Социальная инженерия стала неотъемлемой частью кибермошенников. Речь идет о специальной методике манипуляции, помогающей заставить человека отдать злоумышленникам необходимые данные. Каким образом? Используя человеческие слабости ‒ то есть эмоции и естественное поведение жертвы.
Сегодня существует немало методов использования социальной инженерии. В основе ‒ манипуляция человеческими страхами, заинтересованностью или доверием. Жертвой социальной инженерии можно стать как во время личного общения, так и по телефону или через цифровые гаджеты.
«Киберпреступники нашли новые способы эксплуатации человеческого фактора ‒ инстинктов любопытства и доверия, ‒ которые приводят к тому, что люди с хорошими намерениями попадают в руки злоумышленников. Это может произойти в форме замаскированного URL-адреса или, казалось бы, безобидного приложения в электронном письме. Но все, что нужно, ‒ это один клик, и немедленно начнется распространение вредоносной программы», ‒ объясняет стратег по кибербезопасности Аденики Косгроув изданию Forbes.
Самый популярный среди многочисленных современных инструментов социальной инженерии ‒ так называемый фишинг. Целью может быть завладение информацией частного характера обманным путем. Несмотря на то, что о нем широко известно, успех фишинга продолжает расти из-за недостаточной цифровой образованности людей.
Как это работает?
Злоумышленники могут «маскироваться» под учреждения, которым доверяет человек. Например, притворяясь представителями оператора мобильной связи или работниками банка, они могут отправлять электронные письма с приложением или ссылкой, по которому человек должен ввести свои личные данные.
Жертве также могут дополнительно позвонить с просьбой открыть это приложение или перейти по ссылке. Считается, что такое «живое» общение добавляет ситуации немалой правдоподобия и обычно заставляет людей открывать вложения.
На такой «крючок» попадали даже опытные эксперты по кибербезопасности. Недавно, например, трех украинцев арестовали по подозрению в похищении ‒ именно с помощью фишинга ‒ миллионов номеров кредитных карточек и атаках на более чем 100 американских компаний, что в результате нанесло ущерб американским бизнесам в размере десятков миллионов долларов.
Пример
Часто владельцы гаджетов Apple получают электронные письма, в которых служба поддержки компании вроде сообщает их об осуществлении платежей с их карточек ‒ покупка музыкального альбома, приложений и т.д.
Так человек получает «счет от Apple». Электронное письмо, на первый взгляд, имеет достаточно реалистичный вид ‒ клиента извещают о снятии 40 долларов за внутренние покупки в приложении.
Обычно люди обеспокоены таким несанкционированным снятием средств и переходят по ссылке, чтобы быстрее решить проблему. Отправитель и сам, понимая это, может посоветовать в письме ознакомиться с деталями платежа или отменить его, открыв приложение или ссылку.
Однако если изучить электронное письмо как следует, можно заметить, что даже сам адрес имеет неправдоподобный вид. В данном случае: tropica-emailapple.-mobileid-number.781397112769@app-store77.com.
Дружеские письма
Очень распространенным видом социальной инженерии также является отправка электронных писем, в которых человеку сообщают о получении наследства или дружеского перевода денег. Обычно письмо обращается к адресату по фамилии и содержит подробную историю для привлечения его внимания.
Такие письма содержат длинные истории со многими деталями, они должны добавить ситуации правдоподобия. Когда человек выходит на связь, у него просят предоставить данные для подтверждения личности и ускорения процесса. Таким образом злоумышленники могут просто обокрасть жертву.
Например, текст одного из таких писем выглядит так:
Привет, мой дорогой друг,
Я адвокат Джеймс Уолкотт. Возможно, ты не помнишь последний раз, когда ты помог мне в транзакции, но я не забыл твою помощь и мужество, которое ты дал мне в прошлом. Как ты и твоя семья? Я надеюсь, что у них все хорошо. Я рад тебе сообщить, что я тогда успешно завершил эту транзакцию с другим партнером. Полная сумма наследственных денег была передана новому партнеру...
Но я не забыл и о твоих прошлых усилиях и помощи мне в том, чтобы средства были одобрены банком. Поэтому я дал своему секретарю чек на твое имя на сумму 850 тысяч долларов, чтобы отправить его тебе в твою страну, в любое время, когда ты с ней свяжешься. Пожалуйста, прими это маленькое вознаграждение. Ниже указано имя и адрес электронной почты моего секретаря, полное имя: Виктория Джонсон, адрес электронной почты: (victoriajohnson500@gmail.com)
Тебе надо связаться с моим секретарем как можно скорее, чтобы чек был проадресован и отправлен в вашу страну. Желаю успехов во всех твоих делах. Я также могу тебе позвонить, когда удобно.
Твой брат и партнер
Адвокат Джеймс Уолкотт
Вишинг
Голосовая версия фишинга называется вишинг. Здесь речь идет уже о телефонном мошенничестве, целью которого является получение реквизитов банковских карт или любой другой конфиденциальной информации. Он также может включать в себя принуждение жертвы перевести деньги на банковский счет злоумышленника.
Мошенники звонят владельцам банковских карт и представляются сотрудником банка, волонтерами или даже служащими полиции. Так, используя определенные трюки, они пытаются под разными предлогами собрать конфиденциальные данные, в том числе CVV-код карты или кодовое слово для идентификации клиента.
В Украине такой вид мошенничества является довольно распространенным.
Контакты
Еще один из методов социальной инженерии ‒ это рассылка спама от имени знакомых. То есть, завладев чьим-то аккаунтом, то ли в социальной сети, то ли в электронной почте, злоумышленники могут попытаться направлять от его имени ссылки.
Дело в том, что люди склонны доверять своим знакомым и редко задумываются дважды, когда получат от них предложение открыть ссылку.
Как защитить себя
Для того, чтобы защитить себя, эксперты по кибербезопасности предлагают начать с установления качественной антивирусной программы, которая поможет, например, в попытках выявления фишинга.
Также всегда следует быть бдительным относительно источника, спрашивающего конфиденциальные данные. Банк, например, вряд ли будет звонить, чтобы узнать код на обратной стороне карты.
Никогда не следует открывать содержание приложений или переходить по ссылке, не изучив всех деталей. Часто адрес отправителя содержит ошибки в названиях, а ссылки имеют неправдоподобный вид.
Если человека просят ввести личные данные ‒ лучше отдельно зайти на сайт компании, например, банка. Еще лучше ‒ позвонить на официальный номер учреждения для уточнения информации.
Стоит также критически относиться к полученным сообщениям: насколько правдоподобной может быть информация о том, что принц из Саудовской Аравии мог оставить вам наследство?
Не следует также забывать и об извещении о такой опасности других членов семей. Ведь часто пожилые люди, например, могут не знать о том, что разглашение CVV-кода банковской карты может привести к похищению денег.
Насколько бы банальный вид не имели методы социальной инженерии в современном цифровом мире, люди все еще продолжают попадаться на ее «крючок».