В век информационных технологий социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка. Если вы думаете, что социальная инженерия – такая выдумка из книг-антиутопий или сомнительная психологическая практика, то эта статья изменит ваше мнение.

Что называют социальной инженерией?

Сам по себе термин – социологический и обозначает совокупность подходов к созданию таких условий, при которых возможно управлять человеческим поведением. В той или иной степени приемы социальной инженерии используются людьми с древнейших времен. В Древней Греции и Древнем Риме очень ценились ораторы, обладающие особым искусством убеждения, таких людей привлекали к участию в дипломатических переговорах. Деятельность спецслужб также во многом строится на приемах социальной инженерии, а XX век и вовсе изобилует примерами того, каких результатов можно достичь при умелом манипулировании человеческим сознанием и поведением. Пионерами социальной инженерии в том виде, в котором она существует сегодня, считаются телефонные мошенники, появившиеся в 70-е годы прошлого века, а в область информационных технологий эта наука пришла благодаря бывшему хакеру Кевину Митнику, который сейчас является консультантом по информационной безопасности и пишет книги о своем пути социального инженера.

В сфере киберпреступности социальной инженерией называют приемы и техники, которые злоумышленники используют для получения нужных данных или для побуждения жертвы к совершению нужных действий. Как говорил Кевин Митник, наиболее уязвимое место в любой системе безопасности – человек, и киберпреступники хорошо знают это. Социальные инженеры – хорошие психологи, они мастерски находят подход к конкретному человеку, легко втираются в доверие, идут на всяческие уловки и хитрости – и все это с целью получить конфиденциальную информацию.

Как работают социальные инженеры?

В фильме «Поймай меня, если сможешь», снятом по одноименной книге, рассказывается о событиях из жизни реального человека, Фрэнка Абигнейла. Сейчас он является экспертом по документарной безопасности, но в середине ХХ века Абигнейл подделывал чеки и в течение пяти лет виртуозно скрывался от полиции, легко перевоплощаясь в разных людей от пилота до врача. Такое поведение, уловки и тонкая психологическая игра – яркий пример социальной инженерии.

Если для достижения своих целей Фрэнку Абигнейлу приходилось лично контактировать с людьми, используя психологические уловки и актерское мастерство, то сегодня злоумышленники добывают информацию дистанционно, с помощью Интернета и сотовой связи. На уловки хакеров попадаются и обыкновенные компьютерные пользователи, и работники крупных компаний, хорошо разбирающиеся в вопросах информационной безопасности. Главная опасность состоит в том, что жертва сообщает необходимую информацию добровольно, даже не подозревая о том, что своими действиями помогает преступнику.

Манипулирование мыслями и действиями становится возможным из-за когнитивных искажений – отклонений в нашем восприятии, мышлении и поведении. Эти ошибки могут быть вызваны стереотипами, эмоциональным или моральным состоянием, влиянием социума, отклонениями в работе головного мозга. Под воздействием одного или нескольких факторов происходит сбой на этапе анализа полученной информации, в результате чего мы можем составить нелогичное суждение, неправильно интерпретировать события или предпринять иррациональные действия. Зная о таких особенностях работы человеческого мышления, социальные инженеры создают ситуации, в которых жертва наверняка совершит нужное действие, и, как показывает практика, когнитивные искажения оказываются сильнее нас.

Примеры социальной инженерии

Для достижения своих целей злоумышленники эксплуатируют человеческое любопытство, доброжелательность, вежливость, лень, наивность и другие самые разные качества. Атака на человека (так хакеры называют социальную инженерию) может производиться по многим сценариям, в зависимости от ситуации, но существует несколько наиболее распространенных техник работы злоумышленников.

Фишинг. Этот метод оказывается результативным из-за невнимательности пользователей. На электронную почту жертвы приходит письмо от какого-то известного сайта, организации или даже частного лица с просьбой совершить указанные действия, перейдя по ссылке. Чаще всего просят авторизоваться. Человек переходит на сайт и вводит свои логин и пароль, даже не посмотрев на отправителя сообщения и на адрес сайта, а мошенники таким образом получают необходимые для взлома данные, после чего совершают любые действия на странице жертвы.

Троян. Это вирус, получивший свое название по принципу работы, сходному с троянским конем из древнегреческого мифа. Пользователь скачивает программу или даже картинку, и под видом безобидного файла на компьютер жертвы попадает вирус, с помощью которого злоумышленники крадут данные. Иногда это скачивание производится автоматически, когда человек переходит по любопытной ссылке, открывает сомнительные сайты или подозрительные электронные письма. Почему этот вид кражи данных называют социальной инженерией? Потому что создатели вируса хорошо знают, как замаскировать вредоносную программу, чтобы вы наверняка кликнули по нужной ссылке или скачали файл.

Кви про кво. От латинского quid pro quo, что в переводе означает «то за это». Этот вид мошенничества работает по принципу «услуга за услугу». Злоумышленник представляется сотрудником службы технической поддержки и предлагает исправить возникшие неполадки в системе или на компьютере конкретного пользователя, хотя на самом деле проблем в работе ПО не возникало. Жертва верит в наличие неисправностей, о которых ей сообщил «специалист», и с радостью сообщает нужные данные или выполняет действия, которые диктует мошенник.

Обратная социальная инженерия

Так называется вид атаки, при котором жертва сама обращается к злоумышленнику и предоставляет ему нужные сведения. Это может достигаться несколькими путями:

• Внедрение особого ПО. Поначалу программа или система работает исправно, но потом происходит сбой, требующий вмешательства специалиста. Конечно, ситуация подстроена таким образом, чтобы тем специалистом, к которому обратятся за помощью, оказался социальный хакер. Налаживая работу ПО, мошенник производит необходимые для взлома манипуляции. Иногда нужная информация добывается не непосредственной работой с компьютером, а через общение с пользователем, который ради скорейшей починки оборудования готов сообщить мастеру любую конфиденциальную информацию. В дальнейшем, когда взлом обнаруживается, социальный инженер за маской помощника может оставаться вне всякого подозрения, что делает социальную инженерию очень выгодным инструментом.
• Реклама. Злоумышленники могут рекламировать свои услуги как компьютерных мастеров или других специалистов. Жертва обращается к взломщику сама, а преступник не только работает технически, но и выуживает информацию через общение со своим клиентом.
• Помощь. Социальный инженер может умышленно оказаться в числе тех, к кому обратятся за помощью в случае сбоя, а иногда мошенник заранее производит какую-то манипуляцию, которая вынудит жертву искать помощника. В этом случае хакер предстает в положительной роли, а атакованный остается благодарным за оказанную услугу.

Как защититься?

В первую очередь защитой от социальной инженерии являются разумный скептицизм и бдительность. Всегда обращайте внимание на адресанта писем и адрес сайта, где собираетесь ввести какие-то личные данные. Жертвами киберпреступников становятся не только сотрудники компаний и известные лица, но и обыкновенные пользователи – мошеннику может потребоваться доступ к вашей страничке в социальной сети или электронному кошельку. Если вам звонит человек, представившийся сотрудником какой-то организации или сайта, помните, что для манипуляций с вашим аккаунтом, как правило, ему не требуется знать конфиденциальных данных – не разглашайте их сами. Просьба предоставить какую-либо личную информацию, например паспортные данные, должна вас насторожить – для идентификации личности чаще всего требуют назвать только последние цифры каких-то данных, а не все целиком.

Не работайте с важной информацией на глазах у посторонних людей. Мошенники могут использовать так называемый плечевой серфинг – вид социальной инженерии, когда кража информации происходит через плечо жертвы. Немалое количество важных данных было подсмотрено с экрана, пока ничего не подозревающая жертва работала за своим компьютером.

Не переходите на подозрительные сайты и не скачивайте сомнительные файлы, ведь одним из самых лучших помощников социальной инженерии является наше любопытство. В любой ситуации, когда вам звонят, пишут, предлагают услугу или, к примеру, подбрасывают флешку, спрашивайте себя, знаете ли вы, откуда, почему и зачем. Если нет, то посоветуйтесь с проверенным и знающим человеком, а в ином случае проигнорируйте эту ситуацию, но никогда не разглашайте важную информацию без веской причины.

В любой большой или даже маленькой организации есть в защите информации слабые места. Даже если на всех компьютерах компании стоит наилучшее программное обеспечение, пароли всех сотрудников являются наисложнейшими, а за всеми компьютерами следят самые умные администраторы — все равно можно найти слабое место. И одним, самым главным, “слабым местом” являются люди, которые работают в компании, имеют доступ к компьютерным системам и являются в большей или меньшей степени носителем информации об организации. Людям собирающимся украсть информацию или иными словами взломщикам, только на руку человеческий фактор. И именно на людях они пробуют различные способы влияния называющиеся социальным инжинирингом. О нем то я и попробую сегодня рассказать в статье и о том какую опасность он несет для для обычных пользователей, и для организаций.

Давайте для начала поймем, что такое социальный инжиниринг — это термин, который используют взломщики и хакеры, обозначающий несанкционированный доступ к информации, но совершенно противоположный взлому программного обозначения. Цель не взломать, а обхитрить людей так, что бы они сами дали пороли или иную информацию, которая в дальнейшем сможет помочь хакерам нарушить безопасность системы. Такое мошенничество включает в себя звонки по телефону в организацию и выявление тех сотрудников, которые владеют нужной информацией, а затем звонок выявленному администратору от несуществующего сотрудника, который якобы имеет проблемы доступа к системе.

Социальный инжиниринг напрямую связан с психологией, но развивается как отдельная его часть. В наше время подход инжиниринга используется очень часто, особенно для незаметной работы взломщика по краже документов. Этим способом обучают шпионов и тайных агентов, для тайного проникновения без оставления следов.

Человек способен думать, рассуждать, приходить к тому или иному выводу, но не всегда выводы могут оказаться настоящими, собственными, а не навязанные извне, такие какие они нужны кому то другому. Но самое интересное и главное помогающее мошенникам, что человек может не замечать, что его умозаключения ложные. Он до последнего момента может думать, что все он решил сам. Именно этой особенностью пользуются люди практикующие социальный инжиниринг.

Смысл социального инжиниринга является кража информации. Люди занимающиеся этим стараются без лишнего внимания украсть информацию, а потом распорядится ею по своему усмотрению: продать или шантажировать первичного владельца. По статистике очень часто оказывается, что подобные проделки происходят по заказу конкурирующей фирмы.

А теперь давайте рассмотрим способы социального инжиниринга.

Human denial of service (HDoS)

Суть этой атаки заключается в том, что бы незаметно заставить человека не реагировать на те или иные ситуации.

Например, отвлекающем маневром служит симуляция атаки на какой нибудь порт. Системный администратор отвлекается на ошибки, а в это время без проблем проникают на сервер и берут ту информацию, которая нужна. Но администратор может быть уверенным, что в этом порту ошибок быть не может и тогда проникновение хакера моментально будет замечено. Вся суть этого способа заключается в том, что взломщик должен знать психологию и уровень знаний системного администратора. Без этих знаний проникновение на сервер не возможен.

Способ “звонок”.

Под этим способом подразумевается телефонный звонок так называемой “жертве”. Мошенник звонит жертве и с помощью правильно поставленной речи и психологически правильно заданных вопросов вводит ее в заблуждение и выведывает всю нужную информацию.

Например: звонит мошенник и сообщает, что он по просьбе администратора проверяетт работоспособность системы безопасности. Затем он просит назвать пароль и имя пользователя, а после этого вся нужная ему информация у него в кармане.

Визуальный контакт.

Самый сложный способ. Справится с ней под силу только профессионально подготовленным людям. Смысл этого способа заключается в том, что обязательно надо найти подход к жертве. После того, как подход найден можно будет с его помощью понравится жертве, втереться ей в доверие. А уже после этого жертва сама выложит всю нужную информацию и ей будет казаться, что она ничего важного не рассказывает. Только вот делать такое может только профессионал.

Электронная почта.

Это самый распространенный у взломщиков способ вытягивания информации. В большинстве случаев взломщики отправляют письмо жертве от якобы знакомого ей человека. Самое сложное в этом способе — это скопировать манеру и стиль письма этого знакомого. Если жертва поверит в обман, то здесь уже можно вытягивать всю информацию, какая только может понадобится взломщику.

Социальная инженерия — несанкционированный доступ к конфиденциальной информации посредством манипуляции сознанием человека. Методы социальной инженерии базируются на особенностях психологии и направлены на эксплуатацию человеческих слабостей (наивность, невнимательность, любопытство, коммерческие интересы). Активно используются социальными хакерами как в сети Интернет, так и вне её.

Впрочем, касательно цифровых технологий, веб-ресурсов, компьютеров, смартфонов — «затуманивание мозгов» пользователей сети происходит несколько по-другому. «Силки», «капканы» и другие уловки мошенники расставляют где угодно и как угодно, в соцсетях, на геймерских порталах, в электронных почтовых ящиках и онлайн-сервисах. Вот лишь некоторые примеры методов социальной инженерии:

В подарок на праздник... троянский конь

Независимо от характера, профессии, финансовой состоятельности, каждый человек ждёт праздников: Новый Год, 1 мая, 8 марта, День святого Валентина и т.д., чтобы, естественно, отметить их, отдохнуть, наполнить свою душевную ауру позитивом и, попутно, обменяться со своими друзьями-товарищами поздравлениями.

В этот момент социальные хакеры особенно активны. В предпраздничные и праздничные дни они рассылают на аккаунты почтовых сервисов открытки: яркие, красочные, с музыкальным сопровождением и... опасным вирусом троянцем. Жертва ничего не ведая о таком коварстве, пребывая в эйфории веселья либо, просто, любопытства кликает по открытке. В то же мгновенье зловред инфицирует ОС, а затем ждёт удобного момента, чтобы похитить регистрационные данные, номер платёжной карты либо подменить веб-страницу интернет-магазина в браузере на фейковую и украсть деньги со счёта.

Выгодная скидка и вирус «в нагрузку»

Отличный пример социальной инженерии. Желание «сэкономить» свои кровно заработанные вполне оправдано и объяснимо, но в разумных пределах и при определённых обстоятельствах. Это о том, что «не всё золото, что блестит».

Жулики под личиной крупнейших брендов, интернет-магазинов и сервисов, в соответствующем оформлении, предлагают купить товары по неимоверной скидке и плюс к покупке — получить подарок... Делают поддельную рассылку, создают группы в соцсетях и тематические «ветки» на форумах.

Наивные обыватели, что называется, «ведутся» на эту яркую коммерческую афишу: впопыпах в голове пересчитывают сколько осталось с зарплаты, аванса и кликают ссылку «купить», «перейти на сайт для покупки» и т.д. После чего, в 99 из 100 случаев, вместо выгодного приобретения, получают вирус на свой ПК либо безвозмездно отправляют денежки социальным хакерам.

Геймерский донат +300% к навыкам воровства

В онлайн-играх, да и вообще в мультиплеерных играх, за редкими исключениями, выживает сильнейший: у кого крепче броня, урон, сильнее магия, больше здоровья, маны и т.д.

И, конечно, каждый геймер хочет во что бы то ни стало добыть для своего перса, танка, самолёта и ещё ни бог весть чего эти заветные артефакты. В боях или в походах, собственноручно или за реальные деньги (функция доната) в виртуальном магазине игры. Чтобы быть лучшим, первым... достичь последнего уровня развития.

Мошенники знают об этих «геймерских слабостях» и всячески искушают игроков приобрести заветные артефакты, умения. Иногда за деньги, иногда бесплатно, но это сути и цели злодейской схемы не меняет. Заманчивые предложения звучат на фейковых сайтах примерно так: «скачай это приложение», «установи патч», «для получения предмета зайди под в игре».

Взамен долгожданного бонуса у геймера воруют аккаунт. Если он отлично «прокачан», похитители его продают или выуживают с него платёжные данные (если таковые имеются).

Вредоносное ПО + социальная инженерия = гремучая смесь коварства

Осторожно иконки!

Многие пользователи орудуют мышкой в ОС на «автопилоте»: клик туда, сюда; открыл это, то, другое. Редко, кто из них присматривается к типу файлов, их объёму и свойствам. А вот и зря. Хакеры маскируют исполняемые файлы зловредов под обычные папки Windows, картинки или доверенные приложения, то есть внешне, визуально, их не различишь. Пользователь кликает по папке, её содержимое, естественно, не открывается, ибо это вовсе не папка, а инсталлятор вируса с раcширением.exe. И зловред «в тихую» проникает в ОС.

Верное «противоядие» от таких хитростей — файловый менеджер Total Commander. В отличие от интегрированного проводника Windows, он отображает всю подноготную файла: тип, объём, дату создания. Наибольшую потенциальную опасность для системы представляют неизвестные файлы с расширениями: «.scr», «.vbs», «.bat», «.exe».

Страх подогревает доверие

1. Пользователь открывает «сайт-страшилку», и ему тут же сообщают пренеприятнейшую новость, или даже новости: «ваш ПК заражён опаснейшим трояном», «в вашей ОС обнаружено 10, 20... 30 вирусов», «с вашего компьютера рассылается спам» и т.д.
2. И сразу же предлагают (проявляют «заботу») установить антивирус и, следовательно, решить озвученную на сайте проблему безопасности. И самое главное совершенно бесплатно.
3. Если посетителя одолевает страх за свой ПК, он проходит по ссылке и скачивает... только не антивирус, а ложный антивирус — подделку напичканную вирусами. Устанавливает и запускает — последствия соответствующие.

• Во-первых, веб-сайт не может в одно мгновенье ока проверить ПК посетителя и выявить зловредов.
• Во-вторых, свои антивирусы, будь они платные или бесплатные, разработчики распространяют через свои, то бишь официальные, сайты.
• И, наконец, в-третьих, если есть сомнения и страх по поводу «чистая» ОС или нет, лучше проверить системные раздел, тем что имеется, то есть установленным антивирусом.

Подводя итоги

Психология и хакинг сегодня идут рука об руку — тандем эксплуатации человеческих слабостей и программных уязвимостей. Пребывая в сети Интернет, в праздники и будни, днём или ночью, и неважно в каком настроении, в обязательном порядке нужно проявлять бдительность, подавлять наивность, отгонять наития коммерческой наживы и чего-то «бесплатного». Ибо, как известно, за просто так раздаётся только сыр и только в мышеловке. Создавайте только пароли, храните их в местах и оставайтесь с нами, поскольку, как известно, безопасности много не бывает.

Использующие приемы социальной инженерии киберпреступники за последние годы взяли на вооружение более продвинутые методы, которые позволяют с большей долей вероятности получить доступ к нужной информации, используя современную психологию сотрудников предприятий, да и людей в целом. Первым шагом в противостоянии такого вида уловкам является понимание самих тактик злоумышленников. Рассмотрим восемь основных подходов к социальной инженерии.

Введение

В 90-е понятие «социальная инженерия» ввел в употребление Кевин Митник, знаковая фигура в сфере информационной безопасности, бывший хакер серьезного уровня. Однако злоумышленники использовали такие методы задолго до появления самого термина. Специалисты убеждены, что тактика современных киберпреступников завязана на преследовании двух целей: кража паролей, установка вредоносной программы.

Злоумышленники пытаются применить социальную инженерию, используя телефон, электронную почту и Сеть. Ознакомимся с основными методами, помогающими преступникам добывать необходимую им конфиденциальную информацию.

Тактика 1. Теория десяти рукопожатий

Главная цель злоумышленника, использующего телефон для социальной инженерии, состоит в том, чтобы убедить свою жертву в одном из двух моментов:

1. Жертве звонит сотрудник компании;
2. Звонит представитель уполномоченного органа (например, правоохранитель или аудитор).

Если преступник ставит себе задачу собрать данные об определенном сотруднике, он может сначала связаться с его коллегами, пытаясь всяческими способами выудить нужные ему данные.

Припоминаете старую теорию шести рукопожатий ? Так вот, специалисты в области безопасности утверждают, что между киберпреступником и его жертвой может быть всего десять «рукопожатий». Эксперты полагают, что современных условиях всегда нужно иметь небольшую паранойю, так как неизвестно, чего от вас хочет тот или иной сотрудник.

Злоумышленники обычно выходят на секретаря (или занимающего похожую должность человека), чтобы собрать информацию о людях, стоящих выше по иерархии. Специалисты отмечают, что дружелюбный тон во многом помогает мошенникам. Медленно, но верно преступники подбирают к вам ключ, что вскоре приводит к тому, что вы делитесь информацией, которую бы раньше ни за что не открыли.

Тактика 2. Изучение корпоративного языка

Как известно, у каждой отрасли есть свои специфические формулировки. Задача злоумышленника, пытающегося добыть необходимую информацию, - изучить особенности такого языка, чтобы более искусно использовать приемы социальной инженерии.

Вся специфика кроется в изучении корпоративного языка, его терминов и особенностей. Если киберпреступник будет говорить на знакомом, привычном и понятном для его целей языке, он легче войдет в доверие и сможет быстрее заполучить необходимую ему информацию.

Тактика 3. Заимствование музыки для ожидания во время звонков

Для осуществления успешной атаки мошенники нуждаются в трех составляющих: время, настойчивость и терпение. Зачастую кибератаки с использованием социальной инженерии производятся медленно и методично - собираются не только данные о нужных людях, но и так называемые «социальные сигналы». Это делается для того, чтобы заполучить доверие и обвести цель вокруг пальца. Например, злоумышленники могут убедить ту персону, с которой они общаются, в том, что они коллеги.

Одной из особенностей такого подхода является запись музыки, которую компания использует во время звонков, в момент, когда звонящий ожидает ответа. Преступник сначала дожидается такой музыки, затем записывает ее, после чего использует в своих интересах.

Таким образом, когда идет непосредственный диалог с жертвой, злоумышленники в какой-то момент говорят: «Подождите минутку, звонок по другой линии». Затем жертва слышит знакомую музыку и у нее не остается никаких сомнений, что звонящий представляет определенную компанию. В сущности, это лишь грамотный психологический трюк.

Тактика 4. Спуфинг (подмена) телефонного номера

Преступники часто используют спуфинг телефонных номеров, что помогает им подменить номер звонящего абонента. Например, злоумышленник может сидеть у себя в квартире и звонить интересующему его лицу, однако на определителе номера отобразится принадлежащий компании номер, что создаст иллюзию того, что мошенник звонит, используя корпоративный номер.

Разумеется, ничего не подозревающие сотрудники в большинстве случаев передадут конфиденциальную информацию, включая пароли, звонящему лицу, если идентификатор абонента принадлежит их компании. Такой подход также помогает преступникам избежать отслеживания, так как если перезвонить на этот номер, вы будете переадресованы на внутреннюю линию компании.

Тактика 5. Использование новостей против вас

Какими бы ни были заголовки текущих новостей, злоумышленники используют эту информацию в качестве приманки для спама, фишинга и других мошеннических действий. Не зря специалисты в последнее время отмечают рост числа спам-писем, темы которых касаются президентских кампаний и экономических кризисов.

Из примеров можно привести фишинговую атаку на какой-либо банк. В электронном письме говорится примерно следующее:

«Другой банк [имя банка] приобретает ваш банк [имя банка]. Нажмите на эту ссылку, чтобы убедиться, что информация о вашем банке обновлена, пока сделка не закрыта».

Естественно, это попытка заполучить информацию, с помощью которой мошенники смогут войти в ваш аккаунт, украсть ваши деньги, либо продать вашу информацию третьему лицу.

Тактика 6. Использование доверия к социальным платформам

Ни для кого не секрет, что сайты Facebook, Myspace и LinkedIn представляют собой чрезвычайно популярные социальные сети. Согласно исследованию экспертов, люди склонны доверять таким платформам. Недавний инцидент с целевым фишингом, направленным на пользователей LinkedIn, подтверждает эту теорию.

Таким образом, многие пользователи будут доверять электронному письму, если в нем будет утверждаться, что оно пришло от Facebook. Частым приемом является утверждение, что соцсеть проводит техническое обслуживание, вам надо «нажать здесь», чтобы обновить информацию. Именно поэтому специалисты рекомендуют сотрудникам предприятий вводить веб-адреса вручную, чтобы избежать фишинговых ссылок.

Также стоит иметь в виду, что сайты в очень редких случаях направляют пользователям запрос на изменение пароля или обновление учетной записи.

Тактика 7. Тайпсквоттинг

Эта вредоносная техника примечательна тем, что злоумышленники используют человеческий фактор, а именно ошибки при введении URL-адреса в адресную строку. Таким образом, ошибившись всего на одну букву, пользователь может попасть на сайт, созданный специально для этих целей злоумышленниками.

Киберпреступники тщательно подготавливают почву для тайпсквоттинга, следовательно, их сайт будет как две капли воды похож на тот легитимный, который вы хотели первоначально посетить. Таким образом, допустив ошибку в написании веб-адреса, вы попадаете на копию легитимного сайта, целью которого является либо продажа чего-либо, либо кража данных, либо распространение вредоносных программ.

Тактика 8. Использование FUD для воздействия на ранок ценных бумаг

FUD - тактика психологической манипуляции, применяемая в маркетинге и пропаганде вообще, заключающаяся в подаче сведений о чем-либо (в частности, продукте или организации) таким образом, чтобы посеять у аудитории неуверенность и сомнение в его качествах и таким образом вызвать страх перед ним.

Согласно последним исследованиям Avert, безопасность и уязвимость продуктов и даже целых компаний может повлиять на рынок акций. Например, исследователи изучили влияние таких событий, как «Вторник патчей от Microsoft» (Microsoft Patch Tuesday) на акции компании, обнаружив заметное колебание каждый месяц после того, как публикуется информация об уязвимостях.

Также можно вспомнить, как злоумышленники в 2008 году распространили ложную информацию о здоровье Стива Джобса, что повлекло за собой резкое падение акций компании Apple. Это самый характерный пример использования FUD в злонамеренных целях.

Помимо этого, стоит отметить использование электронной почты для реализации техники «pump-and-dump» (схема манипуляций биржевым курсом на фондовом рынке или на рынке криптовалют с последующим обвалом). В этом случае злоумышленники могут разослать электронные письма, описывающие потрясающий потенциал акций, которые они заранее скупили.

Таким образом, многие будут стараться скупить эти акции как можно скорее, а они буду увеличиться в цене.

Выводы

Зачастую киберпреступники крайне изобретательны в своем использовании социальной инженерии. Ознакомившись с их методами, можно сделать вывод, что различные психологические трюки очень помогают злоумышленникам добиваться поставленных целей. Исходя их этого, стоит обращать внимание на любую мелочь, которая может невольно выдать мошенника, проверять и перепроверять информацию о связывающихся с вами людях, особенно если обсуждается конфиденциальная информация.

В этой статье мы уделим внимание понятию «социальная инженерия». Здесь будет рассмотрено общее Также мы узнаем о том, кто был основоположником этого понятия. Отдельно поговорим об основных методах социальной инженерии, которые применяют злоумышленники.

Введение

Методы, позволяющие корректировать поведение человека и управлять его деятельностью без применения технического набора средств, образуют общее понятие социальной инженерии. Все способы базируются на утверждении о том, что человеческий фактор - самая разрушительная слабость любой системы. Часто данное понятие рассматривают на уровне незаконной деятельности, посредством которой преступником совершается действие, направленное на получение информации от субъекта-жертвы нечестным путем. Например, это может быть определенный вид манипуляции. Однако социальная инженерия применяется человеком и в законной деятельности. На сегодняшний день чаще всего ее используют для доступа к ресурсам с закрытой или ценной информацией.

Основоположник

Основоположником социальной инженерии является Кевин Митник. Однако само понятие к нам пришло из социологии. Оно обозначает общий набор подходов, которыми пользуются прикладные соц. науки, ориентированные на изменение организационной структуры, способной определять поведение человека и осуществлять контроль над ним. Кевина Митника можно считать родоначальником данной науки, так как именно он популяризировал соц. инженерию в первом десятилетии XXI века. Сам Кевин ранее был хакером, совершавшим в самые разнообразные базы данных. Он утверждал, что фактор человека является самым уязвимым местом системы любого уровня сложности и организации.

Если говорить о методах социальной инженерии как о способе получения прав (чаще незаконных) на пользование конфиденциальными данными, то можно сказать, что они были уже известны очень давно. Однако донести всю важность их значения и особенности применения смог именно К. Митник.

Фишинг и несуществующие ссылки

Любая техника социальной инженерии базируется на наличии когнитивных искажений. Ошибки поведения становятся «орудием» в руках умелого инженера, который в будущем может создать атаку, направленную на получение важных данных. Среди методов социальной инженерии выделяют фишинг и несуществующие ссылки.

Фишинг - интернет-мошенничество, предназначенное для получения личной информации, например, о логине и пароле.

Несуществующая ссылка - использование ссылки, которая будет заманивать получателя определенными преимуществами, которые можно получить, перейдя по ней и посетив определенный сайт. Чаще всего используют имена крупных фирм, внося малозаметные коррективы в их наименование. Жертва, перейдя по ссылке, «добровольно» передаст свои личные данные злоумышленнику.

Методы с применением брендов, дефектных антивирусов и подложной лотереи

В социальной инженерии также используют методы мошенничества с применением известных брендов, дефектных антивирусов и подложной лотереи.

«Мошенничество и бренды» - способ обмана, который также относится к разделу фишинговых. Сюда входят электронные почты и веб-сайты, которые содержат название крупной и / или «раскрученной» компании. С их страничек рассылаются сообщения с уведомлением о победе в определенном конкурсе. Далее требуется введение важных данных учетной записи и их кража. Также данная форма мошенничества может осуществляться по телефону.

Подложная лотерея - способ, в котором жертве отсылаются сообщение с текстом о том, что он(а) выиграл(а) в лотерею. Чаще всего оповещение маскируют использованием имен крупных корпораций.

Ложные антивирусы - это мошенничество над программным обеспечением. Здесь применяются программы, которые внешне похожи на антивирусы. Однако на деле они приводят к генерированию ложных уведомлений об определенной угрозе. Также они стараются завлекать пользователей в сферу транзакций.

Вишинг, фрикинг и претекстинг

Говоря о социальной инженерии для начинающих, стоит также упомянуть о вишинге, фрикинге и претекстинге.

Вишинг - это форма обмана, использующая телефонные сети. Здесь используются предварительно записанные голосовые сообщения, целью которых является воссоздание «официального звонка» банковской структуры или любой другой системы IVR. Чаще всего просят ввести логин и / или пароль с целью подтверждения какой-либо информации. Другими словами, системой требуется прохождение аутентификации со стороны пользователя с использованием PIN-кодов или паролей.

Фрикинг - это еще одна форма телефонного обмана. Представляет собой систему взлома с применением звуковых манипуляций и тонового набора.

Претекстинг - нападение с применением заранее продуманного плана, суть которого заключается в представлении другим субъектом. Крайне сложный способ обмана, так как он требует тщательной подготовки.

Квид-про-кво и метод «дорожного яблока»

Теория социальной инженерии - многогранная база данных, включающая в себя как методы обмана и манипуляции, так и способы борьбы с ними. Главной задачей злоумышленников, как правило, является выуживание ценной информации.

Среди других видов афер выделяют: квид-про-кво, метод «дорожного яблока», плечевой серфинг, использование открытых источников и обратную соц. инженерию.

Квид-про-кво (от лат. - «то за это») - попытка выудить информацию компании или фирмы. Происходит это путем обращению в нее по телефону или посредством пересылки сообщений по электронной почте. Чаще всего злоумышленники представляются сотрудниками тех. поддержки, которые сообщают о наличии определенной проблемы на рабочем месте работника. Далее они предлагают способы ее устранения, например, посредством установления программного обеспечения. ПО оказывается дефектным и способствует продвижению преступления.

«Дорожное яблоко» - это метод атаки, который основан на идее троянского коня. Его суть заключается в использовании физического носителя и подмене информации. Например, могут снабдить карту памяти определенным «благом», которое привлечет внимание жертвы, вызовет желание открыть и использовать файл или перейти по ссылкам, указанным в документах флешки. Объект «дорожного яблока» сбрасывают в социальных местах и ждут, пока каким-либо субъектом не будет реализован план злоумышленника.

Сбор и поиск информации из источников отрытого типа представляет собой аферу, в которой получение данных основано на методах психологии, умении замечать мелочи и анализе доступных данных, например, странички из социальной сети. Это достаточно новый способ социальной инженерии.

Плечевой серфинг и обратная соц. инженерия

Понятие «плечевой серфинг» определяет себя как наблюдение за субъектом вживую в буквальном смысле. При этом виде выуживания данных злоумышленник отправляется в общественные места, например, кафе, аэропорт, вокзал и следит за людьми.

Не стоит недооценивать данный метод, так как множество опросов и исследования показывают, что внимательный человек может получать множество конфиденциальной информации просто проявляя наблюдательность.

Социальная инженерия (как уровень социологического знания) является средством для «захвата» данных. Существуют способы получения данных, при которых жертва сама предложит злоумышленнику необходимую информацию. Однако она может служить и во благо общества.

Обратная соц. инженерия - еще один метод этой науки. Применение этого термина становится уместным в случае, который мы упомянули выше: жертва сама предложит злоумышленнику необходимую информацию. Не стоит воспринимать это утверждение как абсурд. Дело в том, что субъекты, наделенные авторитетом в определенных сферах деятельности, нередко получают доступ к данным идентификации по собственному решению субъекта. Основой здесь служит доверие.

Важно помнить! Сотрудники служб поддержки никогда не потребуют у пользователя, например, пароль.

Осведомление и защита

Обучение социальной инженерии может осуществляться индивидом как на основе личной инициативы, так и на основе пособий, которые используются в особых учебных программах.

Преступниками могут применяться самые разнообразные виды обмана, начиная от манипуляции и заканчивая ленью, доверчивостью, любезностью пользователя и т. д. От такого вида атак крайне сложно защитить себя, что обусловлено отсутствием у жертвы осознания того, что его (ее) обманули. Различные фирмы и компании для защиты своих данных на этом уровне опасности часто занимаются оценкой общей информации. Далее происходит интегрирование необходимых мер защиты в политику безопасности.

Примеры

Примером социальной инженерии (ее акта) в области способа глобальных фишинговых рассылок является событие, произошедшее в 2003 году. В ходе этой аферы пользователям eBay были посланы письма на электронные адреса. В них утверждалось, что учетные записи, принадлежащие им, были заблокированы. Для отмены блокировки необходимо было ввести заново данные учетной записи. Однако письма были поддельными. Они переводили на страницу, идентичную официальной, но поддельную. По экспертным оценкам, убыток был не слишком значительным (менее миллиона долларов).

Определение ответственности

За применение социальной инженерии может предусматриваться наказание в некоторых случаях. В ряде стран, например, США, претекстинг (обман посредством выдачи себя за другую личность) приравнивают к вторжению в личную жизнь. Однако это может наказываться законом, если полученная в ходе претекстинга информация была конфиденциальной с точки зрения субъекта или организации. Запись телефонного разговора (как метод соц. инженерии) также предусмотрена законом и требует выплаты штрафа в виде 250 000 долларов или лишения свободы сроком до десяти лет для физ. лиц. Юридические субъекты обязаны выплатить 500 000 $; срок остается тот же.