Киберпреступники уже получили достаточно информации о вас, чтобы попробовать добраться до вашего банковского счета. Как им это удалось? Рассказываем в новом материале.
Что такое социальная инженерия?
Социальная инженерия — это способ получить доступ к информации или системам с помощью обмана и психологических манипуляций. Злоумышленники используют социальную инженерию, чтобы выведать конфиденциальную информацию: пароли, номера банковских счетов или личные данные.
В отличие от технических способов взлома, социальная инженерия нацелена на людей, а не на системы или сети. Преступники могут использовать поддельные электронные письма или сайты, придумывать истории, чтобы завоевать доверие жертвы и заставить ее раскрыть конфиденциальные сведения.
Обычно у тех, кто использует социальную инженерию, есть одна из двух целей:
- навредить, удалив или изменив данные;
- заполучить ценности, например, информацию, доступ к чему-либо или деньги.
Какими могут быть риски от действий интернет-мошенников?
- Материальные риски. Внедрение вредоносного ПО в операционные системы ваших устройств может уничтожить или исказить информацию, хранящуюся на них, а также повлиять на их работу, вплоть до полного вывода из строя. Также информация на устройствах может быть зашифрована, и чтобы вернуть доступ к ней, придется заплатить выкуп злоумышленникам. К сожалению, нет никаких гарантий, что после перевода средств вам вернут доступ к информации.
- Финансовые риски. Проникнув на ваши устройства, вредоносное ПО может перехватить банковские данные или иную информацию, которую можно использовать для идентификации и аутентификации в банковских системах.
- Репутационные. Перехваченная с ваших устройств информация (личные фотографии, звонки, переписки) может использоваться с целью шантажа и вымогательства.
Что нужно знать о социальной инженерии?
Большая часть атак с применением социальной инженерии будет воздействовать на вас через эмоции:
- Страх, тревога
- Возбуждение
- Любопытство
- Злость, обида
- Вина
- Тоска, сожаление, сопереживание
Эмоциональная составляющая дает преимущество киберпреступникам, ведь, под влиянием сильных чувств, вы перестаете мыслить рационально и действуете импульсивно.
Еще одно отличие социальной инженерии от обычной фишинговой атаки — фактор доверия. Вполне вероятно, что злоумышленник уже изучил вас через социальные сети, а также через иную информацию, которая могла попасть к нему в руки: например, через слитые данные о заказах в ресторанах и кафе, через утекшие в общий доступ медицинские сведения из поликлиник и медицинских центров, через персональные данные, которые вы могли оставить при заполнении карточки клиента в магазине бытовой химии, и прочее. Таким образом, интернет-мошенник может иметь на руках чувствительную информацию о вас, вашем здоровье или предпочтениях, поддерживать разговор на уровне близкого знакомого и усыплять вашу бдительность, отвечая даже на очень личные вопросы.
Как выглядит атака с использованием социальной инженерии?
Письмо от друга/коллеги
Киберпреступники могут получить доступ к личной почте/аккаунту в социальной сети вашего друга или коллеги и использовать его для того, чтобы завладеть конфиденциальными данными или попытаться выманить ваши деньги. Письма и сообщения могут содержать фишинговые ссылки, зараженные файлы, а также просьбы срочно перевести деньги на счет.
Такой тип атак может быть как автоматизированным, т. е. преступники «вслепую» разошлют сообщения всем сохраненным контактам, так и таргетированным, т. е. направленным конкретно на вас. В первом случае поведение «друга» легко разоблачить, т. к. оно будет подозрительным, неестественным.
А вот во втором случае злоумышленник может тщательно изучить ваш профиль в соцсетях, ознакомиться с архивом сообщений, чтобы вступить в личную переписку. Общаясь с вами, он может очень точно подражать манере общения вашего друга и даже присылать фотографии, сгенерированные с помощью нейросетей или обработанные в графическом редакторе.
Важно: довольно часто киберпреступники создают эффект чрезвычайной срочности, нагнетают панику, чтобы напугать и дезориентировать пользователя. Дело в том, что в спешке люди склонны терять критичность мышления и действуют необдуманно.
Для этого в том числе может быть использован голосовой фишинг с использованием нейросетей, когда вам поступает звонок или голосовое сообщение, озвученное напуганным голосом вашего близкого или коллеги. Искусственный интеллект сегодня может удивительно точно подражать голосу любого человека.
Электронное письмо от доверенного источника
Мошенники выдают себя за представительство компании, которой доверяют пользователи, к услугам которой регулярно обращаются. Уровень доверия к таким компаниям может быть настолько высок, что пользователи будут следовать предложенным инструкциям неукоснительно, не подвергая свои действия критическому анализу.
Некоторые киберпреступники имеют широкий арсенал поддельных сайтов, номеров телефонов и e-mail адресов, которые легко спутать с легитимными — их сходство будет достаточно высоким, чтобы пользователь с минимальными навыками в области информационной безопасности не заметил подлог.
Scareware
Так называют программное обеспечение, которое используют, чтобы вызвать страх у людей для последующего манипулирования. Цель — заставлять их передавать конфиденциальные данные или устанавливать вредоносное ПО на компьютеры. Чаще всего Scareware выдает себя за сообщение или нотификацию от правоохранительных органов, обвиняющие пользователя в совершении преступления. Также может иметь вид письма от технической поддержки и сообщать о, якобы, заражении компьютера.
Важно: интернет-мошенники активно используют законные сервисы защиты URL-адресов для скрытия вредоносных ссылок.
Апелляция к жадности
Речь идет об электронном письме, в котором пользователю обещается колоссальная выгода от оказания простой услуги. Например, «нигерийский принц» хочет бежать из страны и просит вас за гигантское вознаграждение предоставить банковские данные и перевести аванс. Примеров «апелляции к жадности» может быть много: выигрыш в лотерею, внезапно обрушившееся на вас наследство, известная личность, которая просит вас о помощи взамен на вознаграждение, романтические ухаживания и прочее. Эта уловка проста и при этом стара как мир. И тем не менее, фишинг такого рода все еще чрезвычайно прибылен для киберпреступников. По данным западных источников, он приносит злоумышленникам свыше 700 000 долларов США в год.
SMS-сообщения от доверенных источников
Если злоумышленники заполучили номер вашего телефона, вы можете стать жертвой фишинговой SMS-рассылки. Злоумышленники могут выдавать себя за оператора связи, службы оповещения, органы власти и проч. Содержание сообщения может быть как нейтральным, например, приглашение ознакомиться с новым выгодным тарифом сотой связи, так и пугающим, например, оповещение о необходимости посетить отделение полиции для дачи показаний.
Чаще всего внутри SMS будет содержаться вредоносная ссылка.
Атака на «водопой»
Злоумышленники могут внедрить вредоносный код в легитимный ресурс, который часто посещают их жертвы. Результатом такой атаки может быть как утечка конфиденциальных данных, так и внедрение программ-вымогателей и проч.
Сегодня злоумышленники прибегают к многоступенчатым, продуманным атакам
Незаконные выгоды
Некоторые злоумышленники используют рассылки с обещанием незаконных выгод, которые получит пользователь, если перейдет по ссылке или установит особое ПО. Например:
- бесплатный и безлимитный доступ в интернет;
- пополнение банковского счета;
- доступ к запрещенным ресурсам;
- возможность загрузить генератор номеров кредитных карт и проч.
В таких ситуациях жертва атаки может не сообщать о происшествии в правоохранительные органы, т. к. боится наказания или общественного порицания.
Как не стать жертвой социальной инженерии?
1. На сегодня абсолютно оправданная стратегия — никому не доверять и проверять абсолютно каждое сообщение, которое кажется вам подозрительным: содержащее ссылки, файлы для скачивания или просьбы перевести деньги или передать банковские данные. Помните, что сегодня в арсенале у мошенников есть графические редакторы и нейросети, с помочью которых можно создавать фотографии близких вам людей, видео с их участием и даже воспроизводить звучание голоса. Если вы получили сообщение с пугающим содержанием, например, о том, что ваш родственник стал виновником аварии и нужно срочно перевести деньги — не отвечайте на такое письмо/сообщение и позвоните отправителю на его личный номер телефона.
2. Не передавайте личные данные в непроверенные организации. В первую очередь речь идет о так называемых розыгрышах и лотереях, которые взамен на передачу номера телефона, ФИО и даже паспортных данных предоставят возможность выиграть приз. Розыгрыши призов могут быть настоящими и, тем не менее, собранная база данных участников может быть продана в даркнете или передана напрямую злоумышленникам.
3. Используйте многофакторную аутентификацию.
4. Внедряйте технологии кибербезопасности в повседневную жизнь, например, спам-фильтры и защищенные шлюзы электронной почты для минимизации рисков некоторых фишинговых атак. Не пренебрегайте брандмауэрами и антивирусным ПО: они помогут смягчить масштабы любого ущерба от действий киберпреступников. Не забывайте поддерживать операционную систему в актуальном состоянии и своевременно обновляйте ее. Дело в том, что злоумышленники достаточно быстро узнают об уязвимостях системы и используют их. Разработчики с участием «белых хакеров» и тестировщиков также выявляют уязвимости систем и устраняют их с помощью патчей.
В заключение
Информационная безопасность — это сложно, Обучение основам кибергигиены и безопасного поведения в Сети должно стать приоритетом для вас, если вы не хотите стать мишенью для интернет-мошенников.
