Методы социальной инженерии

2020-11-23_16-56-53.pngТермин «социальная инженерия» обозначает способ получения злоумышленником нужной информации или управления действиями человека без использования технических средств. Суть социальной инженерии заключается в применении только психологических методов воздействия на людей, убеждения, внушения доверия и хитрости. В основе методов социальной инженерии всегда лежит манипулирование базовыми эмоциями человека: страхом, жадностью, эмпатией. Основная задача социального инженера — «подобрать ключ» к каждому конкретному человеку и сыграть на его чувствах и эмоциях так, чтобы он забыл про осторожность и совершил необходимые злоумышленнику действия.

Техники социальной инженерии

Принцип атаки с использованием социальной инженерии основывается на вызове у жертвы чувства доверия. По своей природе большинство людей склонны доверять, когда к ним обращается дружелюбный и общительный человек с каким-либо вопросом или обоснованной на первый взгляд просьбой о помощи. Например, распространенным способом выманивания у сотрудника компании конфиденциальной информации по-прежнему остается телефонный звонок злоумышленника, представившегося коллегой или сотрудником техподдержки. Если социальный инженер провел предварительную работу, выяснил имя и фамилию своей жертвы, должность, рабочий телефон, придумал достоверную и убедительную историю, овладел профессиональным сленгом, то у пользователя не возникнет никаких сомнений, и он без малейшего подозрения сообщит мошеннику любую информацию, в том числе логин и пароль от своей учетной записи.

Тот факт, что большинство людей оставляют огромное количество информации о себе в сети Интернет, играет на руку социальным инженерам. По «цифровым следам» своей жертвы, её страничкам в соцсетях злоумышленник может составить представление о характере, интересах, привычках человека и использовать эти данные в ходе атаки.

Каналы связи для осуществления атак методом социальной инженерии могут быть любые: электронная почта, мессенджеры, телефонные звонки, СМС-сообщения.

Существуют различные техники социальной инженерии:

Фишинг. Поддельные страницы сайта являются одними из самых популярных методов обмана пользователей с целью получения персональной или конфиденциальной информации. Страница, повторяющая дизайн целевой, и содержит поля для ввода логина и пароля. Ссылки на такие страницы распространяются через СМС-сообщения, электронные письма, социальные сети и мессенджеры. Причем получить фишинговое письмо можно даже от знакомого адресата. Чтобы вызвать доверие у своей жертвы, злоумышленники часто используют взломанные учетные записи.

Вишинг или «голосовой фишинг». Разновидность фишинга, когда для связи со своей жертвой злоумышленник использует телефонную связь.

Претекстинг. Техника социальной инженерии, при которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию подводит пользователя к тому, что тот совершает требуемые мошеннику действия или выдает необходимую конфиденциальную информацию. Обычно реализуется через телефон, социальные сети или электронную почту и требует предварительного сбора информации о жертве. Примером может служить телефонный звонок от имени сотрудника банка, который сообщает клиенту, что его банковская карта заблокирована и выманивает у него реквизиты карты под предлогом ее разблокировки.

Обратная социальная инженерия. Техника, при которой злоумышленник вынуждает жертву саму обратиться к нему за «помощью». Этим методом пользуются злоумышленники, выдающие себя за сотрудников технической поддержки. Подобная атака проходит в несколько этапов. Например, сначала злоумышленник создает на компьютере жертвы обратимую неполадку. Затем каким-либо образом сообщает пользователю о своей возможности решать подобные технические проблемы (размещает объявление или свои контакты рядом с рабочим местом пользователя или там, где он их увидит наверняка). После того как пользователь обратится к нему за помощью, злоумышленник решает проблему и заодно получает необходимый для своих целей доступ к компьютеру пользователя.

Рекомендации

1.      Основным способом защиты от атак с использованием техник социальной инженерии является повышение осведомленности пользователей. Только личная бдительность и критический подход позволит распознать угрозу социальной инженерии и признаки манипуляции Вашими действиями.

2.      Если речь идет о компании, то все сотрудники должны быть предупреждены об опасности раскрытия персональной информации и конфиденциальной информации компании, а также о способах предотвращения утечки данных. Лучше всего это реализовать с помощью разработки четких и ясных инструкций, в которых будет прописано, какую информацию можно предоставлять другим лицам (посетителям, коллегам, в службу технической поддержки).

3.      Существует несколько простых правил, которые следует неукоснительно соблюдать всем пользователям.

·         Никому и никогда не сообщайте логины и пароли от своих учетных записей. Даже если Вас пытаются убедить, что от этого зависит выполнение срочной и важной задачи. Помните, что сотрудники банка не имеют права запрашивать у Вас номер банковской карты, CVV/CVC-код и иную информацию, позволяющую произвести списание денежных средств.

·         Не скачивайте вложения и не переходите по подозрительным ссылкам в письмах, полученных даже от известных Вам лиц. Всегда проверяйте с помощью других доступных каналов связи (телефонного звонка, сообщения в мессенджере), что отправитель письма — именно тот, за кого себя выдает.

·         Перед переходом по ссылке из письма или сообщения наведите на неё курсор мыши, чтобы увидеть реальный URL-адрес страницы.

·         Блокируйте компьютер, когда уходите от своего рабочего места.

·         Используйте надежные и уникальные пароли для различных сервисов. Используйте менеджеры паролей.

·         Помните, от атак социальных инженеров позволит защититься только личная бдительность и критический подход.

 

На данной странице используются материалы портала Safe-surf, https://safe-surf.ru/users-of/article/642870/