Социальная инженерия - это набор разнообразных и развивающихся техник манипуляции для получения доступа к личной информации:паролям, деньгам или другим ценностям. Это явление граничит между кибербезопасностью и психологией, сочетая в себе методы из обеих областей.
Мошенничество, основанное на социальной инженерии, строится на том, как люди думают и действуют - социальная инженерия служит для манипулирования поведением человека. Это вопрос чистой психологии, тщательного наблюдения, вторжения в личное пространство, провокации. Это игры на эмоциях людей, своего рода "взлом человеческого в людях".
Как работает?
Незнание социальной инженерии и недооценка информационного ресурса, которым каждый из нас практически обладает или к которому имеет доступ, является удобной возможностью для киберпреступлений - онлайн, лично и посредством других взаимодействий.
Чтобы оставаться защищенным от кибератак, важно иметь критическое и здоровое мышление. Каждый хочет верить, что его никогда не обманут фишинговым электронным уведомлением или другим заманчивым приглашением. Чтобы повлиять на наше самолюбие киберпреступники используют всю палитру человеческих эмоций.
Как правило, социальная инженерия против конкретного человека или организации начинается со сбора основной информации, интересов и поведения. Этот процесс может происходить в течение одного или нескольких месяцев: в серии чатов, в социальных сетях, в электронной почте и даже лицом к лицу. Исходя из этой базы, следуют целенаправленные шаги по укреплению доверия.
Злоумышленник ищет слабые места, которые можно использовать в своих целях. Большинство атак социальной инженерии опираются на фактическое общение и мотивируют пользователя раскрыться как можно больше и, тем самым, скомпрометировать себя. Недооценка такой преднамеренной связи дает хакеру путь к множеству сетей и учетных записей даже при предоставлении лишь минимальной, фрагментарной формации.
Психология
Атаки с использованием социальной инженерии основаны на убеждении и создании доверия. Достоверность бесценна и необходима для того, чтобы поверить в историю, какой бы неправдоподобной она ни была. Эмоциональный колорит такого общения в социальной инженерии практически обязателен, ведь большинство людей уязвимы именно в области своих чувств.
Правильно построенные атаки дают злоумышленнику преимущество и доступ к его внутреннему миру и побуждают совершать иррациональные или рискованные действия под влиянием эмоций. Состояния страха, возбуждения, любопытства, гнева, вины, печали провоцируют неуверенность, замешательство и являются идеальной средой для влияния.
К созданию эмоциональной нестабильности очень часто добавляется метод, характерный для прямых продаж, — внушение срочности и давления, требующего быстрой реакции или принятия решения. Как ни странно, этот подход срабатывает относительно часто. В качестве альтернативы иногда используется предложение вознаграждения в случае своевременного ответа. Оба эти подхода снижают способность к критическому мышлению.
Типы атак
Почти каждая кибератака содержит тот или иной вид социальной инженерии. Массовый фишинг - это безличная и широко распространенная практика, направленная на многих пользователей - злоумышленники выдают себя за доверенное учреждение или конкретного человека, пытаясь убедить жертву ввести личные данные и другую ценную информацию.
Например, целевой фишинг использует персонализированную информацию и нацелен на избранных пользователей. Атаки типа «китобойный промысел» направлены на цели, которые могут представлять большую ценность — знаменитости, высшее руководство, высокопоставленные правительственные чиновники и т. д.
В обобщенном виде популярные практики выглядят следующим образом:
- Фишинг: тактика включает в себя мошеннические электронные письма, веб-сайты и текстовые сообщения для кражи информации.
- Целевой фишинг (spear phishing): электронная почта используется для проведения целенаправленных атак на частных лиц или предприятия.
- Приманка: сетевая и физическая социальная инженерная атака, которая обещает жертве вознаграждение.
- Scareware или пугающее ПО: жертву обманывают, заставляя поверить, что на ее компьютере установлено вредоносное ПО. Если пострадавший заплатит, то вирус будет удален.
- Предлог: использует фейковую личность, чтобы обманом заставить жертву выдать информацию.
- Quid Pro Quo: полагается на обмен информацией или услугу, чтобы убедить жертву действовать.
- Захват: полагается на доверие человека, чтобы предоставить преступнику физический доступ к охраняемому зданию или территории.
- Вишинг: экстренные голосовые сообщения убеждают жертву, что она должна действовать максимально быстро, чтобы защитить себя от ареста или другого риска.
- Water-Holing: продвинутая социально-инженерная атака, поражающая сайт и его посетителей вредоносным ПО.
Общей нитью, связывающей эти методы социальной инженерии, является человеческий фактор. Киберпреступники знают, что лучший способ кражи - использование человеческих эмоций.
Необычные методы социальной инженерии
Среди курьезных случаев социальной инженерии стоит также выделить несколько "хрестоматийных" примеров. Старая добрая классика:
- USB-накопители, оставленные в общественных местах;
- вложения к электронному письму с бесплатным предложением или программным обеспечением;
- злоумышленник, выдающий себя за законного сотрудника, доверенного поставщика, чтобы получить физический доступ к месту, где хранится информация.
Последние встречаются в основном в корпоративной среде, правительственных учреждениях и т.д.
Атаки червей — вечное явление в мире социальной инженерии. Их цель - заставить пользователя перейти по ссылке и открыть зараженный файл.
Червь LoveLetter, перегрузивший серверы электронной почты многих компаний в 2000 г. Жертвы получали письмо с предложением открыть вложенное любовное письмо. После открытия червь копирует себя во все контакты из адресной книги жертвы. Этот червь до сих пор считается причиной самых разрушительных финансовых потерь.
Почтовый червь Mydoom появился в Интернете в январе 2004 года. Вирус использует тексты, имитирующие технические сообщения, отправляемые сервером.
Червь Swen выдает себя за сообщение, отправленное компанией Microsoft. В нем утверждается, что приложение является дополнением к офисному пакету Windows. Неудивительно, что многие люди воспринимают это всерьез и устанавливают ПО.
Для распространения вредоносных программ также используются одноранговые сети. Червь или троянский конь появляется с названием, которое привлекает внимание, и, кроме того, пользователи, скорее всего, не сообщат о возможной проблеме. Например: AIM & AOL Password Hacker.exe, Microsoft CD Key Generator.exe, PornStar3D.exe, Play Station emulator crack.exe или почему бы не Free Internet Access или Mobile Communications.
Другой пример этой техники - троянский конь, который был разослан на адреса электронной почты, взятые с веб-сайта по подбору персонала. Люди, зарегистрировавшиеся на сайте, получали фальшивые предложения о работе от "троянского коня". Атака была направлена в основном на адреса корпоративной электронной почты. Киберпреступники знают, что сотрудники, получившие "троянского коня", не захотят сообщать своим работодателям о том, что они заражены, пока ищут альтернативную работу.
Спасибо что дочитали до конца! Не забывайте подписываться на канал, чтобы не пропускать самое интересное из мира гаджетов и технологий. Ставьте лайки и пишите комментарии, мне важно ваше мнение!👇
