Что такое социальная инженерия?

Понятие социальной инженерии

Социальная инженерия – это метод манипуляции людьми с целью получения их конфиденциальной информации, доступа к ресурсам или других представляющих ценность объектов. Киберпреступники прекрасно овладели искусством обмана: они знают, как убедить ничего не подозревающих пользователей поделиться своими данными, распространить вредоносную программу или открыть доступ к системам, не предназначенным для посторонних. Атаки происходят не только в Сети, но также при личном общении и других видах взаимодействия.

Социальные инженеры выстраивают мошеннические схемы, основываясь на своих знаниях о психологии человеческого поведения. Именно поэтому они легко манипулируют сознанием и действиями пользователей. Разобравшись с мотивами поведения своей жертвы, преступники могут эффективно применять методы психологического манипулирования.

Помимо методов социальной инженерии злоумышленники нередко рассчитывают на недостаток знаний у пользователя. Технологии развиваются так быстро, что о некоторых типах угроз, например о заражении путем скрытой загрузки, многие рядовые пользователи даже не слышали. Не все понимают, какую ценность для мошенников представляют их персональные данные, например номер телефона. В результате они не могут защитить ни себя, ни свои данные.

Как правило, специалисты по социнженерии преследуют одну из двух целей.

1. Диверсия: причинение вреда или неудобств в результате повреждения данных.
2. Кража: получение ценной информации, доступа к ресурсам или денег.

Для того чтобы получить более полное представление о социальной инженерии, важно разобраться, как она работает.

Как работает социальная инженерия?

В большинстве атак с применением социальной инженерии злоумышленники вступают в контакт с жертвой. Зачем тратить время на взлом ваших учетных записей, если вы сами можете преподнести нужную мошенникам информацию на блюдечке?

Жизненный цикл атаки позволяет преступникам выстроить надежную схему обмана пользователя. Как правило, атака на основе социальной инженерии включает следующие стадии.

1. Подготовка. Сбор информации о жертве или группе, к которой она принадлежит.
2. Проникновение. Установление контакта и завоевание доверия.
3. Эксплуатация. Поиск и использование уязвимости жертвы.
4. Исчезновение. Прекращение общения с жертвой после достижения поставленной цели.

Весь этот процесс может уместиться в одном сообщении электронной почты, а может длиться несколько месяцев и занимать много страниц переписки. Иногда злоумышленники даже встречаются с жертвой. Но такое общение заканчивается после того, как жертва совершит нужное преступнику действие, например передаст информацию или установит вредоносное ПО на свое устройство.

Специалисты по социальной инженерии умеют сбивать своих жертв с толку. Многие пользователи не понимают, что даже незначительные на первый взгляд данные могут открыть преступникам доступ к сетям и учетным записям.

Выдавая себя за легитимного пользователя, злоумышленник может обратиться в службу IT-поддержки и узнать ваши личные данные, например имя, дату рождения или адрес. Вооружившись этой информацией, они могут запросто сбросить пароли в ваших аккаунтах и получить практически неограниченный доступ к ним, украсть ваши деньги, распространить вредоносное ПО и причинить массу других неприятностей.

Особенности атак на основе социальной инженерии

Хорошего социального инженера отличает уверенность в себе и мастерство убеждения. Тактики, используемые злоумышленниками, заставляют людей делать то, чего они никогда не сделали бы в других обстоятельствах.

В большинстве случаев специалисты по социнженерии используют следующие приемы.

Играют на эмоциях. Эмоциональные манипуляции позволяют злоумышленникам добиваться своего практически в любой ситуации. Под воздействием эмоций люди нередко совершают нелогичные и даже рискованные поступки. Чтобы достичь свей цели, преступник может попытаться вызвать у жертвы следующие эмоции.

• Страх
• Волнение
• Любопытство
• Злость
• Вина
• Огорчение

Создают ощущение срочности. Уникальные предложения с ограниченным сроком действия или срочные запросы информации пользуются у мошенников не меньшей популярностью. Узнав, что вам грозит проблема, требующая незамедлительного решения, вы можете забыть о безопасности и передать злоумышленнику свои конфиденциальные данные. Также вас могут обмануть обещанием награды или приза, которые нужно забрать прямо сейчас, пока карета не превратилась в тыкву. Оба подхода призваны отключить ваше критическое мышление.

Входят в доверие. Правдоподобность – ключевой аспект любой атаки с применением социальной инженерии, важность которого сложно переоценить. Мошенник заведомо вас обманывает, и в этой ситуации для него главное – быть убедительным. У него есть достаточно информации для того, чтобы сочинить историю, которой вы поверите без лишних вопросов.

Но есть и исключения. Иногда злоумышленники выбирают более простые методы для проникновения в вашу сеть или устройство. Например, они могут проводить много времени на фуд-кортах больших офисных зданий и заглядывать в экраны посетителей, работающих на планшете или ноутбуке. Так они могут насобирать множество учетных данных – и для этого даже не нужно делать рассылку или писать вирус.

Теперь, когда вам понятна суть вопроса, вам наверняка интересно, что такое атака с применением социальной инженерии и как ее распознать.

Виды атак с использованием социальной инженерии

Почти в каждой кибератаке есть элементы социальной инженерии, например в классических атаках по электронной почте или с использованием вирусов.

Методы социальной инженерии используются и в атаках на мобильные устройства. Кроме того, иногда злоумышленники встречаются с жертвой лично. Эти методы отлично дополняют друг друга и используются для создания мошеннических схем.

Рассмотрим самые распространенные методы, которыми пользуются специалисты по социальной инженерии.

Фишинговые атаки

Во время фишинговой атаки злоумышленники выдают себя за знакомого вам человека или компанию, чтобы выведать у вас персональные данные или другую ценную информацию.

Существует два вида таких атак.

1. Спам-рассылки, или массовый фишинг, – это распространенный тип атаки на многих людей сразу. Они не персонализированы – преступники пытаются поймать какого-нибудь доверчивого пользователя.
2. Целевой фишинг и его разновидность, уэйлинг, – это персонализированные атаки на конкретных пользователей. Жертвами уэйлинга обычно становятся знаменитости, представители высшего руководства компаний и политики.

В ход может пойти все, что вы сообщите мошеннику – как при непосредственном общении, так и при заполнении фейковых онлайн-форм. Преступник может даже убедить вас загрузить на свое устройство вредоносную программу для исполнения следующего этапа фишинговой атаки. Фишинговые сообщения могут доставляться жертве по разным каналам.

Голосовой фишинг («вишинг»). Вам может позвонить робот, который будет записывать все, что вы ему говорите, включая личные данные. Иногда с жертвой беседует человек – так он может завоевать ее доверие и создать ощущение срочности.

SMS-фишинг («смишинг»). Жертва получает SMS или сообщение в мессенджере со ссылкой на веб-ресурс или рекомендациями дальнейших действий с поддельного номера телефона.

Фишинговые письма. Это традиционный вид фишинга: вам приходит письмо, отправитель которого просит вас ответить или совершить другие действия. Такие письма могут содержать ссылки на веб-ресурсы, телефонные номера или вредоносные вложения.

Angler-фишинг. Злоумышленники создают поддельные страницы службы поддержки клиентов доверенных компаний в социальных сетях. Заметив вашу переписку с известным брендом, они от лица компании предлагают вам обсудить ваш вопрос в личных сообщениях, где и продолжают атаку.

Фишинг в поисковых системах. Злоумышленники размещают ссылки на фейковые сайты в топе результатов поиска. Для манипуляции поисковым ранжированием используется платная реклама или легитимные методы оптимизации.

URL-фишинг. Злоумышленники распространяют ссылки на фишинговые сайты по электронной почте, через текстовые сообщения, социальные сети и онлайн-рекламу. Злоумышленники создают ссылки, похожие на адреса известных сайтов, или используют текст с гиперссылками, кнопки и инструменты для генерации коротких URL для маскировки.

Внутрисессионный фишинг. Во время такой атаки злоумышленники вмешиваются в вашу работу в интернете. Например, на просматриваемой странице может всплыть фальшивое окно с полями для ввода учетных данных.

Рыбалка на живца

Во время атаки «на живца» злоумышленник рассчитывает на ваше природное любопытство. В качестве приманки он предлагает вам что-то бесплатное и эксклюзивное. Как правило, в результате такой атаки на ваше устройство попадает вредоносная программа.

Вот самые распространенные способы атаки «на живца».

• Оставляют флешку в общественных местах, например в библиотеках или на парковках.
• Рассылают вредоносные вложения в письмах, например информацию о бесплатном предложении или якобы бесплатное ПО.

Физические угрозы

Физические угрозы – это ситуации, в которых злоумышленник встречается с жертвой лично, выдавая себя за доверенное лицо, чтобы получить доступ к сетям или данным, которые закрыты для посторонних.

Такие атаки обычно происходят в корпоративных средах, например в государственных учреждениях, коммерческих и других организациях. Злоумышленник может выдавать себя за представителя известного доверенного контрагента. Иногда такие атаки совершают уволенные сотрудники компании, решившие отомстить бывшему работодателю.

Они стараются скрыть свою личность, но ведут себя довольно убедительно, чтобы избежать ненужных вопросов. Такие атаки связаны с большим риском и требуют тщательной подготовки. Как правило, злоумышленники выбирают этот метод только тогда, когда все ходы просчитаны, а игра стоит свеч.

Атака под ложным предлогом

Злоумышленник использует некий предлог, чтобы завоевать доверие жертвы, например выдает себя за поставщика или сотрудника компании. Такой подход требует от злоумышленника более проактивных действий. Когда вы поверите, что человек, с которым вы общаетесь, – это действительно тот, за кого он себя выдает, преступник перейдет к следующему этапу атаки.

Тейлгейтинг

Тейлгейтинг – это незаконное проникновение на закрытую территорию вместе с уполномоченным сотрудником. Злоумышленник может воспользоваться вашей вежливостью, попросив придержать для него дверь, или убедить вас в том, что ему тоже разрешено находиться в закрытой зоне. Для достижения своей цели он может использовать ложные предлоги.

«Ты – мне, я – тебе»

«Ты – мне, я – тебе», или «услуга за услугу», – это вид фишинговой атаки, когда злоумышленник предлагает жертве вознаграждение или другие преимущества в обмен на персональные данные. Например, преступники предлагают поучаствовать в исследовании или розыгрыше призов.

Они заманивают жертву выгодными предложениями, не требуя больших вложений с ее стороны. В итоге они просто забирают данные и исчезают, а вознаграждения жертва так и не получает.

DNS-спуфинг и отравление DNS-кеша

DNS-спуфинг – это атака, во время которой преступники перехватывают ваши запросы к веб-серверам и перенаправляют вас на другие сайты. После заражения эксплойт будет перенаправлять вас на указанные злоумышленником сайты до тех пор, пока из задействованных систем не будут удалены искаженные данные о маршрутизации.

Отравление DNS-кеша – это атака, во время которой на ваше устройство поступает команда о замене легитимного URL-адреса или нескольких URL-адресов на адрес вредоносного сайта.

Фальшивые антивирусы

Фальшивые антивирусы – это вредоносные программы, которые пугают пользователя с целью манипуляции его поведением. Они генерируют фейковые оповещения о заражении вашего устройства или взломе вашей учетной записи.

Ключевая цель – заставить вас купить мошенническое антивирусное ПО или вытянуть из вас личную информацию, например учетные данные.

Атаки типа watering hole

Атаки типа watering hole состоят в заражении сайтов вредоносным ПО, которое в результате попадает на устройства множества пользователей. Такая атака требует тщательного планирования и поиска уязвимостей на целевом сайте. Для атаки используются ранее неизвестные и неисправленные уязвимости, которые называются эксплойтами нулевого дня.

Иногда злоумышленники атакуют через сайты, на которых не устранены уже известные проблемы. Бывает, что владельцы сайтов не обновляют программное обеспечение, потому что хотят пользоваться уже знакомой им стабильной версией программы. Переход на новую версию ПО откладывается до тех пор, пока его надежность не будет проверена другими пользователями. Этим и пользуются злоумышленники.

Нетипичные методы социальной инженерии

Иногда киберпреступники использовали сложные методы проведения кибератак. Некоторые из них приведены ниже.

Фишинговая атака по факсу. Клиенты некого банка получают по электронной почте фальшивое сообщение якобы от этого банка с запросом на подтверждение их кодов доступа, но не по электронной почте и не по другим интернет-каналам. Вместо этого клиенту предлагалось распечатать форму из email-сообщения, заполнить ее и отправить факсом на телефонный номер киберпреступника.

Отправка вредоносного ПО обычной посылкой. В Японии киберпреступники с помощью службы доставки на дом распространяли компакт-диски, зараженные троянской программой-шпионом. Диски доставлялись клиентам японского банка. Адреса клиентов были предварительно украдены из базы данных банка.

Примеры атак с использованием социальной инженерии

Атаки с применением вредоносного ПО заслуживают отдельного внимания – это самые распространенные типы атак, последствия которых могут длиться долго.

С помощью социальной инженерии создатели вредоносных программ могут убедить излишне доверчивого пользователя запустить инфицированный файл или открыть ссылку на зараженный веб-сайт. Такие методы используются во многих почтовых червях, а также других типах вредоносных программ. Если вы не пользуетесь комплексным защитным решением, ваш компьютер и мобильные устройства могут быть под угрозой заражения.

Черви

Киберпреступники стараются привлечь внимание пользователя к вредоносной ссылке или зараженному файлу и убедить его пройти по ссылке или открыть файл.

Рассмотрим примеры атак такого типа.

• Червь LoveLetter, который в 2000 году вызвал перегрузку почтовых серверов многих компаний. Пользователи получили по электронной почте сообщение с приглашением открыть вложенное любовное письмо. Когда они открывали вложенный файл, червь рассылал себя по всем контактам из адресной книги жертвы. Этот червь до сих пор считается одним из самых разрушительных по размеру нанесенного им финансового ущерба.
• Почтовый червь Mydoom (появился в интернете в январе 2004 года) содержал тексты, имитировавшие автоматически сформированные сообщения от почтового сервера.
• Червь Swen выдавал себя за сообщение, отправленное компанией Microsoft. В нем утверждалось, что во вложении содержится исправление для устранения уязвимостей Windows. Неудивительно, что многие люди серьезно отнеслись к этому заявлению и попытались установить это фальшивое обновление, хотя в действительности это был червь.

Рассылка вредоносных ссылок

Ссылки на зараженные сайты могут быть отправлены по электронной почте, через ICQ и другие системы мгновенного обмена сообщениями, а также по каналам IRC. Мобильные вирусы часто доставляются SMS-сообщениями.

Какой бы способ доставки ни использовался, такое сообщение обычно содержит слова, которые должны привлечь внимание получателя и побудить его пройти по ссылке. Этот способ проникновения в систему может позволить вредоносной программе обойти антивирусные фильтры почтового сервера.

Атаки в одноранговых (P2P) сетях

P2P-сети также используются для распространения вредоносных программ. В P2P-сети появляются черви или троянские программы, но они названы таким образом, чтобы привлечь внимание пользователей и вынудить их загрузить и запустить такой файл. Например:

• AIM & AOL Password Hacker.exe;
• Microsoft CD Key Generator.exe
• PornStar3D.exe;
• Play Station emulator crack.exe.

Порицание пострадавших пользователей для снижения риска распространения сведений об атаке

В некоторых случаях создатели и распространители вредоносных программ предпринимают определенные действия, чтобы уменьшить вероятность того, что пользователь сообщит о заражении.

Пострадавший мог откликнуться на предложение фальшивой бесплатной утилиты или руководства, которые обещают такие незаконные преимущества, как:

• бесплатный доступ в интернет или к мобильным сетям;
• возможность загрузки генератора номеров кредитных карт;
• возможность легкой наживы.

В этих случаях, если загруженный файл оказывается троянской программой, пострадавший постарается избежать раскрытия собственных незаконных намерений. И поэтому, вероятнее всего, не сообщит о заражении органам правопорядка.

Одним примером использования этого метода была троянская программа, которая рассылалась по адресам электронной почты, взятым на веб-сайте по подбору персонала. Зарегистрированные на этом сайте люди получали фальшивые предложения работы с троянской программой. Эта атака главным образом была нацелена на корпоративные адреса электронной почты. Киберпреступники рассчитывали на то, что сотрудники, получившие троянскую программу, не захотят признаваться работодателю, что их компьютер заразился, пока они искали другую работу.

Как распознать атаку с использованием социальной инженерии

Для защиты от атак на основе социальной инженерии важно в первую очередь привыкнуть проявлять осмотрительность. Прежде чем что-то сделать или ответить, остановитесь и подумайте.

Злоумышленники рассчитывают, что вы, не оценив всех рисков, сразу клюнете на их удочку. Поэтому поступить нужно наоборот. Если вы заподозрили неладное, ответьте на следующие вопросы.

• Я достаточно спокоен, чтобы принять взвешенное решение? Если вы испытываете сильное любопытство, страх или волнение, вам будет очень сложно предугадать последствия своих действий. На самом деле вы вряд ли даже задумаетесь о законности всего происходящего. Если вы испытываете сильные эмоции – это тревожный сигнал.
• Сообщение пришло от надежного отправителя? Тщательно проверяйте адреса электронной почты и профили в социальных сетях при получении подозрительных сообщений. Бывает, что адрес отправителя имитирует другой, доверенный, адрес. Например, вместо адреса tom@example.com вы получаете письмо с адреса torn@example.com. Нередко злоумышленники используют поддельные профили в социальных сетях, заполняя свою страничку фотографиями и данными вашего друга.
• Это сообщение действительно отправил мой друг? Было бы неплохо узнать, действительно ли сообщение пришло от того человека, который указан его отправителем. По возможности, спросите у него об этом по телефону или при личной встрече. Возможно, он не знает, что его профиль взломали и рассылают сообщения от его имени.
• Этот сайт выглядит подозрительно? Ошибки в URL-адресе, низкое разрешение изображений, устаревшие или несуществующие логотипы компании и опечатки должны вас насторожить. Если вы попали на поддельный сайт, немедленно покиньте его.
• Предложение слишком заманчиво, чтобы быть правдой? Интересные предложения, например поучаствовать в розыгрыше призов, – один из эффективных методов социальной инженерии. Подумайте, почему незнакомец предлагает вам что-то ценное, не прося взамен практически ничего? Не теряйте бдительности: преступники могут охотиться даже за незначительными на первый взгляд данными, например адресами электронной почты, которые впоследствии будут проданы рекламщикам.
• Вложения и ссылки кажутся подозрительными? Если ссылка или название приложенного к сообщению файла кажутся странными или неясными, еще раз перечитайте всю переписку – скорее всего, это фейк. Возможно, и само сообщение вы получили при странных обстоятельствах или в нетипичное для таких коммуникаций время. А может быть, что-то еще в этом сообщении кажется вам подозрительным?
• Может ли этот человек подтвердить свою личность? Если человек ничем не может подтвердить, что он действительно является представителем той или иной организации, не выполняйте его просьб. Это правило действует при общении как в интернете, так и за его пределами – для успешной атаки в физическом мире злоумышленник должен убедить вас в том, что он тот, за кого себя выдает.

Как избежать атаки с использованием социальной инженерии

Важно уметь не только распознавать атаки, но и принимать проактивные меры для защиты своих данных. Если вы пользуетесь компьютером и мобильными устройствами, вам следует научиться предотвращать атаки с применением социальной инженерии.

Вот несколько эффективных способов защиты от всех типов кибератак.

Безопасное общение и управление учетными записями

Общаясь в Сети, пользователи становятся особенно уязвимыми. Атаки чаще всего происходят через социальные сети, электронную почту и текстовые сообщения, но иногда вы можете столкнуться с угрозой лицом к лицу в реальной жизни.

Никогда не переходите по ссылкам в письмах или сообщениях. Всегда вводите адрес сайта в адресную строку вручную, от кого бы ни пришло письмо. Постарайтесь выяснить официальный URL-адрес страницы, на которую вас приглашают. Никогда не переходите по ссылке, если вы не убедились в ее подлинности.

Пользуйтесь многофакторной аутентификацией. Повысить безопасность ваших учетных записей можно с помощью двухфакторной аутентификации. Она добавляет еще один уровень защиты вашей цифровой личности при входе в аккаунт. Дополнительными «факторами» могут быть биометрия, например отпечаток пальца или скан лица, или одноразовые коды, которые будут приходить в текстовом сообщении.

Используйте надежные пароли (и менеджер паролей). Создавайте уникальные сложные пароли для каждой учетной записи. Используйте заглавные и строчные буквы, цифры и специальные символы. По возможности создавайте длинные пароли. Для управления паролями и их безопасного хранения вам пригодится менеджер паролей.

Не сообщайте посторонним место учебы, имя домашнего питомца, место рождения и другую личную информацию. Эти данные часто используются при создании паролей или служат ответами на секретные вопросы безопасности. Для усиления защиты можно создать вопрос, ответ на который очевиден, но неточен. Например, если вашей первой машиной была Toyota, в качестве ответа вы можете указать «машина клоуна» – это лишит преступников всяких шансов на взлом вашего аккаунта.

Будьте осторожны с онлайн-друзьями. Конечно, интернет – это прекрасная возможность общаться с людьми со всего мира, но в то же время это такой же прекрасный инструмент для атак с использованием социальной инженерии. Будьте внимательны и не игнорируйте даже малейшие признаки манипуляции.

Безопасная работа в сети

Компрометация сети – еще один способ добыть сведения о вашей жизни. Чтобы не допустить использования ваших данных вам во вред, соблюдайте правила безопасности при подключении к любой сети.

Не позволяйте незнакомцам подключаться к вашей основной сети Wi-Fi. В домашней и офисной сети нужно настроить доступ к гостевой сети Wi-Fi. Так вы защитите свою основную – зашифрованную и защищенную паролем сеть от вторжений. Если кто-то захочет прослушать вашу сеть, он не сможет получить никакой информации о вашей активности.

Используйте VPN. Виртуальная частная сеть (VPN) защитит ваши проводные, беспроводные и даже мобильные сети от перехвата трафика. Эта технология создает персональный зашифрованный туннель при любом подключении. Она не только защищает вашу активность от любопытных глаз, но и анонимизирует ваши данные – никто не сможет отследить их источник через файлы cookie или другим способом.

Защитите все подключенные к сети устройства и сервисы. Многие люди знают, как защитить мобильные устройства и компьютеры. Но не менее важно защитить и саму сеть вместе с подключенными к ней устройствами умного дома и облачными сервисами. Защитой некоторых систем (например домашнего маршрутизатора или информационно-развлекательной системы автомобиля) часто пренебрегают. Не допускайте этой ошибки. Утечка данных через эти устройства может стать отправной точкой для атаки с использованием социальной инженерии.

Безопасное использование устройств

Защита устройств не менее важна, чем прочие правила поведения в цифровом мире. Вот несколько советов, которые помогут вам избежать атаки на компьютер, планшет и мобильные устройства.

Используйте комплексное решение для безопасности в интернете. Когда социальным инженерам удается обвести жертву вокруг пальца, дело обычно заканчивается заражением устройства. Для борьбы с руткитами, троянцами и другими ботами важно использовать надежное защитное решение, которое не только устраняет зловредов, но и находит их источник.

Не оставляйте незащищенные устройства в общедоступных местах. Всегда блокируйте экран компьютера и мобильного устройства, особенно на работе. Не оставляйте устройства без присмотра в общественных местах, например в аэропорту или кофейне.

Устанавливайте обновления для всех приложений сразу после их выхода. Вместе с обновлениями поставщики часто выпускают исправления безопасности. Откладывая обновление приложений и операционной системы, вы оставляете свое устройство уязвимым для атак. Так поступают многие пользователи, и злоумышленникам это прекрасно известно. Игнорируя обновления, вы становитесь удобной мишенью для специалистов по социальной инженерии.

Проверяйте свои учетные данные на предмет утечки. Такие сервисы, как Kaspersky Premium, выполняют активный мониторинг интернета в поисках актуальных и исторических сведений об утечке данных, связанных с адресом вашей электронной почты. Если ваши учетные записи скомпрометированы, вы получите оповещение и рекомендации по дальнейшим действиям.

Защита от атак с применением социальной инженерии начинается повышения уровня осведомленности. Если все пользователи будут обладать достаточными знаниями об угрозах, наше общество станет гораздо более защищенным. Внесите свой вклад в коллективную кибербезопасность – поделитесь информацией об угрозах со своими коллегами, родственниками и друзьями.

Статьи по теме:

• 10 самых знаменитых хакеров всех времен
• Распространенное вредоносное ПО для мобильных устройств
• Технологии внедрения вредоносных программ
• Обнаружение вредоносных программ и эксплойтов
• Выбор антивирусного решения
• Классификация вредоносных программ