В этой статье мы затронем такую проблему информационной безопасности, как социальная инженерия. Что это за зверь такой и чем он опасен?
Большинству людей кажется, что если использовать самые современные технологии и решения защиты от киберугроз, то вы как в бункере - вас не достать никакими методами. Это весьма распространённое заблуждение. Можно вообще не использовать технические средства взлома и всё равно получить вашу информацию. Как же так, почему?
Как показывает статистика, социальная инженерия используется при 96% целенаправленных атак. При этом технического взлома может вообще не происходить. А теперь представьте, если злоумышленники начнут использовать для таких атак технологии машинного обучения? Не можете представить? Мы вам поможем.
Многие думают, что социальная инженерия включает в себя набор «приёмов» с помощью которых мошенники и получают данные. Чаще всего, считается, что такими приёмами являются заражённые флешки, письма и телефонные звонки. Но на самом деле, социальная инженерия – это фактически целая наука, набор стратегий, а не конкретных приёмов, которые и позволяют отнимать у вас деньги и данные.
Более того, как уже сказано выше, как показывает практика, социнженерия это не составляющая кибератак, а как раз наоборот. Кибератаки помогают реализовать стратегические схемы на основе социальной инженерии. Конечно, для этого мошенникам сначала нужно изучить объект атаки, а потом уже применять свои навыки.
История знает множество мошенников из реального мира, которые разрабатывали схемы и успешно на этом богатели. Многие из вас смотрели замечательный фильм «Поймай меня, если сможешь». Если не смотрели – обязательно посмотрите и у вас сразу сформируется представление о социальных инженерах и методах их работы.
В частности, социальные инженеры используют воздействие на подсознание. Сейчас некоторые наши читатели скажут «Что за чушь? Это что, гипноз? Они экстрасенсы?» и будут немного неправы. Потому что с «атаками» на подсознание вы сталкиваетесь каждый день и если вы, с помощью сознания, не будете оценивать всю поступающую информацию (а это огромный объём информации), то эти атаки будут успешны.
О чем же мы говорим? Например, когда в пойдёте в магазин в следующий раз, обратите внимание на товары лежащие на полках. Посмотрите, какие товары лежат на полках на уровне глаз, а какие лежат внизу. Когда вы берёте товар, обдумайте вот какие вопросы – с какой полки вы его взяли? Почему вы его выбрали? Также, как пример, используется следующий прием: чтобы привлечь ваше внимание к определённому товару, рядом с ним размещается товар с яркой или необычной упаковкой. Скорее всего, яркий товар вы вряд ли будете покупать, но вот рядом с ним, вы найдёте то, что вам подойдёт.
Кроме того, часто социальные инженеры играют на том, что наш мозг не любит загружать себя лишней работой и использует паттерны мышления. Из-за этого, некоторые мелочи ускользают от вашего внимания. Как яркий пример – это мошенничество, когда злоумышленник представляется сотрудником известной корпорации. Или вы попадаете на сайт якобы известной корпорации. На этом сайте такая же символика как и на сайте реальной организации, которую вы видели и не раз., но вот имя сайта неуловимо отличается, на первый взгляд и не заметишь.
Очень часто социальные инженеры играют на нашей любви к халяве. В условиях, когда любая вещь, услуга или просто деньги достаются с трудом, любая возможность получить что-то дешевле, а то и бесплатно – кажется манной небесной. Поэтому и появляются всевозможные акции, лотереи и так далее. Раньше это делалось топорным способом по типу «Вы миллионный посетитель сайта». Сейчас стали делать немного тоньше, например, маскируясь под розыгрыш Гринкарты.
И всё бы ничего, с этим, казалось бы, можно работать. Но, как показывает практика, многие работники готовы разгласить конфиденциальную информацию, даже такую простую, как пароли за какую-либо услугу или вознаграждение. Это происходит, в частности, не только от того, что людям чего-то не хватает, но и из-за недооценки важности информации.
Ну и, наконец, один из простейших способов социальной инженерии это так называемый «плечевой сёрфинг». При проведении исследования на эту тему выяснилось, что 85% опрошенных видели конфиденциальную информации, которая им не предназначалась. Сколько раз вы видели чужую переписку в метро или в очереди? А теперь представьте, сколько человек могло видеть вашу.
Итак, домашнее задание - посмотреть «Поймай меня, если сможешь» и проникнуться сутью проблемы.
Оставайтесь с нами и впереди вас ждёт много интересного!