Соціальна інженерія або маніпуляції свідомістю

Зловмисники намагаються добратись до Ваших грошей та збагатитись за Ваш рахунок – зламати, атакувати приватні акаунти та облікові записи.  Деякі діють більш витончено –  Ви самі, як це не дивно, віддаєте їм конфіденційну інформацію. Такі віртуози працюють в жанрі «соціальної інженерії», про яку ми сьогодні і поговоримо.

Що так соціальна інженерія?

Керування людьми це наука, яка дає необмежені можливості. В сучасному світі вона має свій темний бік, який має назву соціальна інженерія – сукупність методів, основаних на психологічних особливостях людей: цікавість, довіра, звичка тощо.

Метою соціальної інженерії є спонукання людей робити певні дії, які вони за звичних умов ніколи не вчинили, наприклад, розголошувати власну конфіденційну інформацію, переходити на невідомі сайти та за сумнівними посиланнями. Вся система соціальної інженерії базується на тому факті, що саме людина є найслабкішою ланкою будь-якої системи інформаційної чи кібербезпеки. Саме тому, при умові, що технічно отримати конфіденційну інформацію хакерам досить важко, вони впливають безпосередньо на користувача – найслабкіше місце в системі інформаційної безпеки.

Основні методи соціальної інженерії

Занадто довірливі користувачі досить легковажно відносяться до власної кібербезпеки і не усвідомлюють, що неуважність може коштувати їм значних фінансових втрат. Для цього кібершахраї використовують особливі методи соціальної інженерії, які розраховані на різні аспекти людської психології.

1. Фішинг. Один з видів соціальної інженерії. Суть методу полягає у створенні підробленої сторінки сайту банку чи іншої установи з метою «витягнути» у користувача пари логін/пароль від його акаунта. Це дасть можливість зловмисникам, наприклад, перевести всі гроші з банківського рахунку жертви на власні. Частіше за все, фішинг розрахований на неуважних користувачів, які не звертають уваги на незвичайні назви сайтів, частіше за все з помилками, незвичайний зовнішній вигляд знайомих ресурсів та нехтують основним правилами сучасної кібербезпеки.
   
   Наприклад, оригінальна адреса відомого в Україні онлайн-банку –  privat24.ua. У той самий час фішингова сторінка може мати тільки одну неправильну літеру або схожу назву та бути витриманою у корпоративних кольорах компанії - priwat24.ua
    
2. Листи від банків. Розповсюдженим методом соціальної інженерії є, так звані, «листи від банків». Сама назва говорить нам про те, на що націлюються зловмисники. Суть методу дещо інша ніж класичний фішинг. Фактично, зловмисники не чекають поки користувачі самі потраплять на підроблений сайт, а самі спонукають їх це зробити. Це здійснюється за допомогою фальшивих повідомлень від банків чи інших установ, в тексті яких міститься інформація на зразок:

• залякувань втратою грошей
• можливості отримання виграних в псевдо-акціях призів
• вимог уточнення інформації
  
  Всі ці «пропозиції» закінчуються проханням переходити на сайт і, наприклад, увійти у власний акаунт. Вводячи логін та пароль, юзер фактично сам передає їх зловмисникам, які отримують повний доступ до приватного кабінету користувача, а значить в 99% випадків до його грошей.

3. «Емоційна буря». Найяскравішим прикладом соціальної інженерії є так звані «WOW- повідомлення». Це  «гра» на природній цікавості та емоційності користувачів. Вони мають вигляд коротких повідомлень від друзів на пошту, у соцмережах, месенджерах,  зміст яких має спонукати перейти за посиланням у тілі повідомлення. «ОГО! Подивись яка прикольна річ. Я був у шоці!» - класичний приклад такого методу соціальної інженерії.  Посилання можуть вести як на фішингові сайти, так і на автоматичне завантаження шкідливого ПЗ, яке також буде використано для крадіжки конфіденційної інформації з зараженого ПК.
   
   Цікавий приклад «WOW- повідомлення» з переходом на підроблений сайт був спеціально створений для курсу лекцій «Основи інформаційної безпеки», авторами якого стали експерти лабораторії Zillya!
   
   Уважність та ще раз уважність

Протидія соціальній інженерії схожа на внутрішню боротьбу з людською суттю. Є декілька правил, які допоможуть Вам не попадатись на гачки шахраїв:

1. Звертайте увагу на написання адрес сайтів
2. Якщо Вам пропонують переглянути сайт/фото/відео, зазиваючи емоційними закликами – не переходьте одразу. Порахуйте до 10-ти та згадайте, що це можливо приклад соціальної інженерії.
3. Вводячи логін/пароль в акаунтах на сайтах, звертайте увагу на незвичайні зміни зовнішнього вигляду сторінок. Якщо щось викликає підозру – краще перевірити оригінальність ресурсу ще раз.
4. Критично ставтесь до електронних листів, а особливо до посилань за якими пропонують перейти незнайомі відправники повідомлень.

Ці чотири правила не є вичерпними, але тримаючи їх у пам’яті та використовуючи як фільтр під час користування Інтернет, Ви зможете суттєво покращити свій інформаційний захист та стати менш вразливим до методів соціальної інженерії.