Предупреждён - значит вооружён
Привет!
В данной статье речь пойдёт про социальную инженерию, как понятно из названия. Мы рассмотрим 3 основных вида атак на пользователей, что поможет нам от них защититься.
Для тех, кто в танке
Для незнающих людей или для тех, кто хочет освежить свои знания, сначала стоит рассказать, что же такое эта "социальная инженерия".
Социальная инженерия начала активно развиваться в 50-х годах прошлого века в США. Стоит уточнить, что это не была социальная инженерия в привычном понимании. Она использовалась, в основном, в обороне и пропаганде. В процессе развития ЭВМ и Интернета умные люди стали применять социально-инженерные знания и в этой отрасли. Одни думали: "Как бы получить данные с их ЭВМ?", а другие задавались вопросами того, как от такого защититься.
Социальная инженерия в современном понимании - это хакинг, который основан на человеческой психологии. Вы можете спросить: "Что? Хакинг и психология? Как может быть связано стучание ручками по клавиатуре в надежде что-то взломать и понимание тонкостей человеческой души?", а я отвечу: "Очень даже хорошо". Чтобы, скажем, подобрать пароль к учётной записи, у нашего злоумышленника уйдёт уйма времени, но, если использовать социальную инженерию, жертва может сама дать ему эти данные. Хороший вопрос - "C чего бы вообще жертве отдавать ему эти данные?". Человек склонен делать какие-то необдуманные вещи, чем злоумышленник и пользуется, маскируясь под авторитетным лицом, официальным письмом и т.д.
Фишинг
И так, мы уже знаем, что из себя представляет социальная инженерия. Теперь давайте поговорим о методах.
Фишинг - это атака, где основной упор идёт на подделывание писем, сайтов и других ресурсов. Жертва заходит на условный сайт и совершает там какие-то действия (авторизируется, совершает покупку и т.д.), думая, что сайт настоящий.
Чтобы было понятней, давайте рассмотрим такой пример:
На фото мы видим, казалось бы, обычное письмо от Google. Рядовой пользователь не заподозрил бы ничего необычного: адрес почты похож на гугловский, есть картинка, указан код ошибки. В данном примере играет важную роль любопытство пользователя: "Какие же там письма мне пришли?". Но если навести курсор на ссылку, мы увидим, что она ведёт совсем не на сайт Google, а на сайт злоумышленника, который хочет украсть ваши драгоценные биты данных.
Так мы усвоили первый урок: "будь внимателен в Интернете".
Троянский конь
Метод основывается уже не на подделывании сайтов и писем, а на файлах с вирусами. Так, к примеру, тебе на почту может прийти письмо с вордовским файлом, мол это выписка из банка. Ты скачиваешь этот файл, открываешь, но получаешь не свой заветный отчёт, а майнер, винлокер или что хуже.
Существует и другой вид троянского коня - "дорожное яблоко". Суть его заключается в том, что вместо почты, хакер использует обычную флешку. Такая флешка подбрасывается в каком-то месте, затем её из любопытства подбирает случайный человек, либо подстраивается специально такая ситуация, чтобы эта флешка попала в руки конкретной жертве. Дальнейшие действия такие: жертва вставляет флешку в компьютер и видит в ней файлы и их открывает, что даёт свободу вирусам.
Урок второй освоен: "запускай непроверенные файлы на виртуальной машине".
Претекстинг
Претекстинг - ещё один вид атаки, который заключается в том, что злоумышленник выдаёт себя за известное лицо и просит сделать определённые действия. Таким лицом может быть ваш знакомый, начальник, полицейский или какая-то авторитетная личность.
Данный метод строится на том, что люди склонны доверять авторитетам, пускай даже вымышленным. Если это интересно, то просто поищите "Эксперимент Милгрэма".
В качестве пример можно привести то, что сейчас людям названивают "сотрудники Сбербанка", вернее люди, которые себя за них выдают. Они обращаются к вам по имени и отчеству, уточняют: "Заходили ли вы в банк n-минут назад?" или "Совершали ли вы перевод на сумму около n-рублей в m-день?". может показаться, что это люди действительно из банка, ведь они столько всего знают, но, к сожалению, нет. Эти люди начнут спрашивать у вас номер карты, CVC-код и т.д. Если вам поступил подобный звонок, то говорите, что сходите в отделение Сбербанка и разберётесь лично. Благо отделений предостаточно.
Третий урок: "Доверяй, но проверяй".
Заключение
В статье мы усвоили 3 важных урока, которые помогут тебе дальше сидеть в Интернете и не попадаться на различные уловки мошенников.