Что общего у продвинутых сетевых взломщиков и обыкновенных мошенников, которые подстерегают доверчивых жертв на улицах? И те и другие широко используют социальную инженерию. Хотя многие из них даже не знают такого термина.
Социальная инженерия — это способ получить необходимую информацию, используя психологию людей, в частности, слабость человеческого фактора. Дело в том, что реакции homo sapiens во многом предсказуемы. Зная об этом, можно программировать поведение как отдельного человека, так и группы.
Примеры социальной инженерии можно встретить и в интернете, и в обычной жизни. Ее используют в ходе маркетинговых и предвыборных кампаний, для чего предварительно собираются терабайты информации о предпочтениях и привычках людей. Ведь зная типичные схемы поведения и пристрастия можно таргетированно размещать рекламу, побуждающую человека к совершению покупки, заказа или голосованию за того или иного кандидата. Подобная практика может не всем нравиться, но в случае легального сбора информации у гражданина хотя бы есть возможность не делиться своими данными. Например, пользователь интернета может запретить сайтам отслеживать историю его поисков и геолокацию.
Криминальное же использование техники социальной инженерии прежде всего нацелено на получение необходимой преступникам конфиденциальной информации абсолютно не учитывая желания жертв.
Стандартный алгоритм действий социальных хакеров состоит из нескольких основных этапов:
- Выбор целевого объекта.
- Сбор данных о нем, чтобы обнаружить наиболее уязвимые точки для воздействия.
- Реализация на основе собранных сведений сценария, который должен в результате принудить жертву к совершению определенных действий, нужных мошеннику. (В интернете целью обычно является облегчение проникновения злоумышленниками в защищенную компьютерную систему, минуя проверку и системы безопасности.) Говоря о принуждении следует учитывать, что явного насилия не наблюдается, оно незаметно для объекта манипуляции: человек думает, что действует под воздействием самостоятельно принятого решения.
Можно смоделировать и такую ситуацию, когда жертва сама обратится к злоумышленникам за “помощью”. К примеру, на видном месте в офисе помещается объявление с контактными данными служб технической поддержки, а потом удаленно создается какая-нибудь неполадка на компьютере. В результате пользователь сам свяжется с мошенниками и в процессе “решения проблемы” разгласит необходимые им данные.
Основные техники социальной инженерии
Фишинг
Один из путей получения конфиденциальных данных от самого пользователя. Для этого будущей жертве посылают e-mail якобы от банка или другой авторитетной организации, в котором просят ввести в специальную форму какие-то сведения: логины, пароли, номера карт или пин-коды. Помимо компрометации секретных данных жертва фишинга рискует также заполучить на свое устройство вредоносное ПО, которое установится при переходе на поддельный сайт или заполнении пресловутой «формы». (О вреде фишинга и способах защиты от него мы уже писали.)
Троянский вирус
Является разновидностью предыдущего метода, тоже распространяется при помощи электронных писем. Только вместо поддельной формы для заполнения фигурирует вложение, содержащее вредонос, способный в дальнейшем собирать или модифицировать информацию на компьютере пользователя.
Претекстинг
Обычно для него используются не электронные письма, а голосовые средства связи — телефон, разнообразные мессенджеры. Для проведения нужны некоторые предварительные знания об “объекте”, чтобы вызвать у него доверие (имя, должность, над какими проектами работает данный сотрудник, имена коллег и начальников). Претекстинг задействует заранее разработанные сценарии разговоров, которые побуждают выдать какую-то информацию или совершить определенное действие. Например, звонок в техническую поддержку компании с просьбой напомнить пароль от “своей” учетной записи.
К сожалению, недостатка в информации о будущих объектах у социальных хакеров нет. Социальные сети — ценнейший для мошенников кладезь сведений о миллионах людей. И предоставляется она совершенно добровольно, часто даже с гордостью: фотографии нового дома и айфона, место работы и подробные отчеты о путешествиях, имена друзей, коллег, детей, любимых. Все то, о чем в обыденной жизни мы не станем рассказывать первому встречному, выкладывается в интернет.
Фарминг
Скрытое перенаправление на поддельные сайты. Осуществляется с помощью вредоносного программного обеспечения, которое перебрасывает пользователя с запрошенных страниц интернета на их мошеннические копии. Особая опасность в том, что обнаружить такую атаку обычно очень сложно, практически невозможно. Ведь пользователь сам вводит нужный адрес в браузер! А уж куда он после этого попадает — дело десятое.
Почему социальная инженерия работает
Суть социальной инженерии в том, что ее атаки всегда происходят в обход критического и аналитического мышления и нацелены прежде всего на эмоциональную сферу. А у многих людей, занимающихся умственной деятельностью (к которым относится и большинство офисных сотрудников), эмоциональные порывы обычно подавляются. Поэтому так результативно бывает воздействие социнженеров. При этом интеллект атакующего может быть значительно ниже, чем у его жертв. Но не к интеллекту, а к эмоциям обращаются методы социальной инженерии. Этим объясняется успех в “разведении лохов” у профессиональных преступников, умственные способности которых часто невелики. Чтобы разум подопытного не “вмешивался” в процесс, его обычно блокируют, перегружая второстепенной фоновой информацией. Для этого мошенники зачастую много тараторят, “забалтывая” клиента.
Козырь злоумышленника — внезапность и искусственно создаваемая атмосфера спешки (а лучше еще и страха). В ситуации, когда решение должно быть принято незамедлительно, некогда проверять сообщенные атакующим сведения, и на принятие решения оказывают влияние не мысли, а чувства. Это может быть желание оказать помощь или побыстрее отделаться от неожиданной проблемы. Сюда же относятся “крючки” страха, желание легкой прибыли или получения какого-то преимущества (но только сейчас!). По этому принципу работают широко известные “представители канадских компаний”: говорят быстро, утверждают, что невероятная скидка действует еще только час-другой и если не купить товар сейчас, то в будущем человек будет жалеть об упущенной выгоде.
На страхе за близких и репутацию основаны сообщения по телефону о том, что муж или ребенок попал в аварию либо задержан правоохранителями. Естественно, срочно нужны деньги для того, чтобы откупиться от составления протокола или для оказания неотложной медпомощи.
Почему социальная инженерия так популярна у кибермошенников? Прежде всего потому, что обычного, неподготовленного к психологической атаке человека “взломать” гораздо проще и дешевле, чем защищенные компьютерные системы, усиленные всевозможными мерами обеспечения безопасности.
Итог вышесказанного печален: там где “работает” социальная инженерия, информационная безопасность оказывается под серьезной угрозой. Есть ли хоть какая-то вероятность ее избежать?
В наше время, когда огромная часть личной и деловой жизни каждого связана с интернетом, в деле противостояния хакерам не стоит уповать только на технические средства. В компаниях следует как можно больше разделять и разграничивать права на доступ к тем или иным элементам корпоративной сети и сведениям, составляющим коммерческую тайну. Лучше, если каждый работник будет иметь доступ только к необходимой ему информации для выполнения служебных обязанностей.
Не менее важно понимание проблемы социальной инженерии и ее высокой опасности для личных и служебных данных. Любой пользователь (а пользователи корпоративных сетей особенно) обязан владеть информацией о том, какие приемы “психологического взлома” могут быть против него использованы и как нужно на них реагировать.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!