Социальная инженерия – это метод манипуляции людьми с целью получения их конфиденциальной информации, доступа к ресурсам или других представляющих ценность объектов. Киберпреступники прекрасно овладели искусством обмана: они знают, как убедить ничего не подозревающих пользователей поделиться своими данными, распространить вредоносную программу или открыть доступ к системам, не предназначенным для посторонних. Атаки происходят не только в Сети, но также при личном общении и других видах взаимодействия.
Социальные инженеры выстраивают мошеннические схемы, основываясь на своих знаниях о психологии человеческого поведения. Именно поэтому они легко манипулируют сознанием и действиями пользователей. Разобравшись с мотивами поведения своей жертвы, преступники могут эффективно применять методы психологического манипулирования.
Помимо методов социальной инженерии злоумышленники нередко рассчитывают на недостаток знаний у пользователя. Технологии развиваются так быстро, что о некоторых типах угроз, например о заражении путем скрытой загрузки, многие рядовые пользователи даже не слышали. Не все понимают, какую ценность для мошенников представляют их персональные данные, например номер телефона. В результате они не могут защитить ни себя, ни свои данные.
Как правило, специалисты по социнженерии преследуют одну из двух целей.
Для того чтобы получить более полное представление о социальной инженерии, важно разобраться, как она работает.
В большинстве атак с применением социальной инженерии злоумышленники вступают в контакт с жертвой. Зачем тратить время на взлом ваших учетных записей, если вы сами можете преподнести нужную мошенникам информацию на блюдечке?
Жизненный цикл атаки позволяет преступникам выстроить надежную схему обмана пользователя. Как правило, атака на основе социальной инженерии включает следующие стадии.
Весь этот процесс может уместиться в одном сообщении электронной почты, а может длиться несколько месяцев и занимать много страниц переписки. Иногда злоумышленники даже встречаются с жертвой. Но такое общение заканчивается после того, как жертва совершит нужное преступнику действие, например передаст информацию или установит вредоносное ПО на свое устройство.
Специалисты по социальной инженерии умеют сбивать своих жертв с толку. Многие пользователи не понимают, что даже незначительные на первый взгляд данные могут открыть преступникам доступ к сетям и учетным записям.
Выдавая себя за легитимного пользователя, злоумышленник может обратиться в службу IT-поддержки и узнать ваши личные данные, например имя, дату рождения или адрес. Вооружившись этой информацией, они могут запросто сбросить пароли в ваших аккаунтах и получить практически неограниченный доступ к ним, украсть ваши деньги, распространить вредоносное ПО и причинить массу других неприятностей.
Хорошего социального инженера отличает уверенность в себе и мастерство убеждения. Тактики, используемые злоумышленниками, заставляют людей делать то, чего они никогда не сделали бы в других обстоятельствах.
В большинстве случаев специалисты по социнженерии используют следующие приемы.
Играют на эмоциях. Эмоциональные манипуляции позволяют злоумышленникам добиваться своего практически в любой ситуации. Под воздействием эмоций люди нередко совершают нелогичные и даже рискованные поступки. Чтобы достичь свей цели, преступник может попытаться вызвать у жертвы следующие эмоции.
Создают ощущение срочности. Уникальные предложения с ограниченным сроком действия или срочные запросы информации пользуются у мошенников не меньшей популярностью. Узнав, что вам грозит проблема, требующая незамедлительного решения, вы можете забыть о безопасности и передать злоумышленнику свои конфиденциальные данные. Также вас могут обмануть обещанием награды или приза, которые нужно забрать прямо сейчас, пока карета не превратилась в тыкву. Оба подхода призваны отключить ваше критическое мышление.
Входят в доверие. Правдоподобность – ключевой аспект любой атаки с применением социальной инженерии, важность которого сложно переоценить. Мошенник заведомо вас обманывает, и в этой ситуации для него главное – быть убедительным. У него есть достаточно информации для того, чтобы сочинить историю, которой вы поверите без лишних вопросов.
Но есть и исключения. Иногда злоумышленники выбирают более простые методы для проникновения в вашу сеть или устройство. Например, они могут проводить много времени на фуд-кортах больших офисных зданий и заглядывать в экраны посетителей, работающих на планшете или ноутбуке. Так они могут насобирать множество учетных данных – и для этого даже не нужно делать рассылку или писать вирус.
Теперь, когда вам понятна суть вопроса, вам наверняка интересно, что такое атака с применением социальной инженерии и как ее распознать.
Почти в каждой кибератаке есть элементы социальной инженерии, например в классических атаках по электронной почте или с использованием вирусов.
Методы социальной инженерии используются и в атаках на мобильные устройства. Кроме того, иногда злоумышленники встречаются с жертвой лично. Эти методы отлично дополняют друг друга и используются для создания мошеннических схем.
Рассмотрим самые распространенные методы, которыми пользуются специалисты по социальной инженерии.
Во время фишинговой атаки злоумышленники выдают себя за знакомого вам человека или компанию, чтобы выведать у вас персональные данные или другую ценную информацию.
Существует два вида таких атак.
В ход может пойти все, что вы сообщите мошеннику – как при непосредственном общении, так и при заполнении фейковых онлайн-форм. Преступник может даже убедить вас загрузить на свое устройство вредоносную программу для исполнения следующего этапа фишинговой атаки. Фишинговые сообщения могут доставляться жертве по разным каналам.
Голосовой фишинг («вишинг»). Вам может позвонить робот, который будет записывать все, что вы ему говорите, включая личные данные. Иногда с жертвой беседует человек – так он может завоевать ее доверие и создать ощущение срочности.
SMS-фишинг («смишинг»). Жертва получает SMS или сообщение в мессенджере со ссылкой на веб-ресурс или рекомендациями дальнейших действий с поддельного номера телефона.
Фишинговые письма. Это традиционный вид фишинга: вам приходит письмо, отправитель которого просит вас ответить или совершить другие действия. Такие письма могут содержать ссылки на веб-ресурсы, телефонные номера или вредоносные вложения.
Angler-фишинг. Злоумышленники создают поддельные страницы службы поддержки клиентов доверенных компаний в социальных сетях. Заметив вашу переписку с известным брендом, они от лица компании предлагают вам обсудить ваш вопрос в личных сообщениях, где и продолжают атаку.
Фишинг в поисковых системах. Злоумышленники размещают ссылки на фейковые сайты в топе результатов поиска. Для манипуляции поисковым ранжированием используется платная реклама или легитимные методы оптимизации.
URL-фишинг. Злоумышленники распространяют ссылки на фишинговые сайты по электронной почте, через текстовые сообщения, социальные сети и онлайн-рекламу. Злоумышленники создают ссылки, похожие на адреса известных сайтов, или используют текст с гиперссылками, кнопки и инструменты для генерации коротких URL для маскировки.
Внутрисессионный фишинг. Во время такой атаки злоумышленники вмешиваются в вашу работу в интернете. Например, на просматриваемой странице может всплыть фальшивое окно с полями для ввода учетных данных.
Во время атаки «на живца» злоумышленник рассчитывает на ваше природное любопытство. В качестве приманки он предлагает вам что-то бесплатное и эксклюзивное. Как правило, в результате такой атаки на ваше устройство попадает вредоносная программа.
Вот самые распространенные способы атаки «на живца».
Физические угрозы – это ситуации, в которых злоумышленник встречается с жертвой лично, выдавая себя за доверенное лицо, чтобы получить доступ к сетям или данным, которые закрыты для посторонних.
Такие атаки обычно происходят в корпоративных средах, например в государственных учреждениях, коммерческих и других организациях. Злоумышленник может выдавать себя за представителя известного доверенного контрагента. Иногда такие атаки совершают уволенные сотрудники компании, решившие отомстить бывшему работодателю.
Они стараются скрыть свою личность, но ведут себя довольно убедительно, чтобы избежать ненужных вопросов. Такие атаки связаны с большим риском и требуют тщательной подготовки. Как правило, злоумышленники выбирают этот метод только тогда, когда все ходы просчитаны, а игра стоит свеч.
Злоумышленник использует некий предлог, чтобы завоевать доверие жертвы, например выдает себя за поставщика или сотрудника компании. Такой подход требует от злоумышленника более проактивных действий. Когда вы поверите, что человек, с которым вы общаетесь, – это действительно тот, за кого он себя выдает, преступник перейдет к следующему этапу атаки.
Тейлгейтинг – это незаконное проникновение на закрытую территорию вместе с уполномоченным сотрудником. Злоумышленник может воспользоваться вашей вежливостью, попросив придержать для него дверь, или убедить вас в том, что ему тоже разрешено находиться в закрытой зоне. Для достижения своей цели он может использовать ложные предлоги.
«Ты – мне, я – тебе», или «услуга за услугу», – это вид фишинговой атаки, когда злоумышленник предлагает жертве вознаграждение или другие преимущества в обмен на персональные данные. Например, преступники предлагают поучаствовать в исследовании или розыгрыше призов.
Они заманивают жертву выгодными предложениями, не требуя больших вложений с ее стороны. В итоге они просто забирают данные и исчезают, а вознаграждения жертва так и не получает.
DNS-спуфинг – это атака, во время которой преступники перехватывают ваши запросы к веб-серверам и перенаправляют вас на другие сайты. После заражения эксплойт будет перенаправлять вас на указанные злоумышленником сайты до тех пор, пока из задействованных систем не будут удалены искаженные данные о маршрутизации.
Отравление DNS-кеша – это атака, во время которой на ваше устройство поступает команда о замене легитимного URL-адреса или нескольких URL-адресов на адрес вредоносного сайта.
Фальшивые антивирусы – это вредоносные программы, которые пугают пользователя с целью манипуляции его поведением. Они генерируют фейковые оповещения о заражении вашего устройства или взломе вашей учетной записи.
Ключевая цель – заставить вас купить мошенническое антивирусное ПО или вытянуть из вас личную информацию, например учетные данные.
Атаки типа watering hole состоят в заражении сайтов вредоносным ПО, которое в результате попадает на устройства множества пользователей. Такая атака требует тщательного планирования и поиска уязвимостей на целевом сайте. Для атаки используются ранее неизвестные и неисправленные уязвимости, которые называются эксплойтами нулевого дня.
Иногда злоумышленники атакуют через сайты, на которых не устранены уже известные проблемы. Бывает, что владельцы сайтов не обновляют программное обеспечение, потому что хотят пользоваться уже знакомой им стабильной версией программы. Переход на новую версию ПО откладывается до тех пор, пока его надежность не будет проверена другими пользователями. Этим и пользуются злоумышленники.
Иногда киберпреступники использовали сложные методы проведения кибератак. Некоторые из них приведены ниже.
Фишинговая атака по факсу. Клиенты некого банка получают по электронной почте фальшивое сообщение якобы от этого банка с запросом на подтверждение их кодов доступа, но не по электронной почте и не по другим интернет-каналам. Вместо этого клиенту предлагалось распечатать форму из email-сообщения, заполнить ее и отправить факсом на телефонный номер киберпреступника.
Отправка вредоносного ПО обычной посылкой. В Японии киберпреступники с помощью службы доставки на дом распространяли компакт-диски, зараженные троянской программой-шпионом. Диски доставлялись клиентам японского банка. Адреса клиентов были предварительно украдены из базы данных банка.
Атаки с применением вредоносного ПО заслуживают отдельного внимания – это самые распространенные типы атак, последствия которых могут длиться долго.
С помощью социальной инженерии создатели вредоносных программ могут убедить излишне доверчивого пользователя запустить инфицированный файл или открыть ссылку на зараженный веб-сайт. Такие методы используются во многих почтовых червях, а также других типах вредоносных программ. Если вы не пользуетесь комплексным защитным решением, ваш компьютер и мобильные устройства могут быть под угрозой заражения.
Киберпреступники стараются привлечь внимание пользователя к вредоносной ссылке или зараженному файлу и убедить его пройти по ссылке или открыть файл.
Рассмотрим примеры атак такого типа.
Ссылки на зараженные сайты могут быть отправлены по электронной почте, через ICQ и другие системы мгновенного обмена сообщениями, а также по каналам IRC. Мобильные вирусы часто доставляются SMS-сообщениями.
Какой бы способ доставки ни использовался, такое сообщение обычно содержит слова, которые должны привлечь внимание получателя и побудить его пройти по ссылке. Этот способ проникновения в систему может позволить вредоносной программе обойти антивирусные фильтры почтового сервера.
P2P-сети также используются для распространения вредоносных программ. В P2P-сети появляются черви или троянские программы, но они названы таким образом, чтобы привлечь внимание пользователей и вынудить их загрузить и запустить такой файл. Например:
В некоторых случаях создатели и распространители вредоносных программ предпринимают определенные действия, чтобы уменьшить вероятность того, что пользователь сообщит о заражении.
Пострадавший мог откликнуться на предложение фальшивой бесплатной утилиты или руководства, которые обещают такие незаконные преимущества, как:
В этих случаях, если загруженный файл оказывается троянской программой, пострадавший постарается избежать раскрытия собственных незаконных намерений. И поэтому, вероятнее всего, не сообщит о заражении органам правопорядка.
Одним примером использования этого метода была троянская программа, которая рассылалась по адресам электронной почты, взятым на веб-сайте по подбору персонала. Зарегистрированные на этом сайте люди получали фальшивые предложения работы с троянской программой. Эта атака главным образом была нацелена на корпоративные адреса электронной почты. Киберпреступники рассчитывали на то, что сотрудники, получившие троянскую программу, не захотят признаваться работодателю, что их компьютер заразился, пока они искали другую работу.
Для защиты от атак на основе социальной инженерии важно в первую очередь привыкнуть проявлять осмотрительность. Прежде чем что-то сделать или ответить, остановитесь и подумайте.
Злоумышленники рассчитывают, что вы, не оценив всех рисков, сразу клюнете на их удочку. Поэтому поступить нужно наоборот. Если вы заподозрили неладное, ответьте на следующие вопросы.
Важно уметь не только распознавать атаки, но и принимать проактивные меры для защиты своих данных. Если вы пользуетесь компьютером и мобильными устройствами, вам следует научиться предотвращать атаки с применением социальной инженерии.
Вот несколько эффективных способов защиты от всех типов кибератак.
Общаясь в Сети, пользователи становятся особенно уязвимыми. Атаки чаще всего происходят через социальные сети, электронную почту и текстовые сообщения, но иногда вы можете столкнуться с угрозой лицом к лицу в реальной жизни.
Никогда не переходите по ссылкам в письмах или сообщениях. Всегда вводите адрес сайта в адресную строку вручную, от кого бы ни пришло письмо. Постарайтесь выяснить официальный URL-адрес страницы, на которую вас приглашают. Никогда не переходите по ссылке, если вы не убедились в ее подлинности.
Пользуйтесь многофакторной аутентификацией. Повысить безопасность ваших учетных записей можно с помощью двухфакторной аутентификации. Она добавляет еще один уровень защиты вашей цифровой личности при входе в аккаунт. Дополнительными «факторами» могут быть биометрия, например отпечаток пальца или скан лица, или одноразовые коды, которые будут приходить в текстовом сообщении.
Используйте надежные пароли (и менеджер паролей). Создавайте уникальные сложные пароли для каждой учетной записи. Используйте заглавные и строчные буквы, цифры и специальные символы. По возможности создавайте длинные пароли. Для управления паролями и их безопасного хранения вам пригодится менеджер паролей.
Не сообщайте посторонним место учебы, имя домашнего питомца, место рождения и другую личную информацию. Эти данные часто используются при создании паролей или служат ответами на секретные вопросы безопасности. Для усиления защиты можно создать вопрос, ответ на который очевиден, но неточен. Например, если вашей первой машиной была Toyota, в качестве ответа вы можете указать «машина клоуна» – это лишит преступников всяких шансов на взлом вашего аккаунта.
Будьте осторожны с онлайн-друзьями. Конечно, интернет – это прекрасная возможность общаться с людьми со всего мира, но в то же время это такой же прекрасный инструмент для атак с использованием социальной инженерии. Будьте внимательны и не игнорируйте даже малейшие признаки манипуляции.
Компрометация сети – еще один способ добыть сведения о вашей жизни. Чтобы не допустить использования ваших данных вам во вред, соблюдайте правила безопасности при подключении к любой сети.
Не позволяйте незнакомцам подключаться к вашей основной сети Wi-Fi. В домашней и офисной сети нужно настроить доступ к гостевой сети Wi-Fi. Так вы защитите свою основную – зашифрованную и защищенную паролем сеть от вторжений. Если кто-то захочет прослушать вашу сеть, он не сможет получить никакой информации о вашей активности.
Используйте VPN. Виртуальная частная сеть (VPN) защитит ваши проводные, беспроводные и даже мобильные сети от перехвата трафика. Эта технология создает персональный зашифрованный туннель при любом подключении. Она не только защищает вашу активность от любопытных глаз, но и анонимизирует ваши данные – никто не сможет отследить их источник через файлы cookie или другим способом.
Защитите все подключенные к сети устройства и сервисы. Многие люди знают, как защитить мобильные устройства и компьютеры. Но не менее важно защитить и саму сеть вместе с подключенными к ней устройствами умного дома и облачными сервисами. Защитой некоторых систем (например домашнего маршрутизатора или информационно-развлекательной системы автомобиля) часто пренебрегают. Не допускайте этой ошибки. Утечка данных через эти устройства может стать отправной точкой для атаки с использованием социальной инженерии.
Защита устройств не менее важна, чем прочие правила поведения в цифровом мире. Вот несколько советов, которые помогут вам избежать атаки на компьютер, планшет и мобильные устройства.
Используйте комплексное решение для безопасности в интернете. Когда социальным инженерам удается обвести жертву вокруг пальца, дело обычно заканчивается заражением устройства. Для борьбы с руткитами, троянцами и другими ботами важно использовать надежное защитное решение, которое не только устраняет зловредов, но и находит их источник.
Не оставляйте незащищенные устройства в общедоступных местах. Всегда блокируйте экран компьютера и мобильного устройства, особенно на работе. Не оставляйте устройства без присмотра в общественных местах, например в аэропорту или кофейне.
Устанавливайте обновления для всех приложений сразу после их выхода. Вместе с обновлениями поставщики часто выпускают исправления безопасности. Откладывая обновление приложений и операционной системы, вы оставляете свое устройство уязвимым для атак. Так поступают многие пользователи, и злоумышленникам это прекрасно известно. Игнорируя обновления, вы становитесь удобной мишенью для специалистов по социальной инженерии.
Проверяйте свои учетные данные на предмет утечки. Такие сервисы, как Kaspersky Premium, выполняют активный мониторинг интернета в поисках актуальных и исторических сведений об утечке данных, связанных с адресом вашей электронной почты. Если ваши учетные записи скомпрометированы, вы получите оповещение и рекомендации по дальнейшим действиям.
Защита от атак с применением социальной инженерии начинается повышения уровня осведомленности. Если все пользователи будут обладать достаточными знаниями об угрозах, наше общество станет гораздо более защищенным. Внесите свой вклад в коллективную кибербезопасность – поделитесь информацией об угрозах со своими коллегами, родственниками и друзьями.
Статьи по теме: