Что такое социальная инженерия? Определение и предотвращение общих угроз

Защита конфиденциальных данных в цифровом мире зависит от умных технологий, которые позволяют использовать доступ в Интернет без каких-либо забот. Тем не менее, наблюдается постоянный рост числа успешных кибератак. Доказано, что 90% всех инцидентов безопасности связаны с человеческими ошибками. В большинстве случаев киберпреступники используют социальную инженерию (social engineering) для получения секретной информации от ничего не подозревающих пользователей.
BLOG-min

Определение социальной инженерии

Social engineering – это термин, используемый для широкого спектра вредоносных действий, совершаемых с помощью обмана людей. Успех методов социальной инженерии зависит от способности злоумышленников манипулировать человеческими чувствами: страхом, любопытством, симпатией, тщеславием, жадностью.

Совершение атаки происходит постепенно. Преступник сначала изучает предполагаемую жертву, собирает необходимые справочные данные. Затем переходит к завоеванию доверия, вынуждая жертву неосознанно нарушить правила безопасности: раскрыть конфиденциальную информацию, предоставить доступ к компьютерным сетям или хранилищам данных.

Что делает социальную инженерию особенно опасной, так это то, что она использует человеческие ошибки, а не уязвимости ПО. Ошибки, допущенные самими пользователями, гораздо менее предсказуемы, чем угрозы вредоносных программ.

Техники социальной инженерии

Social engineering-атаки имеют разные формы и могут быть выполнены везде, где задействовано человеческое взаимодействие. Ниже приведены семь наиболее распространенных техник.

Baiting (приманка, «дорожное яблоко»). В основе метода лежит принцип троянского коня. Мошенники подбрасывают зараженное вредоносным ПО устройство на видное место (флэш-накопитель USB, компакт-диск). Атака рассчитана на то, что человек, нашедший устройство, загрузит его на свой компьютер и по незнанию установит ПО, которое приведет к краже личных данных или нанесет вред работе компьютерной системы.

Scareware (ложный ативирус). Техника заключается в обмане пользователей о ложном заражении их компьютерных систем. Такой обман побуждает жертв устанавливать программное обеспечение, которое не имеет реальной выгоды (кроме как для преступника) или само является вирусным.

Распространенным примером scareware являются законно выглядящие всплывающие баннеры с текстом о заражении вредоносными программами-шпионами. Одновременно с предупреждающими сообщениями предлагается установить ложный антивирус, уже содержащий вредоносное ПО либо направляющий на вредоносный сайт.

Кроме использования баннеров, Scareware может распространяться через спам, который выдает поддельные предупреждения или предлагает пользователям покупать бесполезные/вредные услуги.

Phishing (фишинг) заключается в распространении мошеннических сообщений, вызывающих чувства срочности, любопытства, страха у человека. Такие сообщения маскируются как законные, полученные из доверенного источника. В случае фишинг-атаки получатели обманывают себя, устанавливая вредоносное ПО, или обмениваясь личной, финансовой, деловой информацией.

Электронная почта является наиболее популярным способом связи для осуществления фишинга. Также могут использоваться приложения для чата, соцсети, телефонные звонки, поддельные веб-сайты. Некоторые из наихудших фишинговых атак создают благотворительные призывы после стихийных бедствий или трагедий, рассчитывая на доброжелательность людей и призывая их оказать помощь путем ввода личной или платежной информации.

Pretexting (претекстинг) состоит в получении злоумышленниками конфиденциальной информации с помощью хитроумной лжи. Обман готовится заранее и обычно начинается с установления доверия с жертвой. При этом мошенники могут выдавать себя за сотрудников полиции, работников банковских и налоговых органов, за коллег по работе.

С помощью претекстинга собирается такая информация, как номера соцстрахования, личные адреса, номера телефонов, банковские данные.

Quid pro quo (квид про кво) происходит, когда злоумышленники запрашивают у человека личную информацию в обмен на что-то желаемое или на какой-либо вид компенсации. Очень часто такой вид атак распространяется через электронные письма, в которых требуется указать учетные данные для получения наследства, подарка, приза.

Иногда мошенники притворяются специалистами по ИТ-поддержке. Они убеждают какого-либо человека в том, что на его компьютере существуют проблемы, и решить эти проблемы можно только с помощью установки новейшего ПО. Мошенники вынуждают жертву предоставить полный доступ к своему устройству, что позволяет установить на нем вредоносное программное обеспечение или украсть оттуда секретные ланные.

Spear phishing (целевой фищинг) – это целенаправленная атака, ориентированная на конкретного человека или организацию. Успех осуществления целевого фищинга зависит от того, насколько хорошо мошенник изучит личную информацию о своей жертве, чтобы завоевать ее доверие.

Чаще всего источниками такой информации становятся каналы соцсетей. Здесь можно найти практически любые данные о будущей жертве: адрес электронной почты, любимые бренды, увлечения, друзей и т. д. Как только исследование завершено, преступник на правах хорошего знакомого может отправить жертве электронное письмо с реалистичным предлогом и попытаться получить конфиденциальную информацию.

Vishing (голосовой фишинг) является преступной практикой использования социальной инженерии по телефонной сети для получения доступа к личной информации человека с целью финансового вознаграждения. Этот метод также используется злоумышленниками для сбора более подробных данных о целевой организации.Фишинг по телефону использует систему мошеннического интерактивного голосового ответа (IVR) для воссоздания законно звучащего сообщения банка или системы IVR другого учреждения. Жертва получает запрос на звонок в «банк» по номеру (чаще всего бесплатному), предоставленному для «проверки» информации. Типичная система «vishing» будет постоянно отклонять входы в систему, предлагая жертве несколько раз вводить PIN-коды или пароли, чтобы раскрыть несколько разных паролей.
BLOG 1-min

Предотвращение угроз Social engineering

Социальные инженеры манипулируют человеческими чувствами, чтобы заманивать своих жертв в ловушки. Только бдительность может помочь защититься от большинства социальных атак, происходящих в цифровой сфере. Вот несколько советов, которые позволят избежать неприятных последствий направленных действий злоумышленников.

  • Проверьте личность того, с кем общаетесь. Особенно это касается электронных писем и телефонных звонков, которых вы не ожидали. Если не знаете отправителя, не нужно отвечать на сообщения электронной почты. Если же человек известен, позвоните ему. Помните, что адреса электронной почты могут быть подделаны, а сообщения, предположительно поступающие из надежного источника, могут быть инициированы злоумышленником.
  • Никогда не отвечайте на электронные письма с просьбой указать ваши финансовые данные. Банки и бухгалтерия никогда не попросят об этом!
  • Соблюдайте правила интернет-безопасности: используйте сложные пароли, двухфакторную аутентификацию, не проверяйте свой банковский счет с помощью общедоступного Wi-Fi.
  • Управляйте своей цифровой идентификацией: удалите свои данные с общедоступных сайтов и дважды подумайте, прежде чем публиковать что-либо в соцсетях. Все эти легкодоступные данные могут помочь собрать личную информацию, а затем использовать ее для social engineering.
  • Позаботьтесь о своем программном обеспечении – установите надежную антивирусную программу, спам-фильтры, необходимые расширения браузера.
  • Используйте VPN. VPN не оптимизированы, чтобы блокировать социальную инженерию, но они могут помочь предотвратить атаки, помогая замаскировать вашу личность в Интернете и предотвратить возможность перехвата конфиденциальных данных.
  • Опасайтесь заманчивых предложений. Поиск Google поможет быстро определить, имеете ли вы дело с законным предложением или ловушкой.

Заключение

Социальная инженерия является серьезной угрозой для многих организаций и отдельных потребителей. Знание основ безопасного поведения является первым шагом в предотвращении атак подкованных злоумышленников, использующих все более сложные методы социальной инженерии, чтобы получить доступ к конфиденциальным данным.