Чтобы полностью понять, как защитить себя от атак социальной инженерии, важно понимать, какие человеческие качества используют социальные инженеры, чтобы достичь желаемой цели.
Один из величайших инструментов в их арсенале - умение манипулировать. Совместите это с обманом и влиянием, и хороший социальный инженер получит доступ к аккаунту за считанные минуты.
Социальные инженеры используют различные тактики, чтобы заманить свою цель в ловушку для выполнения действий по их выбору. Это может быть что-то столь же простое, как получение доверия кого-либо по телефону для получения конфиденциальной информации или установка приманки для доступа к взломанному веб-сайту с помощью методов фишинга.
Социальные инженеры - это современный эквивалент мошенников с той лишь разницей, что последние используют нетехнические методы, чтобы выманивать у людей их кровно заработанные деньги. Причина, по которой социальная инженерия настолько эффективна, заключается в том, что жертвы часто уступают авторитету. Социальный инженер, замаскированный под офис по охране здоровья и безопасности с поддельным удостоверением, ссылаясь на «неожиданное посещение», может легко получить доступ в помещение, при условии, что он выполняет свою работу с полной уверенностью и контролем.
По словам Кевина Митника, социальные инженеры в первую очередь ориентируются на эти человеческие качества, чтобы получить то, что они хотят:
Доверие
Желание быть полезным
Сочувствие
Человеческая легковерность
Помимо атрибутов, указанных выше, люди обычно стараются избегать конфликтов и следовать инструкциям. Социальные инженеры эксплуатируют эти качества и полагаются на ложь для продвижения своего дела.
Они также хорошо умеют манипулировать темной стороной человека. Сообщается о случаях, когда социальные инженеры предлагали вознаграждения и подкуп жадным сотрудникам, чтобы получить доступ к конкретной информации. Использование «промывания мозгов», шантажа и игры со страхом - еще одна, к сожалению, успешная стратегия.
«Лаборатория Касперского» - известное имя на рынке защитных ресурсов. В отчете, опубликованном в 2015 году, сообщается об увеличении на 163% по сравнению с 2014 годом успешной установки программ-вымогателей на отслеживаемые компьютеры.
Реализация программ-вымогателей, развертываемых с помощью кликбайтинга, фишинга, вирусов или вредоносных программ, набирает такой темп, что даже лучшие специалисты в области IT -безопасности иногда советуют людям просто заплатить, чтобы вернуть файлы.
Социальные инженеры нацелены на все аспекты человеческих качеств, которые можно использовать, чтобы побудить своих жертв к совершению действий, наносящих ущерб их собственному благу.
Основные уязвимости человека, которые жестоко эксплуатируются социальными инженерами, перечислены ниже.
1- Ключ - завоевание доверия
Социальные инженеры обычно нацелены на кого-то, кто наделен властью или, как минимум, владеет конфиденциальной информацией.
Чтобы сотрудник достиг такого уровня, он, естественно, должен пройти определенные этапы в своей компании, чтобы доказать свою компетентность. Таким образом, можно с уверенностью предположить, что большинство людей, эксплуатируемых социальными инженерами, действительно обладают опытом и достаточной квалификацией в своей сфере деятельности.
Тем не менее, мы снова и снова видим свидетельства того, как легко социальные инженеры обманывают людей, заставляя передавать конфиденциальную информацию.
2- Демонстрация послушания властям
Люди запрограммированы уважать власть. С юных лет старшие учат нас уважать и слушать авторитетных людей. Это подразумевает подчинение родителям, учителям, закону, и когда человек вступает в профессиональную жизнь, это распространяется на менеджеров, начальство, которые требуют такого уровня приверженности.
Стэнли Милигрэм объясняет в своей книге «Повиновение авторитету: экспериментальный взгляд», что:
«Факты недавней истории и наблюдения в повседневной жизни предполагают, что для многих людей послушание может быть глубоко укоренившейся поведенческой тенденцией, действительно, постоянным импульсом, преобладающим над обучением этике, сочувствию и моральному поведению».
Идея, данная нам обществом, что командиры заслуживают абсолютного уважения и повиновения, а те, кто не подчиняется им, осуждаются социумом, вселили в сердца некоторых такой ненужный страх, что они забыли о достоинствах оспаривания власти, даже если есть разумные подозрения в отношении мотивов лица, дающего указания.
Это как раз еще одна психологическая уязвимость людей, которой так охотно пользуются социальные инженеры.
Джонатан Руш пишет:
«В правильной ситуации люди с большой вероятностью будут очень быстро реагировать на утверждения власти, даже когда человек, претендующий на власть, физически не присутствует».
Из выше сказанного следует, что быть уважительным и вежливым – это позитивное явление, но становление исключительно послушным, является нездоровым отношением с пагубными последствиями и действительно является психологическим недостатком для некоторых людей.
3- Эксплуатация наивности
Социальные инженеры преуспевают в использовании наивности людей. Когда мы принимаем во внимание тот факт, что некоторые из нас могут быть действительно невинными, невежественными, не иметь опыта использования Интернета (новые пользователи) и сочетать это с естественной легковерностью, мы понимаем, что данные члены нашего общества публично придерживаются принципа «открытости для эксплуатации».
Это невежество можно преодолеть только с помощью образования, осведомленности и практического опыта. Но до тех пор, пока этого не произойдет, эта ветвь нашего общества будет «сидячей уткой» для злоумышленников.
Из-за того, что интернет-преступников очень трудно отследить, а фишинг и преступления такого рода классифицируются как мелкие правонарушения, приводит к постоянному ежегодному росту киберпреступлений.
Какими бы аморальными и неэтичными они ни были, социальные инженеры - умные люди, действующие спланированно и опертивно, когда видят окно возможностей. Новости о стихийных бедствиях и сплетнях о знаменитостях также являются популярным способом, с помощью которого мошенники пытаются привлечь внимание потенциальных жертв и спровоцировать их перейти по общим ссылкам.
Они понимают неподдельный интерес публики к текущим тенденциям и с радостью используют это, создавая ссылки с привлекающими внимание заголовками. Эти ссылки затем передаются и распространяются по Интернету через взломанные учетные записи.
Идея обычно состоит в том, чтобы заставить людей нажимать на ссылки, что приводит их на вредоносный веб-сайт, который заражает их компьютеры вредоносным ПО или получает их учетные данные, в то же время используя профиль недавно приобретенной жертвы для дальнейшего распространения мошенничества.
В настоящее время в связи с растущей доступностью частной информации в Интернете из-за неадекватной практики обеспечения конфиденциальности, социальные инженеры используют социальные сети для более точных целевых атак, направленных против человека, которого они уже исследовали в Интернете.
Злоумышленники ловко «болтают» с жертвами на темы, представляющие общий интерес, прежде чем подружиться с ними для дальнейшего контакта. Часто цель состоит в том, чтобы завоевать доверие, извлечь полезную информацию, а затем использовать ее для получения выгоды. Тот же метод применяется и по другим гнусным причинам, таким как принуждение, шантаж, вымогательство и другие подобные преступления.
Признаки типичного онлайн-мошенничества, когда социальный инженер становится онлайн-знакомым жертвы через сайты знакомств или социальные сети, завоевывает доверие и затем начинает манипулировать человеком, чтобы получить деньги, рассказывая сфабрикованные истории.
Однако невредимое доверие жертвы к мошеннику напоминает знаменитую пословицу:
«Нет пластыря от человеческой глупости». - Неизвестный
К сожалению, пока нет быстрого решения, которое могло бы помешать наивным людям доверять опасным и хитрым особям. Аппаратные и программные превентивные решения будут работать только до определенной степени и откажут, если команду принимает на себя неопытный человек.
Катастрофическая тенденция предприятий вкладывать средства в технологии, а не в людей, обычно вызывает огромное сожаление, когда происходит нарушение. Компания может установить десять различных типов брандмауэров и систем обнаружения инструкций для защиты данных, но эти меры бесполезны, чтобы помешать кому-либо передать свои учетные данные злоумышленнику в хорошо организованной атаке социальной инженерии.