что такое социальная инженерия в информационной безопасности

Содержание

Социальная инженерия: неуловимый враг в мире кибербезопасности

u79gnuww9aoposb5ojamrghupte

Защита корпоративной информации, сетей и рабочих станций от постоянно меняющихся внешних и внутренних угроз — задача, похожая на стрельбу по движущейся мишени. А социальная инженерия превращает эту работу в практически невозможный подвиг. Деятельность, направленная на «взлом» человеческого сознания, как правило, незаметна и способна очень глубоко проникать в систему предприятия.

Что такое социальная инженерия?

В широком смысле под это понятие подпадают любые ситуации, в рамках которых преступники играют на особенностях человеческой психики и манипулируют индивидами так, чтобы они нарушили обычные процедуры и протоколы безопасности. Злоумышленники не пытаются проникнуть в корпоративную сеть через системные уязвимости. Их атаки направлены на людей. И те сами делятся конфиденциальной информацией, которая дает доступ в офисные помещения, системы или сети.

Даже если у организации лучшие системы киберзащиты, межсетевые экраны и процедуры, все равно в один прекрасный день может выясниться, что киберпреступникам удалось заполучить важные закрытые данные.

Структура атаки

Атака с использованием методов социальной инженерии всегда продумана и адаптирована под индивидуальные особенности объекта нападения, в отличие от обычных фишинговых атак с массовой случайной рассылкой электронных писем или звонками тысячам человек. На это требуется больше подготовки, но и шансы на успех повышаются в разы.

Сначала злоумышленники ищут конкретную информацию о целевой компании, ее организационной структуре и сотрудниках. Их действия могут быть направлены против работников определенных отделов или против любых людей с низким уровнем доступа в системы, через взаимодействие с которыми можно выйти на более высокие уровни. Идея состоит не в поиске слабого звена системы безопасности, а в обнаружении уязвимого человека. Играя на его страхах, жадности или любопытстве, злоумышленники вынуждают его нарушить протокол.

Для этого преступник ищет информацию в онлайн и офлайн-источниках и определяет потенциальных жертв. Интернет и социальные СМИ сильно упростили доступ к таким данным.

Так, хорошая начальная точка для непрямых действий — это схемы организаций. Социальные сети вроде LinkedIn и Facebook — это кладезь информации. Например, на LinkedIn очень легко найти список людей, работающих в том или ином подразделении компании. Далее можно понаблюдать за их поведением на Facebook, чтобы вычислить наиболее доверчивых индивидов. После этого остается раздобыть их контактную информацию (адрес электронной почты, телефонный номер).

Злоумышленники пытаются заслужить доверие жертвы или сыграть на чувствах страха и спешки, чтобы человек не успел как следует обдумать ситуацию.

Примеры сценариев атак:

Почему атаки с помощью социальной инженерии более опасны?

Подход социальной инженерии всегда комплекснее по сравнению с другими кибератаками, и потому они представляют значительную угрозу. Вот некоторые причины, делающие социальную инженерию опаснее других атак:

Меры предосторожности

Атаки с использованием методов социальной инженерии довольно изощренные, и непросто их остановить или хотя бы обнаружить. Как отмечалось ранее, системы обнаружения взломов в этом отношении могут оказаться недостаточно эффективны. Однако есть некоторые практики, полезные для предотвращения атак:

Источник

Социальная инженерия: ликбез про метод атаки, который никогда не устаревает

67622b5d09d3213849811ccf085ebb47Как показывает мировая практика успешно проведённых взломов (успешно для атакующих, разумеется), большая часть проблем связана именно с проблемами с людьми. Если быть более точным — дело в их способности выдать любую информацию и совершать совершенно дурацкие действия.

Думаю, IT-примеры вам и так прекрасно знакомы, поэтому напомню пример из книги «Психология влияния»: психологи обзванивали медсестёр в больницах, а затем представлялись врачом и отдавали распоряжение ввести смертельную дозу вещества пациенту. Сестра знала, что делает, но в 95% случаев выполняла команду (её останавливали на входе в палату ассистенты психолога). При этом врач даже не был хоть как-то авторизован. Почему сестра так делала? Просто потому, что она привыкла слушаться авторитета.

Давайте ещё раз: в примере благодаря грамотной социальной инженерии 95% больниц оказались критически уязвимы.

Метод не устаревает

Системы постоянно меняются. Софт и железо усложняются. Чтобы более-менее уверенно владеть темой как в защите, так и в атаке, нужно постоянно следить за всеми новинками, первым смотреть новые вещи, очень хорошо понимать весь IT-бекграунд вопроса. Это путь классического хакера, того самого, который овеян ореолом романтики. В современном мире, скорее, хакеры имеют в группе нескольких узких специалистов, подготовленных по конкретным технологиями цели, но основной задачей всегда остаётся проникновение внутрь периметра защиты.

Это означает, что рано или поздно вам, скорее всего, потребуется социнжиниринг. И обычно — рано, потому что сначала идёт сбор информации и подготовка, а уже поверх накладываются технологии и глубокое знание IT-систем.

Если в вашей компании есть отдел безопасности, скорее всего, там есть параноики, которые понимают, сколько ценных данных может быть у сотрудников, плюс циники, которые совершенно не верят в людей. Эта команда разграничивает права, пишет инструкции и отрабатывает критические ситуации на практике. В целом это позволяет привить некоторый иммунитет, но всё равно не обеспечивает достойного уровня защиты. Что самое неприятное, в социнжинринге нельзя «поставить патч» и забыть — однажды усвоенная злоумышленником механика будет работать всегда, потому что поведение людей в целом не очень-то сильно меняется.

Основная модель социнженерии

Предполагается, что каждый сотрудник имеет свой уровень компетентности в вопросах безопасности и свой уровень доступа. Линейные сотрудники (например, девушки с ресепшна) не имеют доступа к критичной информации, то есть даже захват их аккаунтов и получение всех известных им данных не нанесёт компании серьёзного урона. Но их данные могут использоваться для перехода на следующую ступень уже внутри защищённой зоны. Например, вы можете получить имена сотрудников и позвонить уровнем выше, представившись одним из них. При этом можно играть в авторитета (как в примере с врачами выше), а можно просто задать пару невинных вопросов и получить кусочек мозаики. Или же продвинуться дальше, к следующему более знающему сотруднику, используя тот факт, что в команде принято помогать друг другу, а не включать паранойю на вопросы о ряде важных данных. Даже при наличии жесткой инструкции есть шансы, что эмоции всегда перевесят.

Не верите? Представьте ситуацию, когда злоумышленник звонит одной и той же девушке из колл-центра несколько раз в неделю в течение месяца. Он представляется сотрудником, приносит море позитива, живо разговаривает, уточняет какие-то открытые мелочи, иногда просит мелкой помощи. Чёткую авторизацию заменяет тот факт, что человек звонит часто. Десять, двадцать, если надо — тридцать раз. До тех пор, пока не становится одним из явлений жизни. Он свой, ведь он в курсе разных мелочей работы компании и звонит постоянно. На 31-й раз атакующий опять делает мелкую просьбу, но на этот раз касающуюся важных данных. И если надо, приводит логичное и правдоподобное обоснование, почему это требуется, и в какой он беде. Конечно же, нормальный человек ему поможет.

Читайте также:  что такое солидарный долг судебный

Если вы думаете, что таким атакам подвержены только некомпетентные пользователи, то откройте книгу «Искусство обмана», где ещё во вступлении Митник рассказывает о том, как представился ведущим разработчиком проекта и заставил, на секундочку, сисадмина дать привилегированный доступ к системе. Заметьте, человека, который прекрасно понимал, что конкретно он делает.

Обратная социальная инженерия

Общая модель атаки точно такая же: вы получаете данные, которыми пользователи готовы поделиться. Но в отличии от классических методов «лесенки», здесь пользователь сам говорит что нужно. Это эффективная трёхходовка: вы подстраиваете неприятность пользователю, обеспечиваете контакт с собой, затем проводите атаку. Пример — приходите в охраняемый периметр как уборщик, заменяете номер техподдержки в распечатке на стене на свой, а затем устраиваете мелкую неполадку. Уже через день вам звонит расстроенный пользователь, готовый поделиться всеми своими знаниями с компетентным специалистом. Ваша авторизация проблем не вызывает — ведь человек сам знает, кому и зачем он звонит.

Красивая вариация – банковский IVR-фишинг, когда жертва атаки получает письмо с фишинговым номером «клиентского центра», где автоответчик на каком-то шаге просит для авторизации ввести важные реквизиты карты.

Ещё частные случаи

Вы можете использовать фишинг на ресурсах, которыми пользуется цель. Или же, например, выложить на этих внешних ресурсах зловреда, инфицирующего машины компании (один из основных векторов атак последних лет, кстати). Можете передать диск с чем-то интересным сотруднику (в расчёте на то, что он запустит софт или использует информацию оттуда), можете использовать социальные сети для сбора данных (выявления структуры компании) и общения с конкретными людьми в ней. Вариантов море.

Резюме

Итак, социальная инженерия может использоваться и для сбора данных о цели («Привет! У меня был телефон 4-го отдела, но я забыл»), и для получения закрытой информации («Ага, спасибо. Вот ещё что, мне кажется, это подозрительный клиент. Подскажешь номер его карты, которой он расплачивался последний раз?»), прямого получения доступа к системе: «Так, что именно вы вводите сейчас? По буквам, пожалуйста. Семь-эс как доллар-процент-дэ-тэ большую. »). И даже для получения вещей, которые иначе достать невозможно. Например — если компьютер физически отключен от сети, «обработанный» человек сможет подключить его.

В топике про подготовку к хакерскому турниру была задача про девушку на респшене, случайно отлучившуюся на 30 секунд. Что бы вы успели сделать за это время? Поставить что-то на её машину? Нет, не хватит времени или прав юзера. Украсть документы со стола или отправить себе все письма? Не лучшая идея, вас заметят. Даже просто сесть за её компьютер — уже опасно из-за возможной скрыто смонтированной камеры в офисе. Лучшие ответы лежали в плоскости социального взаимодействия: наклеить стикер с номером техподдержки, пригласить её на свидание и так далее. За свидание не судят, зато оно даст вам кучу данных про иерархию в компании и личные дела сотрудников.

Итак, возвращаясь к ликбезу. Прочитайте «Искусство обмана» (вам точно понравятся конкретные диалоги оттуда), главу про социнженерию из книги Дениса Ферии с пафосным названием «Секреты супер хакера», серьёзную «Психологию влияния», а для начала — статью на Вики с описанием основных методик. Если у вас нет мощного отдела безопасности, после прочтения предупредите руководителя и проведите простой пентест. Скорее всего вы узнаете много нового о человеческой доверчивости.

Турнир Cyber Readiness Challenge и социальная инженерия

Кроме технических методов предотвращения социальных угроз (таких как введение общей платформы для обмена сообщениями внутри компании, обязательной аутентификации новых контактов и так далее) необходимо объяснять пользователям, что именно происходит при таких атаках. Правда, это бесполезно, если не совмещать теорию с практикой, а именно — время от времени действовать самому как злоумышленник и пробовать проникнуть в свои же системы. После пары «учебных тревог» и разборов сотрудники, по крайней мере, будут думать, не проверяют ли их при звонках.

Разумеется, для противостояния угрозе нужно «залезть в голову» атакующему вас злоумышленнику и научиться думать как он. В рамках оффлайного турнира Cyber Readiness Challenge, изначально создававшегося как симулятор для обучения специалистов по безопасности, мы не могли пройти мимо этого класса угроз.

Если вы разбираетесь в серверном и системном администрировании, инфраструктуре сетей и других технических вещах, но не учитываете такой прекрасный человеческий фактор, турнир даст вам пару интересных идей.

Источник

Как избежать атаки с использованием социальной инженерии

how social engineering attacks work

Что такое социальная инженерия?

При слове «кибербезопасность» большинство думает о том, как защититься от хакеров, использующих технические уязвимости сетей. Но есть и другой способ проникнуть в организации и сети – через человеческие слабости. Это и есть социальная инженерия: способ обманом заставить кого-то раскрыть информацию или предоставить доступ к сетям данных.

Например, некто, притворяясь сотрудником службы поддержки, может попросить пользователей сообщить их пароли. Удивительно, как часто люди добровольно выдают эти данные, особенно если им кажется, что запрос поступает от уполномоченного лица.

Проще говоря, в случае социальной инженерии мошенники манипулируют людьми, чтобы получить от них информацию или доступ к ней.

=»Как работает социальная инженерия»

Виды атак с использованием социальной инженерии

Атаки с использованием социальной инженерии бывают разными. Поэтому важно в целом понимать, что такое социальная инженерия и как она работает. Научившись распознавать основной механизм действия, вы сможете гораздо легче вычислять подобные атаки.

Ловля «на живца»

Ловец «на живца» оставляет приманку – например, флешку с вирусом. Нашедший из любопытства вставляет ее в свой компьютер, и вирус поражает систему. Существует даже флешка, повреждающая компьютеры, – она заряжается через USB-порт и затем высвобождает мощный заряд через устройство ввода. И стоит такая флешка всего 54 доллара США.

Претекстинг

Злоумышленник использует предлог, чтобы привлечь внимание жертвы и заставить ее сообщить информацию. Например, во время безобидного, казалось бы, интернет-опроса у вас могут попросить данные вашего банковского счета. Или к вам подойдет человек с папкой документов и скажет, что проверяет внутренние системы. Но он может оказаться мошенником, пытающимся похитить у вас ценные данные.

Фишинг

При фишинговой атаке вы получаете письмо или сообщение от кажущегося надежным источника с просьбой предоставить информацию. Хорошо известный пример – письмо якобы от банка, который просит клиентов «подтвердить» конфиденциальную информацию и направляет их на поддельный сайт, где их учетные данные будут зафиксированы. Целевой фишинг – это отправка письма определенному сотруднику якобы от высшего руководства компании, запрашивающего конфиденциальные сведения.

how to protect yourself from social engineering attacks

Вишинг и смишинг

Это две разновидности фишинга. Первая подразумевает «голосовой фишинг», то есть телефонное мошенничество. Злоумышленник может притвориться сослуживцем – например, сотрудником IT-отдела, которому нужны ваши учетные данные. Вторая – попытка получить данные посредством SMS-сообщений.

«Ты – мне, я – тебе»

Говорят, честный обмен – не грабеж, но не в этом случае. Многие социальные инженеры убеждают своих жертв в том, что те получат что-то в обмен на данные или доступ к ним. Так работает фальшивый антивирус, предлагающий пользователю устранить угрозу на его компьютере, хотя сам «антивирус» и есть угроза.

Взлом электронной почты и рассылка по контактам

Злоумышленник взламывает почту человека или его учетную запись в социальной сети, получая доступ к его контактам. Теперь от имени жертвы он может сообщить им, что его ограбили, и попросить перечислить ему денег или разослать ссылку на вредоносное ПО или клавиатурный шпион под видом интересного видео.

«Охота» и фарминг

И наконец, несколько более продвинутых методов социальной инженерии. Большинство простых методов, описанных выше, являются формой «охоты». Все просто: проникнуть, захватить информацию и убраться восвояси.

Однако некоторые социальные инженеры налаживают связь с жертвой, чтобы получить больше данных за более длительный период времени. Этот метод известен как фарминг и представляет для злоумышленника повышенный риск разоблачения. Но в случае успеха он также дает гораздо больший «урожай».

Читайте также:  Гадание на гуще толкование фото

Как избежать атаки с использованием социальной инженерии

Социальным инженерам особенно сложно противодействовать, поскольку они используют особенности человеческой натуры – любопытство, уважение к властям, желание помочь другу. Но есть ряд советов о том, как обнаружить их атаки.

Проверяйте источник

Задумайтесь на минуту о том, откуда исходит сообщение, – не доверяйте ему слепо. На вашем столе неизвестно откуда появилась флешка? Вам внезапно позвонили и сообщили, что вы получили в наследство 5 миллионов долларов? Ваш руководитель просит в письме предоставить ему массу данных об отдельных сотрудниках? Все это выглядит очень подозрительно, поэтому и действовать следует с осторожностью.

Проверить источник нетрудно. Например, посмотреть на заголовок электронного письма и сравнить его с другими письмами того же отправителя. Проверьте, куда ведут ссылки, – поддельные гиперссылки легко выявить, просто наведя на них курсор (только не нажимайте!). Проверьте орфографию: в банках над перепиской с клиентами работают целые отделы квалифицированных специалистов. Письмо с явными ошибками, вероятно, подделка.

Если сомневаетесь, перейдите на официальный сайт, свяжитесь с представителем и попросите подтвердить или опровергнуть сообщение.

Что им известно?

Знает ли тот, кто вам звонит или пишет, всю соответствующую информацию – например, ваше полное имя? Сотрудник банка уж точно должен иметь перед глазами все ваши данные и обязательно спросит проверочное слово, прежде чем разрешит вам вносить изменения в свой счет. Если этого не произошло, с большой долей вероятности письмо, сообщение или звонок – фальшивка. Будьте осторожны!

Остановитесь и подумайте

Социальные инженеры часто используют иллюзию срочности в расчете на то, что жертва не будет особо задумываться о происходящем. Всего минута размышлений может помочь вам выявить и предотвратить атаку.

Не спешите сообщать данные по телефону или переходить по ссылке. Лучше перезвоните по официальному номеру или перейдите на официальный сайт. Используйте другой способ связи, чтобы проверить благонадежность источника. Например, если друг в электронном письме просит перечислить ему деньги, напишите или позвоните ему по телефону, чтобы убедиться, что письмо действительно от него.

Требуйте данные, удостоверяющие личность

Социальному инженеру проще всего проникнуть в охраняемое здание, неся в руках коробку или кипу папок. Кто-нибудь обязательно придержит для него дверь. Не попадайтесь на эту удочку: всегда требуйте удостоверение личности.

То же правило действует и в других ситуациях. Если у вас запрашивают информацию – уточните имя и номер звонящего или его непосредственного руководителя. Затем просто проверьте эту информацию в интернете или справочнике прежде, чем сообщать какие-либо персональные данные. Если вы не знаете человека, который запрашивает информацию, и все еще сомневаетесь – скажите, что уточните у кого-нибудь и потом перезвоните.

social engineering dangers and threats to your privacy

Используйте надежный спам-фильтр

Если ваш почтовый клиент недостаточно тщательно фильтрует спам или не помечает письма как подозрительные, попробуйте изменить настройки. Хорошие спам-фильтры используют разнообразную информацию для распознавания нежелательных писем. Они могут выявлять подозрительные файлы или ссылки, заносить в черный список ненадежные IP-адреса или сомнительных отправителей и анализировать содержимое писем, чтобы обнаруживать фальшивки.

Насколько это правдоподобно?

Некоторые социальные инженеры рассчитывают на то, что вы не станете вдумываться. Попробуйте оценить, насколько реалистична ситуация, – так вы можете избежать атаки. Например:

Не спешите

Будьте особенно осторожны, если вам внушают, что ситуация неотложная. Это стандартный способ злоумышленников помешать вам все обдумать. Если чувствуете, что на вас давят, – притормозите. Скажите, что вам нужно время, чтобы добыть информацию, вам нужно спросить своего начальника, у вас сейчас нет нужных данных, – что угодно, чтобы дать себе время на осмысление.

В большинстве случаев мошенник не станет рисковать, осознав, что эффект неожиданности пропал.

Защитите свои устройства

Важно защитить устройства, чтобы даже в случае успешной атаки социальный инженер не смог получить слишком много информации. Будь то смартфон, домашняя сеть или крупная корпоративная система, принцип действия одинаков.

Подумайте о своем цифровом следе

Задумайтесь о вашем присутствии в Сети. Публикуя много личной информации в интернете (например, в социальных сетях), вы помогаете злоумышленникам. Например, в качестве проверочного слова многие сервисы предлагают использовать кличку вашего первого питомца. Делились ли вы этими сведениями в Facebook? Если да, то вы подвергаетесь риску! Кроме того, некоторые социальные инженеры входят в доверие, упоминая недавние события, которыми человек поделился в социальных сетях.

Советуем сдержаннее рассказывать о себе и сделать ваши публикации доступными только для друзей. Не нужно паранойи, просто будьте аккуратны.

Задумайтесь, какими еще аспектами своей жизни вы делитесь онлайн. Если, например, вы разместили в Сети свое резюме, стоит удалить оттуда свой адрес, номер телефона, дату рождения – любую полезную информацию, которой может воспользоваться преступник. Некоторые социальные инженеры очень тщательно готовятся к атаке, собирая все возможные данные о жертве, чтобы поймать ее на крючок. Не давайте им такой возможности.

Атаки с использованием социальной инженерии крайне опасны, поскольку происходят в совершенно обыденных ситуациях. Однако, полностью понимая их механизм и принимая элементарные меры предосторожности, вы гораздо меньше рискуете стать их жертвой.

Источник

Социальная инженерия, или Как «взломать» человека

Слабое звено любой системы защиты – это люди, а социальные инженеры перекрасно умеют «взламывать» людей.

Pontiroli

socialengineer

Социальная инженерия, иногда называемая наукой и искусством взлома человеческого сознания, становится все более популярной в связи с повышением роли социальных сетей, электронной почты или других видов онлайн-коммуникации в нашей жизни. В сфере информационной безопасности данный термин широко используется для обозначения ряда техник, используемых киберпреступниками. Последние имеют своей целью выманивание конфиденциальной информации у жертв либо побуждают жертв к совершению действий, направленных на проникновение в систему в обход системы безопасности.

Даже сегодня, когда на рынке доступно огромное количество продуктов для обеспечения информационной безопасности, человек все еще владеет ключами от всех дверей. Будь то комбинация учетных данных (логин и пароль), номер кредитной карты или данные для доступа к онлайн-банку, самое слабое звено в системе обеспечения безопасности — это не технологии, а живые люди. Таким образом, если злоумышленники применяют к пользователям манипулятивные психологические техники, очень важно знать, какие приемы наиболее характерны в данной ситуации, а также понимать принцип их работы, чтобы избежать неприятностей.

Социальная инженерия — понятие совсем не новое, оно появилось давным-давно. Известными специалистами-практиками в этой науке стали, например, Кевин Митник и Фрэнк Абаньяле, которые на сегодняшний день являются ведущими консультантами по безопасности. Они живая иллюстрация того, что преступники могут превращаться в уважаемых экспертов. К примеру, тот же Фрэнк Абаньяле был одним из самых знаменитых и виртуозных мошенников: он умел создавать множество личностей, подделывать чеки и обманывать людей, вытягивая из них конфиденциальную информацию, необходимую для работы мошеннических схем. Если вы смотрели фильм «Поймай меня, если сможешь», вы имеете представление о том, на что способен специалист по социнженерии, если он имеет перед собой ясную цель. Вам просто следует помнить, что для получения от вас нужной информации социнженер может использовать различные мошеннические схемы, не ограничивающиеся приемами, связанными с технологиями или компьютерами, так что лучше пользователям с осторожностью относиться к подозрительным действиям, даже если они кажутся обычными. Классическим приемом, например, является выманивание пароля в телефонном звонке. Кажется, что никто в здравом уме не сообщит свой пароль постороннему, но звонок «с работы» в 9 утра в воскресенье, требующий приехать для какой-то мелочевой технической операции над вашим компьютером, несколько меняет дело. Когда «ваш администратор» предложит просто сказать ему пароль, чтобы он все сделал за вас, вы не только сообщите пароль, но и поблагодарите его за заботу! Ну, может, не лично вы, но примерно половина ваших коллег поступит так гарантированно.

Читайте также:  что такое свидетельство о внесении записи в егрюл

Большинство киберпреступников не станут тратить время на осуществление технологически сложных приемов взлома, если необходимые сведения можно получить, используя навыки в области социнженерии. Более того, существует множество сайтов, где описаны принципы работы подобных техник и причины их успеха. Один из этих сайтов называется SocialEngineer.org, и он предлагает весьма полезную основу для теоретического изучения принципов социнженерии, дополняя ее большим количеством реальных примеров.

Мы используем речь каждый день, влияя на действия друг друга, хотя часто не замечаем этого. Но язык с точки зрения социнженерии имеет несколько недостатков, так как он связан с нашим субъективным восприятием фактов, при котором мы можем опустить некоторые части истории, исказить смысл или сделать некоторые обобщения. НЛП, или нейролингвистическое программирование, которое изначально было создано для лечебных целей, сегодня считается «мутировавшей» формой гипноза, используемой социнженерами как инструмент манипуляции жертвами и оказания на них влияния с целью побудить их выполнить действия, ведущие к успеху атаки. В результате данной тактики жертва может сообщить свой пароль, разгласить конфиденциальную информацию, отказаться от какой-либо меры обеспечения безопасности, то есть, может сделать все что угодно, чтобы убрать препятствия на пути злоумышленников.

Хотя связь между психологией и хакингом кажется чересчур натянутой, на самом деле онлайн-атаки основаны на тех же принципах, которые лежат в основе «офлайнового» мошенничества. Принцип возвратности («если я окажу тебе услугу, ты окажешь услугу мне»), принцип социальной проверки (вы оцениваете свое поведение как правильное, если наблюдаете такое же поведение у большинства), преклонение перед авторитетами (проявление большей степени доверия к сотруднику полиции, врачу, сотруднику технической поддержки, кому-либо более «высокого ранга») — это универсальные для всех способы выстраивания общения в социуме и удовлетворения наших базовых социальных инстинктов. Социнженер знает, на какие кнопки нажимать, чтобы получить желаемый ответ, создавая контекст (канву) для формирования правдоподобной легенды, которая смогла бы создать ощущение срочности. Для опытных специалистов в сфере социнженерии не составит труда обойти рациональное мышление человека, и им понадобится только доля секунды, чтобы добиться преимущества и получить от жертвы необходимые данные.

Однако в данной статье мы в большей степени обратим внимание на различные техники, используемые онлайн-мошенниками для незаконного получения информации и прибыли от жертв, которые «хотели как лучше». Как мы уже упомянули, принципы, используемые для мошеннических схем в Интернете, похожи на те, которые используются в реальной жизни, но так как Интернет — это огромная машина распространения информации, одно фишинговое сообщение может быть отправлено миллионам получателей в течение самого короткого времени. То есть в таких условиях данный тип атак может превратиться в беспроигрышную лотерею: даже если только небольшая часть от общего числа потенциальных жертв попадется на удочку, это все равно означает огромную прибыль для организации или человека, стоящего за атакой.

Сегодня одним из самых распространенных методов получения конфиденциальной информации является фишинг (термин образован от игры слов password harvesting fishing — «ловля паролей»). Фишинг можно охарактеризовать как тип компьютерного мошенничества, который использует принципы социальной инженерии с целью получения от жертвы конфиденциальной информации. Киберпреступники обычно осуществляют свои действия при помощи электронной почты, сервисов мгновенных сообщений или SMS, посылая фишинговое сообщение, в котором напрямую просят пользователя предоставить информацию (путем ввода учетных данных в поля сайта-подделки, скачивания вредоносного ПО при нажатии ссылки и т.д.), благодаря чему злоумышленники получают желаемое при полном неведении со стороны жертвы.

Мы наблюдали процесс развития вредоносного ПО, который во многом использовал принципы социнженерии. Раньше факт заражения компьютера вирусом был весьма очевиден: пользователь видел странные сообщения, иконки, картинки — одним словом, все, что обнаруживало участие злоумышленника. Сегодня нас уже не удивляют примеры вредоносного ПО, которое получает доступ к системам жертв путем применения трюков, характерных для социнженерии, и остается невидимым для пользователя до того момента, как выполнит свою задачу. Бесконечная игра в кошки-мышки между хакерами и компаниями, создающими средства информационной безопасности, подтверждает: образование и информирование — это ключевой защитный механизм, необходимый для пользователей. Они должны следить за новостями и новыми веяниями в мире информационной безопасности, а также знать о ключевых тактиках мошенников.

Множество интересных примеров взлома основаны на техниках социнженерии, которые, в свою очередь, помогают злоумышленникам доставить вредоносное ПО жертвам. Среди наиболее популярных — фальшивые обновления Flash Player и других популярных программ, вшитые в документ Word исполняемые файлы и многое другое.

flash update

Большинство описанных выше методов проведения атаки направлены на жителей Латинской Америки, так как технологические угрозы такого типа не до конца понятны или распространены в регионе, а если еще и принять во внимание, что большинство компьютеров работают с устаревшим ПО, это дает киберпреступникам отличную возможность заработать. Только недавно некоторые банки усилили меры обеспечения информационной безопасности для пользователей онлайн-банкинга, но до сих пор множество уязвимостей в системе безопасности способствуют успеху тактик социнженерии. Интересно, что многие особенности этого региона перекликаются с российскими, поэтому киберпреступники СНГ и Латинской Америки весьма активно обмениваются опытом и перенимают друг у друга удачные находки.

Популярны другие типы атак, которые даже не всегда попадают в категорию компьютерного мошенничества. Схема, известная как «виртуальное похищение«, использует практики социнженерии, а в качестве средства связи выступает телефон. Злоумышленники обычно звонят жертве и говорят, что член семьи был похищен и для его освобождения требуется незамедлительно заплатить выкуп. Преступник создает ощущение срочности и страха, жертва выполняет требования мошенника, даже не убедившись, на самом ли деле похищен кто-то из родственников. Похожая схема популярна при атаках на пожилых людей и может быть названа «виртуальной болезнью» — когда жертве звонят якобы из поликлиники, говорят, что в недавних анализах есть признаки опасного заболевания и нужно незамедлительно лечь на операцию для спасения жизни, разумеется, платную. После оплаты, конечно, никого не оперируют, потому что болезни никакой и не было.

В свете этого очень важно помнить, что любая публично доступная информация, появляющаяся в соцсетях («ВКонтакте», Instagram, Facebook, Twitter, Foursquare и так далее), может также помочь преступникам сложить два и два и понять, где вы находитесь, либо узнать некоторые персональные сведения. Направленная целевая фишинг-атака — это не столь частое явление, но, если вы готовы предоставлять ценную информацию, даже не задумываясь о предполагаемых последствиях, вы только облегчаете мошенникам задачу. Даже виш-листы на Amazon могут стать хорошим подспорьем для взлома при использовании тщательно отобранных трюков из арсенала социнженеров.

Как мы уже сказали, сегодня установка комплексного решения для обеспечения безопасности — это необходимость, особенно если вы пользуетесь Интернетом (весьма вероятно, что так оно и есть). Более того, ознакомление с новостями и тенденциями в мире онлайн-угроз и социальной инженерии поможет вам избежать атак такого типа (как онлайн, так и в реальной жизни). Помните, что все гаджеты и технологии защиты ничего не стоят, если вы не знаете, как их правильно использовать, и не осведомлены о том, на что способны злоумышленники. Технологии, которыми пользуются преступники, развиваются, и вам не следует отставать, поэтому немного параноидальности в наше время не повредит.

«Полиция не сможет защитить пользователей. Людям нужно быть более осведомленными и больше знать о таких вещах, как кража личности. Нужно быть немного умнее, немного сообразительнее… Нет ничего плохого в том, чтобы быть скептиком. Мы живем в такое время, что, если у вас легко украсть, кто-нибудь обязательно воспользуется возможностью», — говорит Фрэнк Уильям Абаньяле.

Источник

DACHARAI - самый большой ресурс для садовода
Adblock
detector