Социальная инженерия стала одной из самых больших угроз, которая эксплуатирует естественную человеческую склонность доверять. Некоторые ученые определяют это понятие как психологическое манипулирование людьми для разглашения конфиденциальной информации. Чем опасно это явление и какие виды социальной инженерии существуют, корреспонденту агентства «Минск-Новости» рассказали в Следственном комитете.
Что такое социальная инженерия
В компании Kaspersky утверждают, что социальная инженерия — это методы, используемые киберпреступниками, чтобы заставить ничего не подозревающих пользователей отправить им свои конфиденциальные данные, открыть ссылки, ведущие на зараженные сайты, или заразить их компьютеры вредоносными программами.
Как происходит атака
Использование социальной инженерии проходит в один или несколько этапов. Сначала преступник исследует предполагаемую жертву, особенно его интересуют потенциальные точки входа и слабые протоколы безопасности, необходимые для продолжения атаки. Затем злоумышленник пытается завоевать доверие жертвы и обеспечить стимулы для последующих действий, нарушающих правила безопасности. Среди них раскрытие приватной информации или предоставление доступа к критически важным ресурсам/данным.
Способы атаки социальной инженерии отличаются друг от друга, однако у них есть общий шаблон, который включает в себя четыре этапа:
- На этапе сбора информации (исследования) злоумышленник выбирает жертву на основе определенных требований.
- В фазе развития отношений он с помощью прямого контакта или электронной почты завоевывает доверие жертвы.
- Затем злоумышленник эмоционально воздействует на жертву (чаще всего пугает), чтобы та предоставила скрытую информацию или допустила ошибки в протоколе безопасности.
- В фазе выхода мошенник прерывает контакт, не оставляя никаких сведений о себе.
Фишинг, травля, «услуга за услугу»
К наиболее распространенным видам атак кибермошенников относят несколько типов:
- Фишинг — вид интернет-мошенничества для получения доступа к конфиденциальной информации. Использует массовую рассылку электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов. Так, например, Мостовским районным отделом СК расследуется уголовное дело, возбужденное по ч. 2 ст. 212 УК. В ходе расследования установлено, что в пользовании 58-летней жительницы Мостов находится банковская карта одного из государственных банков, на которую ей начисляется заработная плата. Так как интернетом она пользоваться не умеет, то передала данные своего интернет-банкинга племяннице, которая на протяжении длительного времени вносила необходимые платежи. Однажды племянница решила совершить операции в интернет-банкинге, ввела в браузере название банка и перешла по первой ссылке. Там она ввела данные карты. Как установили позже следователи, злоумышленники создали сайт, внешне идентичный с официальным сайтом банка. В общей сложности потерпевшая лишилась 1,3 тыс. рублей.
- Имитация звонков из службы поддержки — представляет собой звонки злоумышленников по случайным номерам организаций. Мошенники представляются работниками службы технической поддержки, спрашивают о наличии каких-либо технических проблем. В процессе их «решения» работник отвечает на многочисленные вопросы злоумышленника, зачастую, не задумываясь, сообщает злоумышленнику конфиденциальную информацию (например, пароли, учетные записи), вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.
- Травля (baiting) — предложение пользователю перейти по ссылке для получения какого-либо бесплатного программного обеспечения. Вместе с программами на устройство устанавливается вирус, который действует незаметно для жертвы и собирает необходимую хакеру информацию.
- «Услуга за услугу» (лат. quid pro quo) — мошенник представляется сотрудником, например, службы технической поддержки и предлагает жертве помочь в устранении определенных неполадок в онлайн-системе или на рабочем месте. Жертва, выполняя его указания, самостоятельно передает киберпреступнику средства доступа к важной информации.
- Предлог (pretexting) — введение жертвы в заблуждение под предлогом оказания услуги, например покупки криптовалюты, помощи другу в получении доступа к чему-либо или выигрыша в лотерею.
- Всплывающие окна (pop-up windows) — сообщения, появляющиеся на экране жертвы и сообщающие о мнимой угрозе. Например, предупреждающие об обнаружении вируса в компьютере жертвы с предложением загрузить и установить конкретную антивирусную программу для защиты компьютера.
- «Звонки роботов» (robocall) — массовые звонки, поступающие с компьютеров лицам с известными телефонными номерами. В этом случае используются устройства или компьютерные программы, которые автоматически набирают список телефонных номеров для доставки предварительно записанных сообщений. Эти звонки могут касаться предложения по продаже услуг или решению проблем. Атаки Robocall стали серьезной проблемой в США и других странах. Единственный способ для людей прекратить эти звонки — не отвечать на звонки с неизвестных телефонных номеров.
- Вымогательство (ransomware) — блокирование доступа к данным и файлам жертвы с помощью шифрования с последующим требованием перевода денег или иных активов для восстановления доступа.
- Онлайн социальная инженерия (online social engineering) — злоумышленник выдает себя за системного администратора компании и запрашивает имена пользователей и их пароли для последующего получения конфиденциальной информации.
- Обратная социальная инженерия (reverse social engineering) — создается ситуация, при которой жертва будет вынуждена сама обратиться к злоумышленнику за помощью. Например, злоумышленник высылает на электронный ящик письмо с телефонами и контактами «службы технической поддержки», после чего самостоятельно создает неполадки в сети. Пользователь обращается к нему за помощью. В процессе «устранения» проблемы злоумышленник может получить необходимые ему данные.
- Телефонная социальная инженерия (phone social engineering) — усыпление бдительности жертвы в ходе телефонного разговора. Например, злоумышленник обещает жертве выигрыш в лотерею или иной приз, после чего задает вопросы, требующие разглашения конфиденциальных сведений.
В зависимости от субъекта атаки социальной инженерии можно разделить на две категории: атаки, направленные непосредственно на человека, и атаки, направленные на программное обеспечение.
Что такое вишинг
Часто встречающимся в Беларуси видом «социального взлома» стал вишинг. Это вид мошенничества, который основан на прямом контакте злоумышленника и жертвы с использованием телефона. Злоумышленник, играя определенную роль (сотрудник банка, покупатель, сотрудник правоохранительных органов), под разными предлогами выманивает у жертвы конфиденциальную информацию или стимулирует ее к совершению определенных действий.
Так, например Центральным (г. Минска) районным отделом СК расследуется уголовное дело, возбужденное по ч. 4 ст. 212 УK. Установлено, что 43-летней женщине позвонил мужчина, который представился сотрудником банка. В ходе разговора он сообщил, что неизвестные пытаются похитить деньги с банковской карты минчанки. Чтобы предотвратить совершение несанкционированной операции и защитить деньги лжесотрудник банка предложил потерпевшей пообщаться с начальником отдела безопасности финансового учреждения. Разговор продолжил другой мужчина и сразу уточнил, разрешала ли потерпевшая третьим лицам пользоваться ее банковскими картами. Женщина, заподозрив неладное, решила убедиться, что это не мошенник, и спросила остаток на карте, с которой якобы осуществляется хищение. Лжесотрудник банка назвал сумму, приближенную к реальному остатку на карте, и женщина доверилась ему.
Далее звонивший убеждал потерпевшую, что несанкционированные операции осуществляются с мобильного телефона определенной марки, и скорее всего, это произошло по причине взлома аккаунта в интернет-банкинге. Сообщив минчанке, что ее карта уже заблокирована и деньги спасены, он предложил застраховать сумму. Эта услуга позволила бы минчанке пользоваться денежными средствами уже сейчас, без перевыпуска карты. Для убедительности собеседник сказал, что сейчас на мобильный телефон придет SMS-код, который необходимо сообщить роботу. Женщина послушно выполнила все указания и лишилась 3 тыс. рублей. Лжесотрудник продолжил разговор, попросив назвать имеющиеся счета в банке, чтобы тоже их застраховать. Женщина лишилась еще 19 тыс. долларов. В итоге она потеряла более 52 тыс. рублей.
