Социальная инженерия или манипуляции сознанием
Злоумышленники пытаются добраться до Ваших денег и обогатиться за Ваш счет - сломать, атаковать частные аккаунты и учетные записи. Некоторые действуют более изощренно - Вы сами, как это ни странно, отдаете им конфиденциальную информацию. Такие виртуозы работают в жанре «социальной инженерии», о которой мы сегодня и поговорим.
Что такое «социальная инженерия»?
Управление людьми это наука, которая дает неограниченные возможности. В современном мире она имеет свой темную сторону, который называется социальная инженерия - совокупность методов, основанных на психологических особенностях людей: интерес, доверие, привычка и тому подобное.
Целью социальной инженерии является побуждение людей делать определенные действия, которые они при обычных условиях никогда бы не сделали, например, разглашение своей конфиденциальной информации, переходы на неизвестные сайты и по сомнительным ссылкам. Вся система социальной инженерии базируется на том факте, что именно человек является самым слабым звеном любой системы информационной или кибербезопасности. Именно поэтому, при условии, что технически получить конфиденциальную информацию хакерам довольно трудно, они воздействуют непосредственно на пользователя - самое слабое место в системе информационной безопасности.
Основные методы социальной инженерии
Слишком доверчивые пользователи довольно легкомысленно относятся к собственной кибербезопасности и не осознают, что невнимательность может стоить им значительные финансовые потери. Для этого кибермошенники используют особые методы социальной инженерии, рассчитанные на различные аспекты человеческой психологии.
1. Фишинг. Один из видов социальной инженерии. Суть метода заключается в создании поддельной страницы сайта банка или другого учреждения с целью «вытянуть» у пользователя пары логин / пароль от его аккаунта. Это позволит злоумышленникам, например, перевести все деньги с банковского счета жертвы на собственные. Чаще всего, фишинг рассчитан на невнимательных пользователей, которые не обращают внимания на необычные названия сайтов, чаще всего с ошибками, необычный внешний вид знакомых ресурсов и пренебрегают основным правилам современной кибербезопасности.
Например, оригинальный адрес известного в Украине онлайн-банка - privat24.ua. В то же время фишинговая страница может иметь только одну неправильную букву или похожее название и быть выдержанной в корпоративных цветах компании - priwat24.ua
2. Письма от банков. Распространенным методом социальной инженерии являются, так называемые, «письма от банков». Само название говорит нам о том, на что нацеливаются злоумышленники. Суть метода несколько иная, чем классический фишинг. Фактически, злоумышленники не ждут, пока пользователи сами попадут на поддельный сайт, а сами побуждают их это сделать. Это осуществляется с помощью фальшивых сообщений от банков или других учреждений, в тексте которых содержится информация, например:
• запугивания потерей денег
• возможности получения выигранных в псевдо-акциях призов
• требования уточнения информации
Все эти «предложения» заканчиваются просьбой переходить на сайт и, например, войти в свой аккаунт. Вводя логин и пароль, пользователь фактически сам передает их злоумышленникам, которые получают полный доступ к частному кабинета пользователя, а значит в 99% случаев к его деньгам.
3. «Эмоциональная буря». Самым ярким примером социальной инженерии являются так называемые «WOW- сообщение». Это «игра» на естественном любопытстве и эмоциональности пользователей. Они имеют вид коротких сообщений от друзей на почту, в соцсетях, мессенджерах, содержание которых должно побудить перейти по ссылке в теле сообщения. «ОГО! Посмотри которая прикольная вещь. Я был в шоке!» - классический пример такого метода социальной инженерии. Ссылки могут вести как на фишинговые сайты, так и на автоматические загрузки вредоносного ПО, которое также будет использовано для кражи конфиденциальной информации с зараженного ПК.
Интересный пример «WOW- сообщения» с переходом на поддельный сайт был специально создан для курса лекций «Основы информационной безопасности», авторами которого стали эксперты лаборатории Zillya!
Внимательность и еще раз внимательность
Противодействие социальной инженерии похоже на внутреннюю борьбу с человеческой сути. Есть несколько правил, которые помогут Вам не попадаться на крючки мошенников:
1. Обращайте внимание на написание адресов сайтов
2. Если Вам предлагают пересмотреть сайт / фото / видео, зазывая эмоциональными призывами - не переходите сразу. Посчитайте до 10-ти и вспомните, что это возможно пример социальной инженерии.
3. Вводя логин / пароль в аккаунтах на сайтах, обращайте внимание на необычные изменения внешнего вида страниц. Если что-то вызывает подозрение - лучше проверить оригинальность ресурса еще раз.
4. Критически относитесь к электронным письмам, а особенно к ссылкам по которым предлагают перейти незнакомые отправители сообщений.
Эти четыре правила не являются исчерпывающими, но держа их в памяти и используя в качестве фильтра при пользовании Интернет, Вы сможете существенно улучшить свою информационную защиту и стать менее уязвимым к методам социальной инженерии.