Почти все пользователи думают, что слишком умны, чтобы попасться на какое-либо мошенничество, – даже те, кто уже попадался и, возможно, не раз. Социальная инженерия – это мощный набор методов, которые хакеры, мошенники и воры используют для взлома вашей системы безопасности и кражи ценных данных. Поэтому стоит знать их стратегии, чтобы не попасть в ловушку.
Что такое социальная инженерия?
Социальная инженерия – это искусство убеждать человека делать то, что нужно вам, даже если это противоречит его интересам. Доверие, стресс и жадность – это естественные чувства, которые социальные инженеры используют против вас, чтобы затуманить ваш разум. Когда речь заходит о цифровом мире, она может включать или не включать в себя код или вредоносное ПО.
Типы и примеры социальной инженерии:
Phishing
Фишинг происходит, когда киберпреступники используют электронную почту, чтобы выдать себя за кого-то другого. Обычно они притворяются вашим банком, правительством, курьерской компанией или любой другой организацией, которой вы доверяете. Их цель состоит в том, чтобы вы открыли @письмо и скачали подозрительное вложение или перешли по ссылке, которую они предоставляют. Они хотят обманом заставить вас раскрыть конфиденциальную информацию, такую как ваши регистрационные данные или номер вашей банковской карты.
Spear phishing
Это один из видов фишинга, который требует больше усилий, но также имеет более высокий процент успеха. Фишинговые электронные письма могут быть отправлены тысячам людей, в то время как Spear phishing нацелен на отдельных лиц или небольшие группы. Обычно они выдают себя за конкретного человека, которому вы доверяете или которому вы подчиняетесь на работе.
Чтобы Spear phishing сработал, хакеры должны много знать о своих жертвах и использовать эту информацию против них. Социальные медиа – золотая жила для решения этой задачи. Хакеры могут собрать практически любую информацию, т.е. адрес электронной почты, названия брендов, которым вы доверяете, знать ваших друзей и т.д. Как только сбор информации будет завершен, хакер отправит жертве по электронной почте реалистичный предлог для получения конфиденциальной информации.
Например, хакеры могут притвориться вашими лучшими друзьями и попросить разрешения на доступ к вашему аккаунту Facebook. Или могут притвориться директором компании, на которую вы работаете, и потребовать немедленного перечисления средств на “новый проект”. Нападения с применением Spear phishing трудно распознать, но можно.
Vishing
Еще одним видом фишинга является Vishing. Эти мошенники будут притворяться, что связываются с вами из надежной организации, используя телефон. Такие хакеры могут использовать заранее записанные голосовые сообщения, текстовые сообщения или синтезаторы голоса в текст, чтобы скрыть свою личность. Другие даже используют людей из контакт-центров, чтобы сделать атаку более убедительной.
Они будут использовать убедительные предлоги, такие как подозрительная активность на вашем банковском счете, переплаченные/недоплаченные налоги, выигрыши в конкурсах и т.д. Независимо от техники или предлога, их основной целью является получение личной информации, которая затем может быть использована для других атак или кражи вашей личности.
Pretexting
Это техника, аналогичная фишингу, и она использует броский и захватывающий предлог для получения конфиденциальной информации. Однако если фишинг основан на страхе и срочности, то Pretexting – наоборот, он основан на доверии и взаимопонимании.
Pretexting требует гораздо больше информации о человеке, чем другие методы социальной инженерии. Эти киберпреступники будут притворяться вашими друзьями или коллегами. Они не будут просто лгать, они придумают целый сценарий, чтобы обмануть вас. Обычно их целью является получение информации от кого-то с определенным стажем работы.
Такие мошенники покажутся вам очень дружелюбными и многие пользователи предоставляют им свои данные, которыми не должны ни с кем делиться.
Catfishing
Это когда мошенники создают фальшивые профили в социальных сетях, используя чужие фотографии, видео и даже их личные данные. Такие поддельные документы обычно используются для киберзапугивания или поиска внимания (романтические отношения). Иногда они также могут быть использованы для выпрашивания денег или личных данных жертвы, которые впоследствии могут быть использованы в другой атаке.
Baiting
Эта техника использует приманку, чтобы убедить вас сделать что-то, что позволит хакеру заразить ваш компьютер вредоносным ПО и, следовательно, получить ваши личные данные. Многие социальные инженеры используют USB-устройства в качестве приманки, оставляя их в офисах или на парковках с такими ярлыками, как “Зарплата руководителей” в четвертом квартале 2019 года. Люди, которые находят их, искушаются любопытством и вставляют их в компьютер. Вирус, спрятанный внутри, быстро распространяется на их устройство.
Тем не менее, использование USBs уменьшается, поэтому приманка теперь в основном используется на веб-сайтах P2P. Социальные инженеры создают ложные зеркальные сайты, и хотя кто-то может подумать, что они загружают фильм, они на самом деле будут загружать вирус. Вы всегда рискуете скачать вирусные файлы из ненадежного источника, но чтобы избежать взлома, вы можете принять такие меры предосторожности, как всегда двойная проверка файла или использование актуального антивируса.
Quid pro quo
Атака происходит, когда мошенник предлагает вам услугу в обмен на вашу личную информацию. Например, что кто-то умер и вы унаследовали все его деньги. Все, что вам нужно сделать, это предоставить свои банковские реквизиты или послать им небольшой “сбор за обработку”, чтобы они могли перевести вам деньги. Несмотря на то, что это звучит смешно, пользователи попадаются на эту уловку и сегодня.
Contact spamming
Это старейший трюк в книге хакера. Киберпреступник, использующий эту технику, взламывает вашу электронную почту или аккаунт в социальных сетях и связывается с друзьями с помощью таких сообщений, как “Посмотри это видео”.
К сожалению, многие склонны доверять сообщениям, которые исходят от наших близких друзей. Но если вы нажмете на эту ссылку, то в конечном итоге заразите свое устройство вредоносным ПО. Еще хуже то, что как только эти вирусы распространятся на вашем устройстве, они могут передать то же самое сообщение и другим контактам.
На видео: Что такое социальная инженерия?