Если обычная хакерская атака направлена на устройство жертвы, то при использовании социальной инженерии целью являются сами пользователи (платежеспособные лица, лица, обладающие ценной информацией, сотрудники компаний).
Злоумышленники в таких случаях используют человеческий фактор и пытаются ввести жертву в заблуждение. С ее помощью они воздействуют на эмоции человека, чтобы, например, украсть клиентскую базу или персональные данные, а потом использовать их для перепродажи или дальнейших атак. Процесс вытягивания информации может закончиться на одном сообщении по электронной почте, а может длиться месяц и больше.
Чтобы подобных ситуаций не происходило, необходимо учиться распознавать социальную инженерию и ее методы. Аналитический отдел Falcongaze описал самые распространенные методы и дал некоторые рекомендации для защиты от них.
Что такое социальная инженерия?
Социальная инженерия (social engineering) – это совокупность методов и приемов психологического давления на человека с целью получения доступа к конфиденциальной информации и средствам.
Как правило мошенники персонализируют используемые инструменты, чтобы нанести максимальный урон и оказать более эффективное давление на потенциальную жертву.
Методы социальной инженерии
- Фишинговые атаки. В ходе фишинговой атаки злоумышленник пытается вызвать сильные эмоции, чтобы жертва без раздумий выдала учетные данные и другую информацию. Он отправляет сообщения с заголовком «СРОЧНО» или «ВАС ВЗЛОМАЛИ», или «На ваш счет зачислено 300 тыс.». И вы на волне эмоций уже спешите открыть сообщение, нажимаете на все ссылки, а преступник получает то, что хочет. Фишинг может быть направлен на большое количество людей с расчетом на то, что «кто-нибудь попадется», а может быть целевым: злоумышленник выдает себя за вашего хорошего знакомого или авторитетное лицо (сотрудника/представителя компании) и пытается выведать нужную ему информацию. Часто в фишинговых сообщениях используют короткие ссылки, которые ведут на вредоносный сайт. Сами сообщения часто написаны с грамматическими и орфографическими ошибками.
- Претекстинг (pretexting). Это форма атаки, в ходе которой злоумышленники пытаются втереться в доверие. Они придумывают предлог или целый сценарий, чтобы выведать данные или сподвигнуть жертву на действия. Они часто просят жертву подтвердить свою личность. А для этого якобы нужно ответить на серию вопросов. Например, назвать девичье имя матери, место рождения, дату рождения, пароль, номер банковского счета, номер с обратной стороны банковской карточки. Полученные данные они используют в своих целях для дальнейшей атаки.
- Приманка (baiting). Приманка бывает двух видов: «Троянский конь» и «дорожное яблоко». Она рассчитана на любопытство или жадность человека. Приманка «троянский конь» отличается от других тем, что обещает что-то хорошее жертве (например, возможность скачать бесплатно ценные файлы или медиа) в обмен на регистрацию на сайте – все происходит в интернете. Для приманки «дорожное яблоко» нужен физический носитель. Например, злоумышленники кладут на видное место флешку или другое устройство так, чтобы сотрудники могли захватить их по пути к своему рабочему месту. К таким предметам часто прикрепляют надпись «конфиденциально» или «информация о зарплате». Любопытные сотрудники без раздумий подключают устройство к компьютеру, и зловредный код начинает исполняться.
- Дипфейк (deepfake). Уже не новая и сильно распространившая технология социальной инженерии и мошенничества. Состоит в том, что с помощью технологии искусственного интеллекта и машинного обучения создается реалистичная замена оригинального контента (видео, изображения, речи). Дипфейки могут использоваться как для прямого внедрения в информационную среду компании (симуляция связи с оригинальным руководителем, сотрудником и др.), так и для непосредственного давления на жертву внутри информационного контура предприятия (звонок с требованием, отправленное видео с указанием действий), в оригинальности которых не сомневаются и т.д. Сейчас технология развилась до такого уровня, что мошенники могут создавать синтетические личности (полностью сгенерированные нейросетью), с помощью которых можно реализовать любой из планов по давлению на жертву.
- Quid Pro Quo («услуга за услугу»). Название говорит само за себя. Злоумышленник просит предоставить конфиденциальные данные в обмен на услугу. Например, он звонит жертве, представляется сотрудником компании и предлагает бесплатную помощь в обмен на учетные данные. Есть случаи, когда хакеры представлялись исследователями и запрашивали доступ к внутренней сети компании в обмен на денежное вознаграждение.
- Tailgating, или piggybacking. В ходе такой атаки злоумышленник либо проникает на территорию компании под видом, например, сотрудника службы доставки, либо его пропускает один из сотрудников компании. Причем сотрудник компании не всегда делает это намеренно. Такое реже случается в тех компаниях, где требуется ID-пропуск для входа. Тем не менее, и его можно украсть или подделать. Можно вспомнить историю знаменитого хакера Кевина Митника, который подделывал проездные билеты на автобус или пропуски в здание компании. Все, что ему нужно было сделать, – это правильно расположить элементы (фотографию, имя, фамилию и другие детали) на карточке. Он использовал человеческий фактор: редко кто проверяет пропуск вблизи, обычно достаточно увидеть издалека, что все элементы расположены согласно регламенту компании – и вуаля, вы в здании!
Чувства, на которые влияют мошенники в социальной инженерии
Чувства человека – это слабое место, которым пользуется мошенник в социальной инженерии. В основном потенциальная жертва «садится на крючок» благодаря:
- Доверчивости (притворяется ответственным лицом, предлагает сделать услугу взамен услуги, утверждает, что действие безопасно).
- Честности (потенциальная жертва убеждается в своей правоте, используется навязывание паттерна «ты должен сделать, обещал» и др.).
- Невнимательности (любимый способ, используется подделка доменов, файлов, типов документов, персон и так далее).
- Жалость и сочувствие (рассказ о потенциальной помощи, навязывание паттерна «если не ты, то больше никто»).
- Жадности (предложение быстрого заработка, бесплатного сыра в мышеловке).
Что нужно сделать, чтобы не стать жертвой?
- Обратить внимание на источник. Кто отправил сообщение? Может ли он подтвердить свою личность? Стоит проверить написание домена электронной почты. Если в нем есть ошибки, значит, скорее всего, по ту сторону экрана находится не сотрудник компании, а злоумышленник. Что касается «приманок», то важно хорошо подумать, прежде чем подключать неизвестное устройство к своему компьютеру. С большой вероятностью на него может быть загружена малварь.
- Обратить внимание на свои эмоции. Стоит спросить себя: «не усилены ли мои эмоции?» или «есть ли у меня ощущение, что я только что сорвал куш?». Злоумышленники часто воздействуют на эмоции человека, чтобы сподвигнуть его на действия без раздумий. В таких ситуациях важно все-таки подумать: возможно, кто-то просто пытается вызвать ложное чувство срочности и заставить вас выдать конфиденциальную информацию.
- Установить ПО для обеспечения безопасности. В нашем распоряжении существует множество антивирусов и фаерволов, которые препятствуют загрузке малвари на устройство. Их также можно использовать, чтобы проверять внешние накопители. E-mail сервисы оснащены специальными фильтрами, которые отсеивают спам и фишинговые сообщения. Стоит потратить время и установить необходимые настройки и ПО, чтобы потом быть более уверенным в защищенности данных.
- Принять меры при подключении к неизвестной сети. Дома или на рабочем месте следует обеспечить доступ к гостевому соединению Wi-Fi. Это позволяет соединению оставаться безопасным. Используйте VPN – сервисы, которые обеспечивают зашифрованный «туннель» при использовании любого интернет-соединения.
- Защитить устройство. Блокируйте устройство, когда вам нужно отойти, особенно на работе. Не оставляйте его без присмотра, если находитесь в общественном месте (кафе, аэропорт). Установите сложный пароль. Существуют сервисы, которые выведут компьютер из строя, если изменятся его параметры запуска. Возможно, стоит подумать о том, чтобы использовать смарт-карту или токен. Тогда устройство нельзя будет запустить, если у злоумышленника нет ключа.
Вывод
Чтобы не попасться на удочку хакера, который пытается использовать методы социальной инженерии, нужно быть начеку. Каждый раз, когда вы получаете сообщение от незнакомого человека с запросом на конфиденциальные данные, стоит остановиться и подумать, зачем ему это. Если вас заботит сохранность ваших данных, стоит установить специальное ПО для защиты ОС, самого устройства и ПО для проверки трафика, поступающего из интернета.