Социальная инженерия (СИ) — это инструмент психологической манипуляции, который использовался, с незапамятных времен. Почему? Влияние на людей, побуждая их к действиям, которые могут оказаться не в их интересах.
Иногда такой типа хакерской атаки довольно безобидный. В качестве примера можно привести аналогию с ребенком, когда он сладко просит мать дать ему еще одну конфету. Однако во многих случаях социальная инженерия используется в неблаговидных целях.
На протяжении всей истории человечества существуют классические примеры СИ в действии. Доверительные трюки были впервые использованы заклинателями в 19-м веке с целью обмана во время лечения разного рода заболеваний при помощи заклинаний. Психологические манипуляции, иначе известные как пропаганда, повлияли на массы людей во время Второй мировой войны. Сейчас похожие методы используются в рекламе (или в маркетинге), которая тонко намекает, что вы будете недостаточно привлекательны, пока не купите тот или иной продукт.
Социальная инженерия проникает в человеческую психику, вызывая сильные эмоции, такие как:
• страх,
• настойчивость,
• любопытство,
• симпатию,
• или самое сильное чувство из них: желание бесплатных предметов и услуг.
Злоумышленники используют социальную инженерию с одной главной целью — добраться до самого слабого звена: нас. Они знают, что самый простой способ проникнуть в систему — это идти за пользователем, а не за машиной. Атака на человеческий фактор всегда была любимым методом злоумышленников в киберпространстве. Зачем использовать какой-то технический недостаток, чтобы получить пароль, когда его можно просто попросить у пользователя.
Сейчас, социальная инженерия находятся на подъеме. Мы наблюдаем рост смешанных атак, которые полагаются на сочетание СИ и вредоносного программного обеспечения. Например, сейчас популярная тактика — это мошенничество с технической поддержкой. Во время просмотра веб страниц на экране появляется всплывающее предупреждение, сообщающее пользователю о том, что он заражен и должен загрузить приложение или позвонить по «этому» номеру, после чего ему будет оказана техническая помощь. Пользователь, опасаясь заражения, загрузит поддельное антивирусное приложение, которое является средством доставки вредоносного ПО, с целью получить личную информацию или финансовую выгоду.
Как преступники распространяют свои схемы социальной инженерии?
Вот некоторые из наиболее распространенных способов использования СИ в 2019 году:
Кликбейт (пример)
«Огромная змея поедает человека живьем» — такого рода контент, будь то изображения, видео или статья с цепляющимися заголовком, всегда привлекает внимание. У вас может возникнуть соблазн щелкнуть мышью и перейти по внешней или внутренней ссылке.
Один из наиболее популярных подходов заключается в том, чтобы извлечь выгоду из врожденного человеческого желания «вытянуть шею» и посмотреть аварию на обочине дороги.
Совет: остерегайтесь ссылок на чрезмерно графические изображения террористических атак, стихийных бедствий и других трагедий. Они могут привести к вредоносным веб-сайтам, которые откачивают личные данные или автоматически загружают вирусное ПО при помощи рекламы.
Атака под кодовым именем «водопой»
Истории просмотров сайтов могут многое рассказать о человеке. Именно поэтому реклама «собачьих свитеров» постоянно появляется в вашей ленте Facebook (конечно, если вас интересует одежда для животных). Киберпреступники используют эту информацию в процессе поиска сайтов, наиболее посещаемых их целевой аудиторией. Как только они находят популярные сайты с хорошей целевой аудиторией, сразу начинается кибератака. Например, хакеры знали, что форум iPhone Dev SDK часто посещали Facebook, Apple и другие разработчики. Они скомпрометировали сайт, создали эксплойт и, в конечном итоге, загрузили вредоносное ПО. В результате пострадало большинство пользователей этого форума.
Атаки в социальных сетях
Атаки в социальных сетях могут быть особенно опасны, так как преступники, пробираясь наш разум, могут совершать различные манипуляции. Во-первых, они копаются в личной информации, которую потом используют против самой жертвы.
Злоумышленники знают, что одна из самых больших уязвимостей человека — это их собственный образ. Люди слишком беспокоятся о том, что подумают о них другие.
Во-вторых, они создают фейковые профили и присылают сообщения с оскорбительным характером якобы от знакомых, коллег по работе, друзей и даже родственников.
Этот двусторонний подход СИ может быть осуществлен за одну атаку. Например, вы получаете сообщение от своего бывшего парня, в котором говорится: «Слушай, это твоя новая фотография в профиле?» (С изображением моржа). На картинке есть ссылка. Вы нажимаете на изображение, потому что: «Он вообще обнаглел?!». А дальше все просто — вы заражены вредоносным ПО!
Вымогательство — это социальная инженерия в своих лучших и худших проявлениях. Вымогатели — это тип вредоносных программ, которые держат ваши файлы или часть вашего системного ПО. Чтобы вернуть доступ, вы должны заплатить киберпреступникам. Те, кто хочет вернуть свои драгоценные данные, могут заплатить сразу же. Но для тех, кто нуждается в дополнительной тактике запугивания, преступники придумали мошенничество прикрываясь правоохранительными органами.
Некоторые злоумышленники опускаются до уровня утверждений, что они нашли детскую порнографию на вашем компьютере и передадут ее в правоохранительные структуры, либо же опубликуют в социальных сетях, если вы не заплатите. В худшем случае разошлют ее вашим друзьям в социальных сетях.
Пользователи, естественно, склонны сразу паниковать, когда сталкиваются с сообщением о детской порнографии. Эта грубая тактика, в крайних случаях, может привести даже к самоубийству.
Фишинг
Фишинг — это форма социальной инженерии, которая основана на обмане людей в передаче денег или данных по электронной почте. Злоумышленники рассылают одно сообщение огромной массе людей, в котором говорится что-то вроде: «Вы выиграли миллион! Нажмите здесь, чтобы забрать свое вознаграждение» К сожалению, есть еще те, кто в это верит.
Однако в последние годы хакеры усилили свою фишинговую игру с большей изощренностью. Теперь фишинговые письма создаются так, чтобы жертва поверила, что эти письма приходят от законных источников. Сообщения могут быть получены от банков или компаний. При этом в них могут упоминаться полные имена пользователей и другая частная информация.
Итак, как вы можете противостоять этим психологическим атакам? Вот несколько проверенных и верных методов:
1. Оборудуйте себя лучшими софтом по кибербезопасности, который оснащен технологиями для борьбы с кибератаками по разным направлениям, включая блокировку эксплойтов, вымогателей, рекламного ПО и других видов вредоносных программ. Антивирусная программа с хорошими защитными характеристиками, желательно на платной основе, поможет отбить атаки социальной инженерии с технической точки зрения.
2. Анонимизируйте данные, используя функции конфиденциальности вашего браузера. Также было бы неплохо время от времени очищать данные кэш вместе с историей просмотра веб страниц.
3. Заблокируйте настройки конфиденциальности в аккаунтах социальных сетей. Убедитесь, что вы предоставляете информацию только тем, кому вы доверяете.
4. Используйте блокировщик рекламы, чтобы отразить попытки вредоносной рекламы и криптомайнинга через браузер.
5. Используйте правильные программные и аппаратные системы. Если вы просто используете свой компьютер только веб-серфинга, вам, вероятно, не нужен мощный процессор или пакет Adobe. Каждое программное обеспечение, установленное на компьютер, имеет потенциальные уязвимости. Чем больше программ установлено на вашем ПК тем больше вероятность взлома.
Наконец, и самое главное, используйте здравый смысл и запаситесь здоровой дозой скептицизма. Всегда проверяйте информацию. Обратитесь к заявленному источнику, прислушивайтесь к своему сердцу. Если вы хоть немного в чем-то сомневаетесь, значит что-то не так. Остановитесь и подумайте о том, что от вас требуется.