Соціальна інженерія: поширені методи і способи захиститися від них

Якщо звичайна хакерська атака спрямована на пристрій жертви, то при використанні соціальної інженерії метою є самі користувачі (платоспроможні особи, особи, що володіють цінною інформацією, співробітники компаній).

Зловмисники в таких випадках використовують людський фактор і намагаються ввести жертву в оману. З її допомогою вони впливають на емоції людини, щоб, наприклад, вкрасти клієнтську базу або персональні дані, а потім використовувати їх для перепродажу або подальших атак. Процес витягування інформації може закінчитися на одному повідомленні електронною поштою, а може тривати місяць і більше.

Щоб подібних ситуацій не відбувалося, необхідно вчитися розпізнавати соціальну інженерію і її методи. Аналітичний відділ Falcongaze описав найпоширеніші методи і дав деякі рекомендації для захисту від них.

Методи соціальної інженерії

• Фішингові атаки. В ході фішинговою атаки зловмисник намагається викликати сильні емоції, щоб жертва без роздумів видала облікові дані і іншу інформацію. Він відправляє повідомлення із заголовком «СРОЧНО» або «ВАС ЗЛАМАЛИ», або «На ваш рахунок зараховано 300 тис.». І ви на хвилі емоцій вже поспішайте відкрити повідомлення, натискаєте на всі посилання, а злочинець отримує те, що хоче. Фішинг може бути направлений на велику кількість людей з розрахунком на те, що «хтось попадеться», а може бути цільовим: зловмисник видає себе за вашого доброго знайомого або авторитетна особа (співробітника / представника компанії) і намагається вивідати потрібну йому інформацію. Часто в фішингових повідомленнях використовують короткі посилання, які ведуть на шкідливий сайт. Самі повідомлення часто написані з граматичними і орфографічними помилками.
• Претекстінг (pretexting). Це форма атаки, в ході якої зловмисники намагаються втертися в довіру. Вони придумують привід або цілий сценарій, щоб вивідати дані або спонукати жертву на дії. Вони часто просять жертву підтвердити свою особистість. А для цього нібито потрібно відповісти на серію питань. Наприклад, назвати дівоче ім'я матері, місце народження, дату народження, пароль, номер банківського рахунку, номер зі зворотного боку банківської картки. Отримані дані вони використовують в своїх цілях для подальшої атаки.
• Приманка (baiting). Приманка буває двох видів: «Троянський кінь» і «дорожнє яблуко». Вона розрахована на цікавість або жадібність людини. Приманка «троянський кінь» відрізняється від інших тим, що обіцяє щось хороше жертві (наприклад, можливість скачати безкоштовно цінні файли або медіа) в обмін на реєстрацію на сайті - все відбувається в інтернеті. Для приманки «дорожнє яблуко» потрібен фізичний носій. Наприклад, зловмисники кладуть на чільне місце флешку або інший пристрій так, щоб співробітники могли захопити їх по шляху до свого робочого місця. До таких предметів часто прикріплюють напис «конфіденційно» або «інформація про зарплату». Цікаві співробітники без роздумів підключають пристрій до комп'ютера, і шкідливий код починає виконуватися.
• Quid Pro Quo («послуга за послугу»). Назва говорить сама за себе. Зловмисник просить надати конфіденційні дані в обмін на послугу. Наприклад, він дзвонить жертві, представляється співробітником компанії і пропонує безкоштовну допомогу в обмін на облікові дані. Є випадки, коли хакери представлялися дослідниками і запитували доступ до внутрішньої мережі компанії в обмін на грошову винагороду.
• Tailgating, або piggybacking. В ході такої атаки зловмисник або проникає на територію компанії під виглядом, наприклад, працівника служби доставки, або його пропускає один зі співробітників компанії. Причому співробітник компанії не завжди робить це навмисно. Таке рідше трапляється в тих компаніях, де потрібно ID-пропуск для входу. Проте, і його можна вкрасти або підробити. Можна згадати історію знаменитого хакера Кевіна Митника, який підробляв проїзні квитки на автобус або пропуски в будівлю компанії. Все, що йому потрібно було зробити, - це правильно розташувати елементи (фотографію, ім'я, прізвище та інші деталі) на картці. Він використовував людський фактор: рідко хто перевіряє пропуск поблизу, зазвичай досить побачити здалеку, що всі елементи розташовані згідно з регламентом компанії - і вуаля, ви в будівлі!

Що потрібно зробити, щоб не стати жертвою?

• Звернути увагу на джерело. Хто відправив повідомлення? Чи може він підтвердити свою особистість? Варто перевірити написання домену електронної пошти. Якщо в ньому є помилки, значить, швидше за все, по той бік екрану знаходиться не співробітник компанії, а зловмисник. Що стосується «приманок», то важливо добре подумати, перш ніж підключати невідомий пристрій до свого комп'ютера. З великою ймовірністю на нього може бути завантажена малваре.
• Звернути увагу на свої емоції. Варто запитати себе: «Не посилені мої емоції?» або «чи є у мене відчуття, що я тільки що зірвав куш?». Зловмисники часто впливають на емоції людини, щоб спонукати його до дій без роздумів. У таких ситуаціях важливо все-таки подумати: можливо, хтось просто намагається викликати помилкове відчуття терміновості і змусити вас видати конфіденційну інформацію.
• Встановити ПО для забезпечення безпеки. У нашому розпорядженні є безліч антивірусів і фаєрволом, які перешкоджають завантаженню малварі на пристрій. Їх також можна використовувати, щоб перевіряти зовнішні накопичувачі. E-mail сервіси оснащені спеціальними фільтрами, які відсівають спам і фішингові повідомлення. Варто витратити час і встановити необхідні настройки і ПО, щоб потім бути більш впевненим в захищеності даних.
• Вжити заходів при підключенні до невідомої мережі. Вдома чи на робочому місці слід забезпечити доступ до гостьового з'єднанню Wi-Fi. Це дозволяє з'єднанню залишатися безпечним. Використовуйте VPN - сервіси, які забезпечують зашифрований «тунель» при використанні будь-якого інтернет-з'єднання.
• Захистити пристрій. Блокуйте пристрій, коли вам потрібно відійти, особливо на роботі. Не залишайте його без нагляду, якщо перебуваєте в громадському місці (кафе, аеропорт). Встановіть складний пароль. Існують сервіси, які виведуть з ладу комп'ютер, якщо зміняться його параметри запуску. Можливо, варто подумати про те, щоб використовувати смарт-карту або токен. Тоді пристрій не можна буде запустити, якщо у зловмисника немає ключа.

Щоб не попастися на вудку хакера, який намагається використовувати методи соціальної інженерії, потрібно бути напоготові. Кожен раз, коли ви отримуєте повідомлення від незнайомої людини із запитом на конфіденційні дані, варто зупинитися і подумати, навіщо йому це. Якщо вас турбує збереження ваших даних, варто встановити спеціальне програмне забезпечення для захисту ОС, самого пристрою і ПО для перевірки трафіку, що надходить з інтернету.