering в широком смысле (как метод психологического воздействия), то любые выдающиеся ораторы ― социальные инженеры.

Здесь же вспоминаются древнегреческие софисты, которые могли ввести в заблуждение даже образованных людей.


Действительно, многие века социальная инженерия не была синонимом обмана, скорее, это дар убеждения.


Использовать социальную инженерию в мошеннических целях стали к моменту, когда телефоны появились в каждом доме. Сначала начали орудовать хулиганы, которые звонили во все дома ради забавы, а позже появилась идея узнавать важные данные. Чем больше появлялось технологий, тем больше злодейских схем использовали мошенники.

А интернет, система банковских карт и другие технологии, в том числе подмена голоса, сделали заработок на мошенничестве ещё проще.


РАСПРОСТРАНЕННЫЕ МЕТОДЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ.

Социальная инженерия — это подход, поэтому в теории он может применяться в десятках мошеннических схем, но мы сделаем акцент на кибермошенничестве, так как именно в нём социальная инженерия оказалась наиболее эффективной.


Претекстинг.

В интернете о вас знают всё!

Начнем с претекстинга, так как этот метод часто работает в паре с другими приемами.

Претекстинг — атака, при которой злоумышленник представляется другим человеком и за счёт информированности о пользователе убеждает его, что он действительно представитель конкретной компании.

Для этой атаки нужна подготовка. Например, злоумышленнику может понадобиться день рождения, ИНН, номер паспорта, номер счёта.


Фишинг.

Ваша невнимательность может стоить вам денег.

Фишинг: что это такое простыми словами? Вы часто обращаете внимание на URL знакомого сайта?

Если ответ «нет», вы рискуете попасть на крючок сайта-клона и оставить там свои персональные данные.

Самое ужасное, что вы можете не заметить утечки. Обман вскроется только в момент кражи денег.


Способы попасть на фишинговый сайт:

- по ссылке из электронного письма,

- по ссылке из SMS,

- из социальных сетей и др.


Подробнее, как это работает.

Пользователю приходит email (этот способ фишинга распространен больше всего), где есть эффект срочности: заканчивается дата регистрации домена, скидка 50% в течение 2 часов, необходимо связаться с банком, чтобы на вас не взяли кредит и другие уловки.

Перейдя по ссылке, пользователь попадает на знакомую по внешнему виду страницу.

Здесь его могут попросить ввести логин и пароль от аккаунта, данные карты, включая заветный CVС-код.

Вот невнимательный человек и попался. Поэтому. Вводите адрес сайта вручную!


Задача социального инженера — убедить человека, что перед ним сообщение от надежного отправителя и нужно обязательно перейти по ссылке как можно быстрее.


Есть ещё две разновидности фишинга: вишинг и смишинг.


Вишинг (vishing – voice + phishing) — голосовой фишинг, или телефонное мошенничество.

Это всем вам известные «сотрудники банка» или «родственники», которые попали в беду.


Смишинг (smishing – sms + phishing) — мошенничество через SMS.


Фарминг.

Почти как фишинг.

Фарминг — скрытая переадресация на поддельные сайты. Если при фишинге пользователь попадает на сайт-клон через полученную ссылку, то фарминг действует куда глубже. На персональный компьютер жертвы устанавливается вредоносная программа. Она меняет информацию об IP-адресах, по которым браузер находит сайты.

То есть, когда вы будете переходить на определенный веб-ресурс, система отправит вас на поддельный сайт.

Заметить такое перенаправление вдвойне сложнее, чем сомнительную ссылку.


Троян.

Все мы хотим лёгких денег.

Название этого вида мошенничества связано с историей о троянском коне. Греческие воины оставили у ворот города Троя деревянного коня, якобы в дар Богине Афине Илионской. На самом деле внутри коня находились воины, которые изнутри открыли ворота города и помогли ворваться войскам. Так пала Троя.


Троян — это вирус, который прячется внутри приманки. Как только пользователь хватает наживку, вирус заражает устройство.


Приманкой может быть email-сообщение, SMS, рекламный баннер с выигрышем, предложением о небывалых заработках, весёлая и бесплатная игра или полезное ПО. Как только человек загружает себе программу или переходит по зараженной ссылке, вирус нападает на устройство и делает всё, что ему нужно.


Задача социальной инженерии — грамотно замаскировать вредоносную программу.


Кви про кво.

Дружелюбный человек не может быть плохим.

Люди, которые хотят нам помочь, кажутся дружелюбными, и мы больше им доверяем.

Эта особенность мышления порой играет с нами злую шутку.


Этот метод называется «услуга за услугу», или на латинском это звучит как «Quid pro quo».

Злоумышленник представляется специалистом технической поддержки, например, того же банка или ПО, которым вы пользуетесь. Злоумышленник предлагает исправить возникшие неполадки или хочет проверить исправность вещи.

Мошенник якобы находит неисправность и вот тогда начинает просить пользователя выполнять различные указания.

В процессе словесной манипуляции человек сам сообщает о себе важную информацию или открывает хакеру доступ к своему устройству.


Обратная социальная инженерия.

Смысл этого метода ― заставить жертву саму обратиться к мошеннику и сообщить все персональные данные.

Чтобы создать условия для такого обмана нужно:


Внедрить хитрое ПО. Какое-то время оно будет работать исправно, но это продлится недолго.

При сбое программы жертва обратится в службу поддержки, и социальный инженер (злоумышленник) похитит ваши данные. Вы не заметите подвоха, ведь не может же вас обманывать сотрудник техподдержки.


Реклама компьютерных услуг.

Весь процесс выглядит, как обычный заказ услуги от стороннего специалиста с улицы: починить компьютер, настроить, сменить термопасту, обеспылить, установить необходимую вам программу и другие профилактические работы на вашем домашнем компьютере. Жертва сама обратится к злоумышленнику, а тот в свою очередь загрузит все нужные ему вирусы и получит необходимые данные.


Ловля «на живца».

Не трогайте чужие флешки!

Это вид мошенничества встречается редко, но предупрежден — значит вооружён.

Мошенник оставляет приманку ― обычно флешку.

На ней записан вирус, или она запрограммирована повредить само устройство коротким замыканием.

Жертва, ведомая любопытством, вставляет её в компьютер. Вуаля! Ваше устройство во власти злоумышленника.


Подобную авантюру провернул главный герой сериала «Киберсталкер» в 1 сезоне 5 серии (примерно на 11:50).


КАК НЕ ПОДДАТЬСЯ НА УЛОВКИ СОЦИАЛЬНЫХ ИНЖЕНЕРОВ?

Есть ли защита от социальной инженерии?

Разуметься! Следуйте правилам.


Не торопитесь и не принимайте эмоциональных решений!

Это самое главное правило, которое убережёт вас от потери денег и данных.

Социальные инженеры часто создают иллюзию срочности, чтобы не дать вам время подумать и заподозрить неладное. Неважно, звонят ли вам или вы получили подозрительное письмо на почту, сделайте паузу и подумайте:


С какого номера вам позвонили?

Знаком ли вам номер, с каких номеров чаще всего звонит компания или банк. Также для борьбы с мошенниками некоторые организации, например Сбер и Альфа-банк, создали свои определители номеров.

Установите их, и у подозрительных звонящих появится соответствующая отметка.


Как много звонивший о вас знает?

Банк не будет спрашивать у вас номер карты, вид карты и сколько денег на вашем счету, так как это всё есть у него перед глазами в базе данных. Мошенник же, наоборот, будет стараться всеми способами выудить у вас заветные цифры.


С какого адреса вам пришло письмо?

Посмотрите, с какого адреса приходили письма раньше.

Не доверяйте новым адресам, от которых не ждёте сообщений. У организаций чаще всего есть лого и корпоративный электронный адрес на домене, что отличает их от остальных писем.

Наши сообщения приходят с адресов, которые заканчиваются на @sweb.ru, например, opinion@sweb.ru.

Если вы видите opinion@yandex.ru или info@sweb.site, это письмо от мошенников.

Пожалуйтесь на отправителя и отправьте письмо в спам.

Пользователи Mail.ru также могут увидеть (или не увидеть) значок надежного отправителя.


Какой дизайн сообщения и нет ли ошибок?

Компании часто делают свои письма с красивым дизайном.

Мошенники стараются его копировать, но торопятся и допускают ошибки или копируют дизайн только примерно.

Если сомневаетесь, вы всегда можете обратиться в техническую поддержку или на горячую линию организации и уточнить информацию.


Подумайте, насколько ситуация вообще правдоподобна!

Бывали курьёзные ситуации, когда у пожилых бабушек, у которых есть только дочери, просили деньги, чтобы спасти их сына. Из-за волнения бабушки переводили деньги и только потом понимали, что эта ситуация просто невозможна.

Если деньги просит якобы друг, попросите его позвонить на мобильный.


Не скачивайте сомнительные программы и не переходите по подозрительным ссылкам!

Соблазн перейти по ссылке в сообщении слишком велик, но ради безопасности нужно побороть любопытство.

Коварная ссылка может скрывать в себе как адрес фишингового сайта, так и запускать загрузку вредоносного ПО, которое потом будет трудно найти и удалить.


Не используйте одинаковые пароли на разных сервисах!

Украсть один пароль не так уж сложно:

- его можно найти через личные переписки в мессенджерах;

- узнать список паролей в менеджере паролей браузера с помощью XSS-атаки;

- создать фишинговый сайт и заставить пользователя ввести данные для входа в аккаунт и множество других способов.

Если везде одинаковые пароли или есть только небольшие отличия, вы рискуете за одну атаку хакера потерять доступы к десяткам сервисов.


Мы понимаем, что в современном мире, где личный кабинет нужен даже на сайте продавца постельного белья, придумывать разные пароли очень трудно.

И тем не менее. Не храните пароли в специальном менеджере паролей!

Не храните пароли на компьютере!

По старому. Дома, в бумажной тетрадке.

Обязательно разделяйте защитные комбинации для личных аккаунтов и рабочих (корпоративных).


Установите платный антивирус.

Антивирус ― лучший друг современного пользователя интернета.

У многих антивирусов есть проверка вредоносных сайтов и скачиваемых программ.

Если вы всё-таки не сможете справиться со своим любопытством, антивирус снизит риск взлома.


Требуйте человека представиться!

Сотрудники государственных органов власти обязаны называть звание, имя и фамилию, в административном здании даже у курьера потребуют паспорт. Поступайте так же.


Если звонящий, а тем более пришедший в ваш дом человек, не представился, расспросите его, прежде чем выслушать: из какой он компании, его ФИО и цель разговора.

Даже если сотрудник забыл представиться, он покажет документы, быстро и без проблем ответит на эти вопросы, а вот мошенник, скорее всего, затушуется и решит вообще не продолжать разговор.

Прежде чем выслушивать сотрудника организации, сами позвоните в эту организацию и наведите справки о цели посещения и самом сотруднике.

Сомневаетесь? Сразу откажитесь от общения! Это ваше законное право.


aastre ВАЖНО!

- Используйте в паролях смешанные символы и цифры.

- Никогда не сохраняйте пароли в менеджерах паролей.

- Чаще меняйте пароли.

- Для важных учетных записей используйте двухфакторную аутентификацию.

Если пароль всё же утечет в руки злоумышленников, они не смогут пройти второй этап аутентификации, однако пароль всё-таки придется поменять.


- Всегда вводите пароль с отключённым звуком.

Отключайте звук на любом устройстве, а после вводите пароль.

- После ввода пароля и завершения работы с сайтами очищайте кэш/cache браузера (куки/cookie, за всё время).


Будьте осторожны со своими данными и не доверяйте незнакомым сообщениям и звонкам!


______________________________

Публикация предоставлена нашим партнёром - ООО «СпейсВэб». Россия. Санкт-Петербург.

ВЗРИЛИЩЕ
Актуальные
Будь другом:
Уважаемый посетитель!

Наш сайт использует файлы Cookies.

С использованием сайтом данных Cookies ознакомьтесь, перейдя по ссылке.

Пользуясь сайтом asreda.com, Вы принимаете пункт 1.1.6.Политики конфиденциальности.

Да
Нет