Как сообщает блог Касперского, социальная инженерия становится все более популярной в связи с повышением роли социальных сетей, электронной почты или других видов онлайн-коммуникации в нашей жизни. Большинство киберпреступников не станут тратить время на осуществление технологически сложных приемов взлома, если необходимые сведения можно получить, используя навыки в области социнженерии.
Даже сегодня, когда на рынке доступно огромное количество продуктов для обеспечения информационной безопасности, человек все еще владеет ключами от всех дверей. Будь то комбинация учетных данных (логин и пароль), номер кредитной карты или данные для доступа к онлайн-банку, самое слабое звено в системе обеспечения безопасности - это не технологии, а живые люди.
Сотрудники компаний - одна из главных причин утечек данных.
Социальная инженерия - понятие совсем не новое. Известными специалистами-практиками в этой "науке" стали, например, Кевин Митник и Фрэнк Абаньяле, которые на сегодняшний день являются ведущими консультантами по безопасности.
Фрэнк Абаньяле был одним из самых знаменитых и виртуозных мошенников: он умел создавать множество личностей, подделывать чеки и обманывать людей, вытягивая из них конфиденциальную информацию, необходимую для работы мошеннических схем. Если вы смотрели фильм "Поймай меня, если сможешь", вы имеете представление о том, на что способен специалист по социнженерии, если он имеет перед собой ясную цель. Вам просто следует помнить, что для получения от вас нужной информации социнженер может использовать различные мошеннические схемы, не ограничивающиеся приемами, связанными с технологиями или компьютерами, так что лучше пользователям с осторожностью относиться к подозрительным действиям, даже если они кажутся обычными.
"Компания может тратить сотни тысяч долларов на брандмауэры, шифрование и другие технологии обеспечения безопасности, но, если мошенник может позвонить одному из надежных сотрудников и через него получить доступ к конфиденциальной информации, все средства, потраченные во имя безопасности, были потрачены зря", - говорит Кевин Митник.
Хотя связь между психологией и хакингом кажется чересчур натянутой, на самом деле онлайн-атаки основаны на тех же принципах, которые лежат в основе "офлайнового" мошенничества. Принцип возвратности ("если я окажу тебе услугу, ты окажешь услугу мне"), принцип социальной проверки (вы оцениваете свое поведение как правильное, если наблюдаете такое же поведение у большинства), преклонение перед авторитетами (проявление большей степени доверия к сотруднику полиции, врачу, сотруднику технической поддержки, кому-либо более "высокого ранга") - это универсальные для всех способы выстраивания общения в социуме и удовлетворения наших базовых социальных инстинктов. Социнженер знает, на какие кнопки нажимать, чтобы получить желаемый ответ, создавая контекст для формирования правдоподобной легенды, которая смогла бы создать ощущение срочности. Для опытных специалистов в сфере социнженерии не составит труда обойти рациональное мышление человека.
Одним из самых распространенных методов получения конфиденциальной информации является фишинг (термин образован от игры слов password harvesting fishing - "ловля паролей"). Фишинг можно охарактеризовать как тип компьютерного мошенничества, который использует принципы социальной инженерии с целью получения от жертвы конфиденциальной информации. Киберпреступники обычно осуществляют свои действия при помощи электронной почты, сервисов мгновенных сообщений или SMS, посылая фишинговое сообщение, в котором напрямую просят пользователя предоставить информацию (путем ввода учетных данных в поля сайта-подделки, скачивания вредоносного ПО при нажатии ссылки и т.д.), благодаря чему злоумышленники получают желаемое при полном неведении со стороны жертвы.
Популярны другие типы атак, которые даже не всегда попадают в категорию компьютерного мошенничества. Схема, известная как "виртуальное похищение", использует практики социнженерии, а в качестве средства связи выступает телефон. Злоумышленники обычно отправляют SMS или звонят жертве и говорят, что член семьи был похищен и для его освобождения требуется незамедлительно заплатить выкуп. Преступник создает ощущение срочности и страха, жертва выполняет требования мошенника, даже не убедившись, на самом ли деле похищен кто-то из родственников. Похожая схема популярна при атаках на пожилых людей и может быть названа "виртуальной болезнью" - когда жертве звонят якобы из поликлиники, говорят, что в недавних анализах есть признаки опасного заболевания и нужно незамедлительно лечь на операцию для спасения жизни, разумеется, платную. После оплаты, конечно, никого не оперируют, потому что болезни никакой и не было.
Как вести себя, если позвонили телефонные мошенники?
В свете этого очень важно помнить, что любая публично доступная информация, появляющаяся в соцсетях ("ВКонтакте", Instagram, Facebook, Twitter, и др.), может также помочь преступникам сложить два и два и понять, где вы находитесь, либо узнать некоторые персональные сведения, а также, что тоже очень важно - выявить ваши предпочтения и вкусы, составить ваш психологический портрет, определить близких людей и др. Именно поэтому очень важно правильно настроить приватность.
"Полиция не сможет защитить пользователей. Людям нужно быть более осведомленными и больше знать о таких вещах, как кража личности. Нужно быть немного умнее, немного сообразительнее… Нет ничего плохого в том, чтобы быть скептиком. Мы живем в такое время, что, если у вас легко украсть, кто-нибудь обязательно воспользуется возможностью", - говорит Фрэнк Уильям Абаньяле.
Как сообщает "Роскачество", по информации Центробанка России, объем мошеннических операций с банковскими счетами в 2019 году достиг 6,4 млрд рублей. 69% мошеннических операций удалось совершить с помощью методов социальной инженерии, то есть приемов, основанных на особенностях психологии человека. Этот факт подтверждает необходимость знать и соблюдать правила цифровой безопасности. Их игнорирование приводит к негативным последствиям.
Советы Эдварда Сноудена по информационной безопасности.
Как вести себя, если позвонили телефонные мошенники?
Правила безопасного поведения в интернете.
Как отключить слежку в Windows10?