Для чего используется социальный инжиниринг
Социальная инженерия – технология «взлома» человека
Apr 2, 2017 · 13 min read
#profiling #hackandsecurity #лонгрид
Также читайте меня тут: Telegram и Вконтакте
Недавно одна моя знакомая тетка 41 года от роду сперла из магазина платье. Мы в шоке говорим ей, типа как ты это сделала? Там ведь камеры. Она дала ответ: “Подхожу к продавцам и говорю, я кошелек потеряла, дайте с камер наблюдения посмотрю.” Ей отвечают, что в магазине нет работающих камер и, что все они обычные муляжи. После этого она спокойно сперла платье и ушла.
Данная шуточная зарисовка, взятая с просторов Рунета, очень наглядно и просто показывает всю суть термина, о котором наверняка многие из вас часто слышали, но, уверен, что большинство не совсем понимает истинное его значение.
Этот пост начинает серию статей о социальной инженерии, а в этом мы просто разберёмся с самим термином, типовыми атаками и некоторыми приемами.
“Социальная инженерия” (social engi n eering) — это набор различных психологических методик и мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем. Конфиденциальная информация — это логины/пароли, личные интимные данные, компромат, номера банковских карт и все, что может принести финансовые или репутационные потери.
Само понятие пришло к нам из сферы хакинга. Хакер — это человек, который ищет уязвимости в компьютерных системах, по-другому говорят — «взламывает». Какое отношение, казалось бы, к этому имеет социальная инженерия? Все очень просто. В один момент времени хакеры осознали, что главная уязвимость в любой системе — это человек, а не машина. Человек, точно также, как и компьютер, работает по определенным законам. Используя накопленный человечеством опыт в психологии, манипуляциях и механизмах влияния, хакеры стали «взламывать людей». Я ещё это называю “brain hack”. Приведу пример получения выгоды методом социальной инженерии (пример про грамотного социнженера).
Злоумышленнику нужно получить от вас какую-то сумму денег. Допустим, он нашёл ваш мобильный телефон и социальную сеть. Проводя поиск по интернету (об интернет-разведке читаем мою статью тут), он так же обнаружил, что у вас есть брат. Нашёл его социальную сеть и начал ее изучать, чтобы проникнуть в образ его мыслей. Так же он нашёл его мобильный телефон для страховки и вскрыл переписку, где нашёл сообщения с вами. Он их изучил и узнал разные личные факты о вас, что дополнило его знания после просмотра ваших соцсетей. Далее был составлен план, который включал в себя следующее: злоумышленник звонит вам поздно вечером и прикидывается вашим братом, говорит, что ему проломили голову и выкинули где-то на улице, сперли телефон и все деньги с карточками (так оправдывается, почему вам звонит чужой номер). Важно, что обратился он к вам не по имени, а по прозвищу, которое увидел в личной переписке — это очень важный момент. Далее он для правдоподобности говорит, к примеру, что сидел с какими-нибудь вашими общими друзьями в месте, в которое вы часто ходите — бар, клуб, не важно (фото и геопривязки в помощь). Далее после такого рассказа он говорит, что родителям главное не говорить! У отца же сердце больное (из взломанного диалога выяснил). После этого следует что-то типа: «Скинь мне 500р на такси до больницы» — и даёт номер карты, говоря, что здесь рядом проходила добрая девушка, которая помогла ему, но у неё нет денег, зато есть карта. В 8 случаях из 10 после такого грамотного подхода наша вымышленная сестра деньги переведет, а потом с ее счета снимутся все деньги, а не только 500р. Для технически грамотного хакера это совсем не проблема.
Раскрою секрет, на самом деле, “эта сестра” не вымышленная. Данный случай действительно произошёл с одной бедной девушкой около трёх лет назад. С ее карты сняли 500р + ещё 22 000р. Все, что на ней лежало, в общем. В данном примере может показаться немного странным несколько вещей. Многие скажут, как она не узнала его голос? Друзья, представьте, как искажается голос человека, когда человек говорит на эмоциях, громко, с посторонними шумами и т.д. Также сестра уже спала, а спросонья опознать голос ещё сложнее. Другая странность — почему она сразу, не задумываясь, перевела деньги и не позвонила друзьям спрашивать, куда делся ее брат, после того, как они разошлись? Все просто — поставьте себя на ее место. Ночь, раздаётся звонок, тебе выдают факты, которые знаете только вы с братом + это ОЧЕНЬ БЛИЗКИЙ человек. Задеть эмоции, которые отключают логику — очень просто, если грамотно все преподнести, проделав заранее серьёзную аналитическую работу. Так вышло и в данном случае. Почему же тогда в 8 случаях из 10 такой план сработает, а не в 10? Хакеру могло не повезти и брат, мог увидеть, что его страничку сломали, но в данной истории роль сыграло время. Он взломал его ночью, поэтому, брат ничего не обнаружил, а жене брата наша жертва позвонила уже после того, как перевела деньги, так как “брат” сказал ни в коем случае не говорить ей об этом. Когда пострадавшая все же не выдержала и позвонила жене на эмоциях, оказалось, что настоящий брат мирно спал с ней рядом, и наша героиня все осознала.
Итак, давайте разберем по пунктам, что же использовал хакер в данном случае:
1. Создал личность прикрытия (брат) и хорошую легенду, которую наполнил реальными фактами, которые доказывали, что это именно он. Место, где они гуляли с друзьями (геопривязки Инстаграмма); факт о том, что у отца больное сердце; обращение к пострадавшей по прозвищу, которое использовалось в личной переписке и т.д.
2. Все это было сказано довольно быстро и постоянно подгонялось. Главное правило любого афериста — заставить человека не думать, а постоянно что-то делать. Данный психологический прием называется “контроль внимания”.
3. Использовался один очень сильный механизм влияния — давление на жалость (обращение к эмоциям). В данном случае в силу того, что был этап глубокой проработки психологических портретов (профилей) жертвы и ее брата, это сработало очень хорошо и усилилось еще от того, что это близкий человек.
Другой интересный пример — то, как можно спокойно получить ваш рабочий логин и пароль. Звонит вам «сисадмин» с работы в 8.00 утра в воскресенье и говорит: «Слушай, у нас тут технические работы, бла-бла-бла, куча разных терминов сложных…не мог бы ты приехать? Надо открыть твой компьютер». Вы сразу про себя думаете: «Приехать на работу в воскресенье утром ради 1 мин, чтобы ввести логин и пароль?!» И сразу спрашиваете: «А есть другой вариант?» «Конечно есть! Нужны логин и пароль. Я неполадки все устраню и в понедельник на всякий случай все твои логины и пароли сменим». Вы, радостный и счастливый, даёте свои логин с паролем «сисадмину» и спите дальше. Не поверите, но таким образом поступают более 70% людей. То есть, если соц.инженер найдёт 10 чел. в разных фирмах и будет им звонить, то 6–7 из них точно дадут ему свои пароли. Причины очень простые: сначала хакер создаёт условия, что все плохо — 8 утра, воскресенье, срочность, постоянно подгоняет. Вы загрузились и настроились, что придётся ехать…а потом раз, и вам дают облегчение в виде простого решения проблемы! Конечно, большинство людей соглашаются. Называется данный механизм влияния – принцип контраста, когда сначала вам подсовывают какую-то проблему, а потом через какое-то время дают решение.
Данные примеры всего лишь капли в море из возможных сценариев, по которым социальные инженеры могут добраться до наших слабостей и воспользоваться ими. В следующем разделе познакомимся поближе с некоторыми из их приемов.
Социальная инженерия
Содержание
Техники и термины социальной инженерии [ ]
Все техники социальной инженерии основаны на особенностях принятия решений людьми, называемых когнитивным базисом. Они также могут быть названы «глюками в человеческом обеспечении».
Претекстинг [ ]
Фишинг [ ]
Троянский конь [ ]
Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении «клёвый» или «сексуальный» скрин-сейвер, важный апгрейд антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.
Дорожное яблоко [ ]
Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2007». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто добрый самаритянин отнесёт диск в компанию.
Кви про кво [ ]
Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.
Обратная социальная инженерия [ ]
Целью обратной социальной инженерии (reverse social engineering) является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью хакер может применить следующие техники:
Известные социальные инженеры [ ]
Кевин Митник [ ]
Осуждённый компьютерный преступник и консультант по безопасности Кевин Митник популяризовал термин «социальная инженерия», указав, что для злоумышленника гораздо проще хитростью вынудить информацию из системы, чем пытаться взломать её.
Социальная инженерия
Социальная инженерия — это совокупность психологических и социологических приемов, методов и технологий, которые позволяют получить конфиденциальную информацию. Кибермошенников, которые используют эти приемы на практике, называют социальными инженерами. Пытаясь найти доступ к системе или ценным данным, они используют самое уязвимое звено — человека, который считается наименее устойчивым к внешнему воздействию. Почему так происходит?
Предпосылки для появления социальной инженерии
«Миром правят данные», «данные — новая нефть». Эти выражения отражают сегодняшнюю картину отношения к информации. У бизнеса — как в IT-сфере, так и любой другой — информация часто имеет очень высокую ценность и от нее зависит успешность компании, ее развитие, безопасность клиентов и репутация. Но в любой системе, которая связана с получением, хранением, обработкой данных, всегда участвует человек. И пока другие методы защиты справляются с сохранением конфиденциальных данных в тайне, человеческий фактор становится тем ключом, который открывает двери мошенникам.
В social engineering все строится вокруг слабостей человека. С одной стороны, это личностные качества: сопереживание, наивность, доверчивость, лояльность к чужим слабостям, страх. С другой — качества профессиональные: недостаток знаний, неумение применять их на практике, игнорирование инструкций и должностных обязанностей. Поэтому социальную инженерию часто называют «взломом» человека. На практике каждый взлом может иметь серьезные последствия, в первую очередь, для компании, в которой работает человек.
Ежегодный ущерб от киберпреступников, которые используют приемы социальной инженерии, оценивается в десятки миллиардов долларов США. Одним из самых первых громких дел с применением social engineering’а стало дело Кевина Митника. Его начинания продолжили другие: Братья Бадир, хакер по имени Архангел, Питер Фостер. Некоторые истории легли в основу сценариев для художественных фильмов — например, кинолента «Поймай меня, если сможешь» с Леонардо ди Каприо в главной роли основана на реальных фактах.
Основные приемы социальной инженерии
Фишинг
Это сбор пользовательских данных для авторизации (логинов и паролей) в различных онлайн-сервисах. Фишинг популярен, о нем многие знают, но, тем не менее, попадаются на его «удочку». Обычно он представляет собой массовые рассылки спама по электронной почте. Потенциальным жертвам приходят письма якобы от сервисов, которыми они пользуются: платежных систем, онлайн-магазинов и т. п. Эти письма — поддельные, их задача в том, чтобы заставить пользователя перейти по ссылке или кнопке, а затем оставить мошенникам авторизационные данные. Чтобы вызвать больше доверия, мошенники придумывают серьезные причины для перехода по ссылке: например, просят жертву обновить пароль или подтвердить какое-то действие в системе.
Претекстинг
Методика психологической манипуляции по заранее подготовленному сценарию. Сценарий реализуется во время голосового общения, в ходе которого жертва сообщает киберпреступнику нужную ему информацию или выполняет действие, которое приведет его к желанной цели. Часто социальные инженеры представляют сотрудниками банков, кредитных сервисов, техподдержки или других служб, которым человек по умолчанию доверяет. Для большей достоверности они сообщают потенциальной жертве какую-либо информацию о ней: имя, номер банковского счета, реальную проблему, с которой она обращалась в эту службу ранее.
Плечевой серфинг
Проще говоря, это подглядывание из-за спины. Так легко получить пароли и логины для входа в местах общественного пользования: кафе и ресторанах, парках и залах ожидания в аэропорту или на вокзале.
Сбор данных из открытых источников
Это не только соцсети (хотя сегодня они особенно актуальны), но и информация в поисковых системах, блогах, на форумах, в профессиональных сообществах и сообществах по интересам, на сайтах с частными объявлениями, на офлайн-мероприятиях: конференциях, докладах, мастер-классах.
«Кви про кво»
Второе название — «услуга за услугу». Эта техника атаки предполагает общение по электронной почте или телефону. Мошенник представляется сотрудником, например, техподдержки, и предлагает жертве помочь ему устранить определенные неполадки в онлайн-системе или на рабочем месте. Жертва, выполняя его указания, лично передает ему средства доступа к важной информации.
Троянский конь/дорожное яблоко
Метод предполагает подбрасывание «приманки», которая с высокой вероятностью заинтересует потенциальную жертву. Такой приманкой обычно становится носитель информации — например, флеш-карта, CD-диск или карта памяти к телефону. Жертве станет любопытно, что находится на носителе, она вставит их в ноутбук или телефон, а мошенник с помощью специальной программы получит доступ к информации. Приманкой может быть и email-сообщение, которое сулит получение быстрой прибыли, выигрыша, наследства и других вещей, которые точно заинтересуют многих получателей письма и заставят выполнить содержащиеся в нем инструкции.
Обратная социальная инженерия
Методика направлена на то, чтобы жертва сама обратилась к социальному инженеру и выдала ему необходимые сведения. В этой ситуации мошенники часто прибегают к диверсиям: подстраивают поломку компьютера, проблемы с авторизацией и делают так, чтобы сотрудник попросил их помочь с устранением проблемы.
Что такое социальная инженерия, уже понятно по перечисленным методам. Но это далеко не все, чем пользуются кибермошенники. В мире популярен мобильный банкинг, и социальные инженеры применяют свои знания, чтобы получить доступ к карточным счетам жертвы. Так выделилось отдельное направление, которое называют кардингом. За этим определением скрываются махинации с банковскими картами. Если раньше использовались физические способы получения информации (специальные устройства считывали пароли прямо на терминалах), то теперь это проще сделать с помощью методов социальной инженерии, психологическими приемами заставляя жертву раскрыть номер карты, срок ее действия, CVV-код и получить полный контроль над банковским счетом.
Мошенники активно пользуются социальными сетями, в которых пользователи делятся событиями из личной жизни и увлечениями. Чтобы получить доступ к аккаунту (любому, не только в соцсети), хакеры изучают страницу потенциальной жертвы: когда и где она родилась и живет, кто ее родители, ее хобби, какие мероприятия посещает, с кем дружит. Взломав профиль друга жертвы, легко будет установить с ней контакт и получить нужные сведения, прикрываясь благими намерениями.
Еще один инструмент социальных инженеров — СМС-рассылки. В них обычно сообщают о выигранных автомобилях и крупных суммах, об угрозе немедленной блокировки банковской карты и попавших в беду родственниках. Человек, у которого таким способом вызвали интерес, сочувствие или страх, способен на многое, в том числе поделиться секретной информацией, не подозревая, что передает ее в руки мошенников.
Методы работы социальных инженеров
Опытный социальный инженер редко использует одну технику сбора данных. Обычно методы социальной инженерии — это комплекс инструментов, которые применяются в зависимости от обстоятельств. Он:
Атака методами социальной инженерии
Чтобы эффективно применить методы социальной инженерии, нужно знать, с чем и кем имеет дело кибермошенник. В компании преступника может заинтересовать количество сотрудников, графики их работы, перемещения, страхи, конфликты на рабочем месте и другое, что делает их уязвимыми.
Наибольший интерес представляют данные для авторизации, аккаунты в социальных сетях, сообщения на форумах, в чатах, сведения о перемещении, личный адрес, связи с другими людьми (родственниками, коллегами, друзьями), общедоступная информация из поисковых сервисов.
Получение физического или онлайн-доступа к ценной информации, сбор базы логинов/паролей, документы или другая цель, которую преследует кибермошенник. Атака осуществляется после контакта мошенника с жертвой. Установить контакт можно разными способами: в реальном или телефонном разговоре, онлайн (отправив письмо на e-mail или написав в соцсети).
Информацию, которая попала в руки киберпреступнику, можно использовать для доступа к банковскому счету, чтобы скомпрометировать компанию, попросить выкуп за возврат доступа или нераспространение украденного.
Что такое тест на проникновение
Когда упоминается социальная инженерия, определение ее предполагает, что по ту сторону от жертвы всегда стоит кибермошенник. Это не так. Сегодня инструменты социального инжиниринга используются для повышения информационной безопасности предприятия через тесты на проникновение.
Специалисты, которые занимаются тестированием на проникновение, точно также используют психологические и социологические приемы для получения ценной корпоративной информации. Но их цель — закрыть слабые места, выявить пробелы в знаниях сотрудников и повысить сознательность там, где речь идет о конфиденциальных данных и способах обращения с ними.
Как защитить компанию от социальной инженерии
Так как самым уязвимым элементов в системе безопасности остается человек, мероприятия по защите будут затрагивать именно его. Исключением будет установка последних обновлений для антивирусных приложений и надежного брандмауэра на рабочие машины сотрудников.
Инструкции по работе с информацией
Информация, с которой работает сотрудник, является собственностью компании. То же касается авторизационных данных в корпоративных системах. Некоторые компании уже перешли на регулярную смену прав доступа, но некоторые сотрудники продолжают оставлять логины и пароли на виду, не скрывая их от потенциальных мошенников или легко передаю их третьим лицам без должных оснований.
Инструкции по общению с клиентами/посетителями/техподдержкой
Не важно, кем является человек, который хочет прямо или косвенно получить от сотрудника ценные данные или доступ к ним. Главное, чтобы сотрудник имел четкие инструкции, какую информацию он вправе передавать и на каких основаниях. Третьи лица, которые не связаны с компанией, но интересуются процессами в ней, должны вызывать подозрение и ответную реакцию: о них следует доложить службе безопасности компании.
Повышение осведомленности
Регулярно появляются новые способы информационных атак, методы взлома, в том числе, социальной инженерии. Значит, компании необходимо регулярно обучать персонал принципам работы с корпоративными данными и напоминать об ответственности, которая на них возложена. Сотрудники обязаны знать, к каким последствиям может привести раскрытие конфиденциальных данных с помощью социальной инженерии. Помимо этого, руководству компании следует разработать регламенты и инструкции, касающиеся вопросов хранения, использования, распространения и передачи авторизационных и других данных третьим лицам.
Осторожно, это ловушка: что такое социальная инженерия
«Привет! Я оказался в сложной ситуации. Можешь занять 5000 рублей до понедельника», — получали такое сообщение в соцсетях от «друзей»? Значит вы уже сталкивались с социальной инженерией. Киберпреступники всё чаще используют такие методы для кражи ценных данных (в том числе и ваши финансы), ведь человеческий фактор по-прежнему остаётся слабым звеном в любой системе защиты.
Согласно статистике, количество атак с использованием социальной инженерии в 2020 году выросло на 147%. Рассказываем вам, какими бывают такие приёмы и как обезопасить себя.
Что такое социальная инженерия и как она появилась?
Социальная инженерия (social engineering) или «атака на человека» — это совокупность психологических и социологических приёмов, методов и технологий, которые позволяют получить конфиденциальную информацию.
Кибермошенников, которые используют эти приёмы на практике, называют социальными инженерами. Пытаясь найти доступ к системе или ценным данным, они используют самое уязвимое звено — человека. Самый простой пример — телефонный звонок, где злоумышленник выдаёт себя за кого-то другого, пытаясь узнать у абонента конфиденциальную информацию, играя на чувствах человека, обманывая или шантажируя его. К сожалению, многие люди продолжают клеватьна такие удочки и доверчиво рассказывают социальным хакерам всё, что им нужно. А в арсенале мошенников немало техник и приёмов. О них мы расскажем чуть позже.
Сейчас социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка.
Люди использовали социальную инженерию с древних времён. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных ораторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и работали на благо своего государства.
Спустя много лет, к началу 1970-х годов стали появляться телефонные хулиганы, нарушавшие покой граждан просто ради шутки. Но кто-то сообразил, что так можно достаточно легко получать важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.
Когда же появились компьютеры, большинство инженеров сменило профиль, став социальными хакерами, а понятия «социальная инженерия» и «социальные хакеры» стали синонимичны.
Яркие примеры социальной инженерии
Иллюстрацию того, на что способен умелый социальный инженер можно найти в кинематографе. Возможно, вы смотрели фильм «Поймай меня, если сможешь», основанный на реальных событиях — на истории легендарного мошенника Фрэнка Уильяма Абигнейла-младшего. За пять лет преступной деятельности его фальшивые чеки на общую сумму 2,5 миллионов долларов оказались в обращении 26 стран мира. Скрываясь от уголовного преследования, Абигнейл проявил удивительные способности в перевоплощении, выдавая себя за пилота авиалиний, профессора социологии, врача и адвоката.
Иногда достаточно просто попросить. Пример — кража у компании The Ubiquiti Networks 40 миллионов долларов в 2015 году. Никто не взламывал операционные системы и не крал данные — правила безопасности нарушили сами сотрудники. Мошенники прислали электронное письмо от имени топ-менеджера компании и попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт.
А слышали как Виктор Люстиг не просто заполнил США фальшивыми купюрами и оставил «в дураках» Аль-Капоне, а ещё продал достояние Парижа — Эйфелеву башню? Дважды, кстати ;). Всё это стало возможным с помощью социальной инженерии.
Всё эти реальные примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке. Играя на личных качествах человека или отсутствие профессиональных (недостаток знаний, игнорирование инструкций и так далее), киберпреступники буквально «взламывают» человека.
Самые популярные методы социальной инженерии
Атака на человека может производиться по многим сценариям, но существует несколько наиболее распространённых техник работы злоумышленников.
Фишинг
Чувство, на котором играют: невнимательность
Метод сбора пользовательских данных для авторизации — обычно это массовые рассылки спама по электронной почте. В классическом сценарии на почту жертвы приходит поддельное письмо от какой-то известной организации с просьбой перейти по ссылке и авторизоваться. Чтобы вызвать больше доверия, мошенники придумывают серьёзные причины для перехода по ссылке: например, просят жертву обновить пароль или ввести какую-то информацию (ФИО, номер телефона, банковской карты и даже CVV-код!).
И вроде бы, человек всё делает так, как сказано в письме но… он попался! Преступники продумали каждый его шаг, именно поэтому им удаётся заставлять людей делать то, что они хотят.
Подробнее о том, как распознать сайт-подделку и защититься от фишинга можете прочитать в этом посте.
Троян
Чувство, на котором играют: жадность
Вирус не зря получил своё название по принципу работы троянского коня из древнегреческого мифа. Только приманкой здесь становится email-сообщение, которое обещает быструю прибыль, выигрыш или другие «золотые горы» — но в результате человек получает вирус, с помощью которого злоумышленники крадут его данные. Почему этот вид кражи данных называют социальной инженерией? Потому что создатели вируса хорошо знают, как замаскировать вредоносную программу, чтобы вы наверняка кликнули по нужной ссылке,скачали и запустили файл.
Кви про кво
Чувство, на котором играют: доверчивость
Или «услуга за услугу», от латинского «quid pro quo». Используя этот метод, злоумышленник представляется сотрудником службы технической поддержки и предлагает исправить возникшие неполадки в системе, хотя на самом деле проблем в работе ПО не возникало. Жертва верит в наличие неисправностей и, выполняя указания хакера, лично передаёт ему доступ к важной информации.
Претекстинг
Чувство, на котором играют: доверчивость
Ещё один приём, к которому прибегают киберпреступники, называется претекстинг (действие, отработанное по заранее составленному сценарию). Чтобы завладеть информацией, преступник выдаёт себя за известное вам лицо, которому якобы необходима ваша информация для выполнения важной задачи.
Социальные инженеры представляют сотрудниками банков, кредитных сервисов, техподдержки или вашим другом, членом семьи — человеком, которому вы по умолчанию доверяете. Для большей достоверности они сообщают потенциальной жертве какую-либо информацию о ней: имя, номер банковского счёта, реальную проблему, с которой она обращалась в эту службу ранее. Общеизвестный пример — чёрные «call-центры», когда заключённые под видом сотрудников крупных банков звонят гражданам и обманом заставляют перевести деньги. Самый яркий случай произошёл в «Матросской Тишине», где мошенники обманом получили 7 миллионов рублей.
Обратная социальная инженерия
Чувство, на котором играют: доверчивость, невнимательность
Методика направлена на то, чтобы жертва сама обратилась к социальному инженеру и выдала ему необходимые сведения. Это может достигаться несколькими путями:
Внедрение особого ПО
Поначалу программа или система работает исправно, но потом происходит сбой, требующий вмешательства специалиста. Ситуация подстроена таким образом, чтобы тем специалистом, к которому обратятся за помощью, оказался социальный хакер. Налаживая работу ПО, мошенник производит необходимые для взлома манипуляции. А когда взлом обнаруживается, социальный инженер остаётся вне подозрения (он ведь наоборот помогал вам).
Реклама
Злоумышленники могут рекламировать свои услуги как компьютерных мастеров или других специалистов. Жертва обращается к взломщику сама, а преступник не только работает технически, но и выуживает информацию через общение со своим клиентом.
Как защититься?
Если вы не хотите стать очередной жертвой социальных инженеров, рекомендуем соблюдать следующие правила защиты:
Надеемся, что наш пост поможет вам защитить себя от мошенников. Мы всегда готовы поделиться полезным опытом!
И подписывайтесь на рассылку нашего блога — впереди много полезных статей!