Они играют с нашим разумом: социальная инженерия и как от нее защититься

В фильмах часто можно увидеть крутых хакеров, которые ищут бэкдоры, взламывают программы, пробираются в дата-центры или крадут компьютеры пользователей, чтобы через флешку загрузить вирус. В реальности такие авантюры проводятся крайне редко. Куда чаще конфиденциальные данные утекают по вине самих пользователей.

Из-за своей доверчивости или сердобольности люди не только передают важные данные, но и реальные деньги. Такой способ мошенничества работает благодаря социальной инженерии.

Что такое социальная инженерия и как она появилась

По данным Positive Technologies, во II квартале 2022 года 93% атак на частные лица и 43% на организации были проведены с использованием социальной инженерии.

Это неудивительно, ведь у многих сейчас есть социальные сети, где люди подробно рассказывают о своей жизни, что значительно упрощает задачу злоумышленникам. Не нужно быть хакером, чтобы втереться в доверие к человеку и заставить его продиктовать данные банковской карты.

Социальная инженерия ― это метод психологического манипулирования людьми с целью совершения определенных действий или разглашения конфиденциальной информации.

По сути, сам метод может использоваться и в рекламе, и при обычном общении между людьми. Но чаще всего его используют именно для кражи данных и денег, поэтому этот термин в основном ассоциируется с киберпреступлениями.

Проследить развитие этого метода сложно. Если копать глубоко и рассматривать social engineering в широком смысле (как метод психологического воздействия), то любые выдающиеся ораторы ― социальные инженеры. Здесь же вспоминаются древнегреческие софисты, которые могли ввести в заблуждение даже образованных людей.

Действительно, многие века социальная инженерия не была синонимом обмана, скорее, это дар убеждения.

Использовать социальную инженерию в мошеннических целях стали к моменту, когда телефоны появились в каждом доме. Сначала начали орудовать хулиганы, которые звонили во все дома ради забавы, а позже появилась идея узнавать важные данные. Чем больше появлялось технологий, тем больше злодейских схем использовали мошенники. А интернет, система банковских карт и другие технологии делали такой вид заработка еще привлекательнее.

Распространенные методы социальной инженерии

Социальная инженерия — это подход, поэтому в теории он может применяться в десятках мошеннических схем, но мы сделаем акцент на кибермошенничестве, так как именно в нём социальная инженерия оказалась наиболее эффективной.

Претекстинг

Начнем с претекстинга, так как этот метод часто работает в паре с другими приемами. Претекстинг — атака, при которой злоумышленник представляется другим человеком и за счет информированности о пользователе убеждает его, что он действительно представитель конкретной компании. Для этой атаки нужна подготовка. Например, вам может понадобиться день рождения, ИНН, номер паспорта, номер счета.

Фишинг

Фишинг: что это такое простыми словами? Вы часто обращаете внимание на URL знакомого сайта? Если ответ “нет”, вы рискуете попасть на крючок сайта-клона и оставить там свои персональные данные. Самое ужасное, что вы можете не заметить утечки. Обман вскроется только в момент кражи денег.

Способы попасть на фишинговый сайт:

• по ссылке из электронного письма,
• по ссылке из SMS,
• из социальных сетей и др.

Подробнее, как это работает. Пользователю приходит email (этот способ фишинга распространен больше всего), где есть эффект срочности: заканчивается дата регистрации домена, скидка 50% в течение 2 часов, необходимо связаться с банком, чтобы на вас не взяли кредит и другие уловки. Перейдя по ссылке, пользователь попадает на знакомую по внешнему виду страницу. Здесь его могут попросить ввести логин и пароль от аккаунта, данные карты, включая заветный CVС-код. Вот невнимательный человек и попался.

Задача социального инженера — убедить человека, что перед ним сообщение от надежного отправителя и нужно обязательно перейти по ссылке как можно быстрее.

Есть еще две разновидности фишинга: вишинг и смишинг.

Вишинг (vishing – voice+phishing) — голосовой фишинг, или телефонное мошенничество. Это всем вам известные «сотрудники банка» или «родственники», которые попали в беду.

Смишинг (smishing – sms+phishing) — мошенничество через SMS.

Фарминг

Фарминг — скрытая переадресация на поддельные сайты. Если при фишинге пользователь попадает на сайт-клон через полученную ссылку, то фарминг действует куда глубже. На персональный компьютер жертвы устанавливается вредоносная программа. Она меняет информацию об IP-адресах, по которым браузер находит сайты. То есть, когда вы будете переходить на определенный веб-ресурс, система отправит вас на поддельный сайт. Заметить такое перенаправление вдвойне сложнее, чем сомнительную ссылку.

Троян

Название этого вида мошенничества связано с историей о троянском коне. Греческие воины оставили у ворот Трои деревянного коня, якобы в дар. На самом деле внутри коня находились воины, которые изнутри открыли ворота крепости и помогли зайти остальному войску.

Троян — это вирус, который прячется внутри приманки. Как только пользователь хватает наживку, вирус заражает устройство.

Приманкой может быть email-сообщение, SMS, рекламный баннер с выигрышем, предложением о небывалых заработках, веселая и бесплатная игра или полезное ПО. Как только человек загружает себе программу или переходит по зараженной ссылке, вирус нападает на устройство и делает всё, что ему нужно.

Задача социальной инженерии — грамотно замаскировать вредоносную программу.

Кви про кво

Люди, которые хотят нам помочь, кажутся дружелюбными, и мы больше им доверяем. Эта особенность мышления порой играет с нами злую шутку.

Этот метод называется «услуга за услугу», или на латинском это звучит как «Quid pro quo». Злоумышленник представляется специалистом технической поддержки, например, того же банка или ПО, которым вы пользуетесь. Предлагает исправить возникшие неполадки или хочет проверить исправность вещи. Мошенник якобы находит неисправность и вот тогда начинает просить пользователя выполнять разные указания. В процессе сам человек сообщает важную информацию или открывает хакеру доступ к своему устройству.

Обратная социальная инженерия

Смысл этого метода ― заставить жертву саму обратиться к мошеннику и сообщить все персональные данные. Чтобы создать условия для такого обмана можно:

• Внедрить хитрое ПО. Какое-то время оно будет работать исправно, но это продлится недолго. При сбое программы жертва обратится в службу поддержки, и уже социальный инженер начнет свои хакерские делишки. Вы не заметите подвоха, ведь не может же вас обманывать обычный сотрудник техподдержки.
• Реклама компьютерных услуг. Весь процесс выглядит, как обычный заказ услуги: починить компьютер, настроить необходимую программу и другие работы. Жертва сама обратится к злоумышленнику, а тот в свою очередь загрузит все нужные ему вирусы и получит необходимые данные, пока будет разбираться с вашей проблемой.

Ловля «на живца»

Это вид мошенничества встречается редко, но предупрежден ― значит вооружен. Мошенник оставляет приманку ― обычно флешку. На ней записан вирус, или она запрограммирована повредить само устройство коротким замыканием. Жертва, ведомая любопытством, вставляет ее в компьютер. Вуаля! Ваше устройство во власти злоумышленника.

Подобную авантюру провернул главный герой сериала «Киберсталкер» в 1 сезоне 5 серии (примерно на 11:50).

Как не поддаться на уловки социальных инженеров

Есть ли защита от социальной инженерии? Вот 10 правил, которых стоит придерживаться.

Не торопитесь и не принимайте эмоциональных решений

Это самое главное правило, которое убережет вас от потери денег и данных. Социальные инженеры часто создают иллюзию срочности, чтобы не дать вам время подумать и заподозрить неладное. Неважно, звонят ли вам или вы получили подозрительное письмо на почту, сделайте паузу и подумайте:

• С какого номера вам позвонили. Знаком ли вам номер, с каких номеров чаще всего звонит компания или банк. Также для борьбы с мошенниками некоторые организации, например Сбер и Альфа-банк, создали свои определители номеров. Установите их, и у подозрительных звонящих появится соответствующая отметка.
• Как много звонивший о вас знает. Банк не будет спрашивать у вас номер карты, вид карты и сколько денег на счету, так как это всё есть у него перед глазами в базе данных. Мошенник же, наоборот, будет стараться всеми способами выудить у вас заветные цифры.
• С какого адреса вам пришло письмо. Посмотрите, с какого адреса приходили письма раньше. Не доверяйте новым адресам, от которых не ждете сообщений. У организаций чаще всего есть лого и корпоративный электронный адрес на домене, что отличает их от остальных писем. Наши сообщения приходят с адресов, которые заканчиваются на @sweb.ru, например, opinion@sweb.ru. Если вы видите opinion@yandex.ru или info@sweb.site, это письмо от мошенников. Пожалуйтесь на отправителя и отправьте письмо в спам. Пользователи Mail.ru также могут увидеть (или не увидеть) значок надежного отправителя.
• Какой дизайн сообщения и нет ли ошибок. Компании часто делают свои письма с красивым дизайном. Мошенники стараются его копировать, но торопятся и допускают ошибки или копируют дизайн только примерно.

Если сомневаетесь, вы всегда можете обратиться в техническую поддержку или на горячую линию организации и уточнить информацию.

Подумайте, насколько ситуация вообще правдоподобна. Бывали курьезные ситуации, когда у пожилых бабушек, у которых есть только дочери, просили деньги, чтобы спасти их сына. Из-за волнения бабушки переводили деньги и только потом понимали, что эта ситуация просто невозможна. Если деньги просит якобы друг, попросите его позвонить на сотовый.

Не скачивайте сомнительные программы и не переходите по подозрительным ссылкам

Соблазн перейти по ссылке в сообщении слишком велик, но ради безопасности нужно побороть любопытство. Коварная ссылка может скрывать в себе как адрес фишингового сайта, так и запускать загрузку вредоносного ПО, которое потом будет трудно найти и удалить.

Не используйте одинаковые пароли на разных сервисах

Украсть один пароль не так уж сложно:

• его можно найти через личные переписки в мессенджерах;
• узнать список паролей в менеджере паролей браузера с помощью XSS-атаки;
• создать фишинговый сайт и заставить пользователя ввести данные для входа в аккаунт и множество других способов.

Если везде одинаковые пароли или есть только небольшие отличия, вы рискуете за одну атаку хакера потерять доступы к десяткам сервисов.

Мы понимаем, что в современном мире, где личный кабинет нужен даже на сайте продавца постельного белья, придумывать разные пароли очень трудно. Как вариант, храните пароли в специальном менеджере паролей или хотя бы разделяйте защитные комбинации для личных аккаунтов и рабочих (корпоративных).

Установите антивирус

Антивирус ― лучший друг современного пользователя интернета. У многих антивирусов есть проверка вредоносных сайтов и скачиваемых программ. Если вы всё-таки не сможете справиться со своим любопытством, антивирус снизит риск взлома.

Требуйте человека представиться

Сотрудники ГИБДД обязаны называть звание, имя и фамилию, в секретном здании даже у курьера потребуют паспорт. Поступайте так же. Если звонящий, а тем более пришедший в ваш дом человек, не представился, расспросите его, прежде чем выслушать: из какой он компании, его ФИО и цель разговора. Даже если сотрудник забыл представиться, он быстро и без проблем ответит на эти вопросы, а вот мошенник, скорее всего, затушуется и решит вообще не продолжать разговор.

Для важных учетных записей используйте двухфакторную аутентификацию

Если пароль все же утечет в руки злоумышленников, они не смогут пройти второй этап аутентификации и вы будете спасены. Однако пароль всё-таки придется поменять.

Будьте осторожны со своими данными и не доверяйте незнакомым сообщениям и звонкам.