Главная-Браузеры-Социальная инженерия. Что? Как? Почему? Способы манипулирование человеком через интернет

Социальная инженерия. Что? Как? Почему? Способы манипулирование человеком через интернет

Социальная инженерия несанкционированный доступ к конфиденциальной информации посредством манипуляции сознанием человека. Методы социальной инженерии базируются на особенностях психологии и направлены на эксплуатацию человеческих слабостей (наивность, невнимательность, любопытство, коммерческие интересы). Активно используются социальными хакерами как в сети Интернет, так и вне её.

Впрочем, касательно цифровых технологий, веб-ресурсов, компьютеров, смартфонов — «затуманивание мозгов» пользователей сети происходит несколько по-другому. «Силки», «капканы» и другие уловки мошенники расставляют где угодно и как угодно, в соцсетях, на геймерских порталах, в электронных почтовых ящиках и онлайн-сервисах. Вот лишь некоторые примеры методов социальной инженерии:

В подарок на праздник... троянский конь

Независимо от характера, профессии, финансовой состоятельности, каждый человек ждёт праздников: Новый Год, 1 мая, 8 марта, День святого Валентина и т.д., чтобы, естественно, отметить их, отдохнуть, наполнить свою душевную ауру позитивом и, попутно, обменяться со своими друзьями-товарищами поздравлениями.

В этот момент социальные хакеры особенно активны. В предпраздничные и праздничные дни они рассылают на аккаунты почтовых сервисов открытки: яркие, красочные, с музыкальным сопровождением и... опасным вирусом троянцем. Жертва ничего не ведая о таком коварстве, пребывая в эйфории веселья либо, просто, любопытства кликает по открытке. В то же мгновенье зловред инфицирует ОС, а затем ждёт удобного момента, чтобы похитить регистрационные данные, номер платёжной карты либо подменить веб-страницу интернет-магазина в браузере на фейковую и украсть деньги со счёта.

Выгодная скидка и вирус «в нагрузку»

Отличный пример социальной инженерии. Желание «сэкономить» свои кровно заработанные вполне оправдано и объяснимо, но в разумных пределах и при определённых обстоятельствах. Это о том, что «не всё золото, что блестит».

Жулики под личиной крупнейших брендов, интернет-магазинов и сервисов, в соответствующем оформлении, предлагают купить товары по неимоверной скидке и плюс к покупке — получить подарок... Делают поддельную рассылку, создают группы в соцсетях и тематические «ветки» на форумах.

Наивные обыватели, что называется, «ведутся» на эту яркую коммерческую афишу: впопыпах в голове пересчитывают сколько осталось с зарплаты, аванса и кликают ссылку «купить», «перейти на сайт для покупки» и т.д. После чего, в 99 из 100 случаев, вместо выгодного приобретения, получают вирус на свой ПК либо безвозмездно отправляют денежки социальным хакерам.

Геймерский донат +300% к навыкам воровства

В онлайн-играх, да и вообще в мультиплеерных играх, за редкими исключениями, выживает сильнейший: у кого крепче броня, урон, сильнее магия, больше здоровья, маны и т.д.

И, конечно, каждый геймер хочет во что бы то ни стало добыть для своего перса, танка, самолёта и ещё ни бог весть чего эти заветные артефакты. В боях или в походах, собственноручно или за реальные деньги (функция доната) в виртуальном магазине игры. Чтобы быть лучшим, первым... достичь последнего уровня развития.

Мошенники знают об этих «геймерских слабостях» и всячески искушают игроков приобрести заветные артефакты, умения. Иногда за деньги, иногда бесплатно, но это сути и цели злодейской схемы не меняет. Заманчивые предложения звучат на фейковых сайтах примерно так: «скачай это приложение», «установи патч», «для получения предмета зайди под в игре».


Взамен долгожданного бонуса у геймера воруют аккаунт. Если он отлично «прокачан», похитители его продают или выуживают с него платёжные данные (если таковые имеются).

Вредоносное ПО + социальная инженерия = гремучая смесь коварства

Осторожно иконки!

Многие пользователи орудуют мышкой в ОС на «автопилоте»: клик туда, сюда; открыл это, то, другое. Редко, кто из них присматривается к типу файлов, их объёму и свойствам. А вот и зря. Хакеры маскируют исполняемые файлы зловредов под обычные папки Windows, картинки или доверенные приложения, то есть внешне, визуально, их не различишь. Пользователь кликает по папке, её содержимое, естественно, не открывается, ибо это вовсе не папка, а инсталлятор вируса с раcширением.exe. И зловред «в тихую» проникает в ОС.

Верное «противоядие» от таких хитростей — файловый менеджер Total Commander. В отличие от интегрированного проводника Windows, он отображает всю подноготную файла: тип, объём, дату создания. Наибольшую потенциальную опасность для системы представляют неизвестные файлы с расширениями: «.scr», «.vbs», «.bat», «.exe».

Страх подогревает доверие

  1. Пользователь открывает «сайт-страшилку», и ему тут же сообщают пренеприятнейшую новость, или даже новости: «ваш ПК заражён опаснейшим трояном», «в вашей ОС обнаружено 10, 20... 30 вирусов», «с вашего компьютера рассылается спам» и т.д.
  2. И сразу же предлагают (проявляют «заботу») установить антивирус и, следовательно, решить озвученную на сайте проблему безопасности. И самое главное совершенно бесплатно.
  3. Если посетителя одолевает страх за свой ПК, он проходит по ссылке и скачивает... только не антивирус, а ложный антивирус — подделку напичканную вирусами. Устанавливает и запускает — последствия соответствующие.

  • Во-первых, веб-сайт не может в одно мгновенье ока проверить ПК посетителя и выявить зловредов.
  • Во-вторых, свои антивирусы, будь они платные или бесплатные, разработчики распространяют через свои, то бишь официальные, сайты.
  • И, наконец, в-третьих, если есть сомнения и страх по поводу «чистая» ОС или нет, лучше проверить системные раздел, тем что имеется, то есть установленным антивирусом.

Подводя итоги

Психология и хакинг сегодня идут рука об руку — тандем эксплуатации человеческих слабостей и программных уязвимостей. Пребывая в сети Интернет, в праздники и будни, днём или ночью, и неважно в каком настроении, в обязательном порядке нужно проявлять бдительность, подавлять наивность, отгонять наития коммерческой наживы и чего-то «бесплатного». Ибо, как известно, за просто так раздаётся только сыр и только в мышеловке. Создавайте только пароли, храните их в местах и оставайтесь с нами, поскольку, как известно, безопасности много не бывает.

В любой большой или даже маленькой организации есть в защите информации слабые места. Даже если на всех компьютерах компании стоит наилучшее программное обеспечение, пароли всех сотрудников являются наисложнейшими, а за всеми компьютерами следят самые умные администраторы — все равно можно найти слабое место. И одним, самым главным, “слабым местом” являются люди, которые работают в компании, имеют доступ к компьютерным системам и являются в большей или меньшей степени носителем информации об организации. Людям собирающимся украсть информацию или иными словами взломщикам, только на руку человеческий фактор. И именно на людях они пробуют различные способы влияния называющиеся социальным инжинирингом. О нем то я и попробую сегодня рассказать в статье и о том какую опасность он несет для для обычных пользователей, и для организаций.

Давайте для начала поймем, что такое социальный инжиниринг — это термин, который используют взломщики и хакеры, обозначающий несанкционированный доступ к информации, но совершенно противоположный взлому программного обозначения. Цель не взломать, а обхитрить людей так, что бы они сами дали пороли или иную информацию, которая в дальнейшем сможет помочь хакерам нарушить безопасность системы. Такое мошенничество включает в себя звонки по телефону в организацию и выявление тех сотрудников, которые владеют нужной информацией, а затем звонок выявленному администратору от несуществующего сотрудника, который якобы имеет проблемы доступа к системе.

Социальный инжиниринг напрямую связан с психологией, но развивается как отдельная его часть. В наше время подход инжиниринга используется очень часто, особенно для незаметной работы взломщика по краже документов. Этим способом обучают шпионов и тайных агентов, для тайного проникновения без оставления следов.

Человек способен думать, рассуждать, приходить к тому или иному выводу, но не всегда выводы могут оказаться настоящими, собственными, а не навязанные извне, такие какие они нужны кому то другому. Но самое интересное и главное помогающее мошенникам, что человек может не замечать, что его умозаключения ложные. Он до последнего момента может думать, что все он решил сам. Именно этой особенностью пользуются люди практикующие социальный инжиниринг.

Смысл социального инжиниринга является кража информации. Люди занимающиеся этим стараются без лишнего внимания украсть информацию, а потом распорядится ею по своему усмотрению: продать или шантажировать первичного владельца. По статистике очень часто оказывается, что подобные проделки происходят по заказу конкурирующей фирмы.

А теперь давайте рассмотрим способы социального инжиниринга.

Human denial of service (HDoS)

Суть этой атаки заключается в том, что бы незаметно заставить человека не реагировать на те или иные ситуации.

Например, отвлекающем маневром служит симуляция атаки на какой нибудь порт. Системный администратор отвлекается на ошибки, а в это время без проблем проникают на сервер и берут ту информацию, которая нужна. Но администратор может быть уверенным, что в этом порту ошибок быть не может и тогда проникновение хакера моментально будет замечено. Вся суть этого способа заключается в том, что взломщик должен знать психологию и уровень знаний системного администратора. Без этих знаний проникновение на сервер не возможен.

Способ “звонок”.

Под этим способом подразумевается телефонный звонок так называемой “жертве”. Мошенник звонит жертве и с помощью правильно поставленной речи и психологически правильно заданных вопросов вводит ее в заблуждение и выведывает всю нужную информацию.

Например: звонит мошенник и сообщает, что он по просьбе администратора проверяетт работоспособность системы безопасности. Затем он просит назвать пароль и имя пользователя, а после этого вся нужная ему информация у него в кармане.

Визуальный контакт.

Самый сложный способ. Справится с ней под силу только профессионально подготовленным людям. Смысл этого способа заключается в том, что обязательно надо найти подход к жертве. После того, как подход найден можно будет с его помощью понравится жертве, втереться ей в доверие. А уже после этого жертва сама выложит всю нужную информацию и ей будет казаться, что она ничего важного не рассказывает. Только вот делать такое может только профессионал.

Электронная почта.

Это самый распространенный у взломщиков способ вытягивания информации. В большинстве случаев взломщики отправляют письмо жертве от якобы знакомого ей человека. Самое сложное в этом способе — это скопировать манеру и стиль письма этого знакомого. Если жертва поверит в обман, то здесь уже можно вытягивать всю информацию, какая только может понадобится взломщику.

Методы социальной инженерии – именно об этом пойдет речь в этой статье, а так же обо всем, что связано с манипуляцией людьми, фишинге и воровстве клиентских баз и не только. Информацию нам любезно предоставил Андрей Сериков, автором которой он и является, за что ему огромное спасибо.

А.СЕРИКОВ

А.Б.БОРОВСКИЙ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ СОЦИАЛЬНОГО ХАКЕРСТВА

Введение

Стремление человечества добиться совершенного выполнения поставленных задач послужило развитию современной компьютерной техники, а попытки удовлетворения противоречивых требований людей привели к развитию программных продуктов. Данные программные продукты не только поддерживают работоспособность аппаратного обеспечения, но также и управляют им.

Развитие знаний о человеке и компьютере привели к появлению принципиально нового типа систем- «человеко-машинных», где человека можно позиционировать как аппаратное средство, работающее под управлением стабильной, функциональной, многозадачной операционной системой, именуемой «психика».

Предметом работы является рассмотрение социального хакерства как ветви социального программирования, где с помощью человеческих слабостей, предрассудков и стереотипов в социальной инженерии манипулируют человеком.

Социальная инженерия и её методы

Методы манипулирования человеком известны достаточно давно, в основном они пришли в социальную инженерию из арсенала различных спецслужб.

Первый известный случай конкурентной разведки относится к VI веку до нашей эры и произошёл в Китае, когда китайцы лишились секрета изготовления шелка, который обманным путём выкрали римские шпионы.

Социальная инженерия - наука, которая определяется как набор методов манипулирования поведением человека, основанных на использовании слабостей человеческого фактора, без применения технических средств.

По мнению многих специалистов, самую большую угрозу информационной безопасности представляют именно методы социальной инженерии, хотя бы потому, что использование социального хакерства не требует значительных финансовых вложений и доскональных знаний компьютерных технологий, а также потому, что людям присущи некоторые поведенческие наклонности, которые можно использовать для осторожного манипулирования.

И как бы не совершенствовались технические системы защиты, люди так и будут оставаться людьми со своими слабостями, предрассудками, стереотипами, с помощью которых и происходит управление. Настроить же человеческую «программу безопасности» - самое сложное и не всегда приводящее к гарантированным результатам дело, так как этот фильтр необходимо подстраивать постоянно. Здесь как никогда актуально звучит главный девиз всех экспертов по безопасности: «Безопасность - это процесс, а не результат»

Области применения социальной инженерии:

  1. общая дестабилизация работы организации с целью снижения её влияния и возможности последующего полного разрушения организации;
  2. финансовые махинации в организациях;
  3. фишинг и другие способы кражи паролей с целью доступа к персональным банковским данным частных лиц;
  4. воровство клиентских баз данных;
  5. конкурентная разведка;
  6. общая информация об организации, о её сильных и слабых сторонах, с целью последующего уничтожения данной организации тем или инным способом (часто применяется для рейдерских атак);
  7. информация о наиболее перспективных сотрудниках с целью их дальнейшего «переманивания» в свою организацию;

Социальное программирование и социальное хакерство

Социальное программирование можно назвать прикладной дисциплиной, которая занимается целенаправленным воздействием на человека или группу лиц с целью изменения или удержания их поведения в нужном направлении. Таким образом, социальный программист ставит перед собой цель: овладение искусством управления людьми. Основная концепция социального программирования состоит в том, что многие поступки людей и их реакции на то или иное внешнее воздействие во многих случаях предсказуемы.

Методы социального программирования привлекательны тем, что о них либо вообще никто никогда не узнает, либо даже если кто-то о чем-то догадывается, привлечь к ответственности такого деятеля очень сложно, а также в ряде случаев можно «программировать» поведение людей, причем и одного человека, и большой группы. Данные возможности относятся к категории социального хакерства именно по той причине, что во всех из них люди выполняют чью-то чужую волю, как бы подчиняясь написанной социальным хакером «программе».

Социальное хакерство как возможность взлома человека и программирования его на совершение нужных действий исходит из социального программирования - прикладной дисциплины социальной инженерии, где специалисты этой сферы - социальные хакеры — используют приёмы психологического воздействия и актёрского мастерства, заимствованные из арсенала спецслужб.

Социальное хакерство применяется в большинстве случаев тогда, когда речь идёт об атаке на человека, который является частью компьютерной системы. Компьютерная система, которую взламывают, не существует сама по себе. Она содержит важную составляющую — человека. И чтобы получить информацию, социальному хакеру необходимо взломать человека, который работает с компьютером. В большинстве случаев проще сделать это, чем взломать компьютер жертвы, пытаясь таким образом узнать пароль.

Типовой алгоритм воздействия в социальном хакерстве:

Все атаки социальных хакеров укладывается в одну достаточно простую схему:

  1. формулируется цель воздействия на тот или инной объект;
  2. собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия;
  3. на основе собранной информации реализуется этап, который психологи называют аттракцией. Аттракция (от лат. Attrahere – привлекать, притягивать) - это создание нужных условий для воздействия на объект;
  4. принуждение к нужному для социального хакера действию;

Принуждение достигается выполнением предыдущих этапов, т. е. после того, как достигнута аттракция, жертва сама делает нужные социоинженеру действия.

На основании собранной информации социальные хакеры достаточно точно прогнозируют психо- и социотип жертвы, выявляя не только потребности, в еде, сексе и прочее, но и потребность в любви, потребность в деньгах, потребность в комфорте и т. д и т. п.

И действительно, зачем пытаться проникать в ту или инную компанию, взламывать компьютеры, банкоматы, организовывать сложные комбинации, когда можно сделать все легче: влюбить в себя до беспамятства человека, который по своей доброй воле будет переводить деньги на указанный счет или каждый раз делиться необходимой информацией?

Основываясь на том, что поступки людей предсказуемы, а также подчиняются определенным законам, социальные хакеры и социальные программисты для выполнения поставленных задач используют как оригинальные многоходовки, так и простые положительные и отрицательные приемы, основанные на психологии человеческого сознания, программах поведения, колебаниях внутренних органов, логическом мышлении, воображении, памяти, внимании. К этим приёмам можно отнести:

генератор Вуда - генерирует колебания той же частоты, что и частота колебаний внутренних органов, после чего наблюдается эффект резонанса, в результате которого люди начинают ощущать сильный дискомфорт и паническое состояние;

воздействие на географию толпы - для мирного расформирования крайне опасных агрессивных, больших групп людей;

высоко частотные и низкочастотные звуки - для провоцирования паники и её обратного эффекта, а также других манипуляций;

программа социального подражания - человек определяет правильность поступков, выясняя, какие поступки считают правильными другие люди;

программа клакерства - (на основе социального подражания) организация необходимой реакции зрителей;

формирование очередей - (на основе социального подражания) простой, но действенный рекламный ход;

программа взаимопомощи - человек стремится отплатить добром тем людям, которые ему сделали какое-то добро. Стремление выполнить эту программу зачастую превышает все доводы рассудка;

Социальное хакерство в интернете

С появлением и развитием Интернета — виртуальной среды, состоящей из людей и и их взаимодействий, расширилась среда для манипулирования человеком, для получения нужной информации и совершения необходимых действий. В наши дни Интернет является средством общемирового вещания, средой для сотрудничества, общения и охватывает весь земной шар. Именно этим и пользуются социальные инженеры для достижения своих целей.

Способы манипулирование человеком через интернет:

В современном мире владельцы практически каждой компании уже осознали, что интернет – это очень эффективное и удобное средство для расширения бизнеса и основная его задача – это увеличение прибыли всей компании. Известно, что без информации направленной на привлечение внимания, к нужному объекту, формирования или поддержание интереса к нему и его продвижение на рынке используется реклама. Только, в связи с тем, что рекламный рынок уже давно поделен, большинство видов рекламы для большинства предпринимателей, впустую потраченные деньги. Интернет реклама это не просто одна из разновидностей рекламы в СМИ, это нечто большее, поскольку с помощью интернет рекламы на сайт организации приходят люди, заинтересованные в сотрудничестве.

Интернет реклама, в отличие от рекламы в СМИ, имеет намного больше возможностей и параметров управления рекламной компанией. Наиболее важным показателем интернет рекламы является то, что плата за интернет рекламу списывается только при переходе заинтересовавшегося пользователя по ссылке рекламы, что конечно делает рекламу в интернете более эффективной и менее затратной чем реклама в СМИ. Так подав рекламу на телевидении или в печатных изданиях, её оплачивают полностью и просто ждут потенциальных клиентов, но клиенты могут откликнуться на рекламу или нет — все зависит от качества изготовления и подачи рекламы на телевидении или газетах, однако бюджет на рекламу уже израсходован и в случае если реклама не по действовала — израсходован впустую. В отличие от такой рекламы в СМИ, реклама в интернете имеет возможности отслеживания отклика аудитории и управления интернет рекламой до того как ее бюджет израсходован, более того, рекламу в интернете можно приостановить — когда спрос на продукцию возрос и возобновить — когда спрос начинает падать.

Другим способом воздействия является так называемое «Убийство форумов» где, с помощью социального программирования создают антирекламу тому или иному проекту. Социальный программист в данном случае, с помощью явных провокаторских действий в одиночку, разрушает форум, пользуясь при этом несколькими псевдонимами (nickname ) для создания вокруг себя антилидерской группировки, и привлечения в нее постоянных посетителей проекта, недовольных поведением администрации. В конце подобных мероприятий не форуме становится невозможным проджинение товаров или идей. Для чего первоначально и разрабатывался форум.

К способам воздействия на человека через интернет в целях социальной инженерии:

Фишинг — вид интернет-мошенничества, с целью получение доступа к конфиденциальным данным пользователей - логинам и паролям. Данная операция достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов (Rambler), банков или внутри социальных сетей (Facebook). В письме часто содержится ссылка на сайт, внешне неотличимый от настоящего. После того, как пользователь попадает на поддельную страницу, социальные инженеры различными приёмами побуждают пользователя ввести на странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет получить доступ к аккаунтам и банковским счетам.

Более опасным видом мошенничества, чем фишинг, является так называемый фарминг.

Фарминг — механизм скрытого перенаправления пользователей на фишинговые сайты. Социальный инженер распространяет на компьютеры пользователей специальные вредоносные программы, которые после запуска на компьютере перенаправляют обращения с необходимых сайтов на поддельные. Таким образом, обеспечивается высокая скрытность атаки, а участие пользователя сведено к минимуму – достаточно дождаться, когда пользователь решит посетить интересующие социального инженера сайты.

Заключение

Социальная инженерия - наука, которая вышла из социологии и претендует на совокупность тех знаний, которые направляют, приводят в порядок и оптимизируют процесс создания, модернизации и воспроизведения новых («искусственных») социальных реальностей. Определенным образом она «достраивает» социологическую науку, завершает ее на фазе преобразования научных знаний в модели, проекты и конструкции социальных институтов, ценностей, норм, алгоритмов деятельности, отношений, поведения и т. п.

Несмотря на то, что Социальная инженерия - относительно молодая наука, она наносит большой ущерб процессам которые происходят в обществе.

Простейшими методами защиты от воздействия этой разрушающей науки, можно назвать:

Привлечение внимания людей к вопросам безопасности.

Осознание пользователями всей серьёзности проблемы и принятие политики безопасности системы.

Литеретура

1. Р. Петерсен Linux: Полное руководство: пер. с англ. — 3 - изд. — К.: Издательская группа BHV, 2000. – 800 c.

2. С Гроднева Интернет в вашем доме. — М.: «РИПОЛ КЛАССИК», 2001. -480 с.

3. М. В. Кузнецов Социальная инженерия и социальное хакерство. Спб.: БХВ-Петербург, 2007. - 368 с.: ил.

Использующие приемы социальной инженерии киберпреступники за последние годы взяли на вооружение более продвинутые методы, которые позволяют с большей долей вероятности получить доступ к нужной информации, используя современную психологию сотрудников предприятий, да и людей в целом. Первым шагом в противостоянии такого вида уловкам является понимание самих тактик злоумышленников. Рассмотрим восемь основных подходов к социальной инженерии.

Введение

В 90-е понятие «социальная инженерия» ввел в употребление Кевин Митник, знаковая фигура в сфере информационной безопасности, бывший хакер серьезного уровня. Однако злоумышленники использовали такие методы задолго до появления самого термина. Специалисты убеждены, что тактика современных киберпреступников завязана на преследовании двух целей: кража паролей, установка вредоносной программы.

Злоумышленники пытаются применить социальную инженерию, используя телефон, электронную почту и Сеть. Ознакомимся с основными методами, помогающими преступникам добывать необходимую им конфиденциальную информацию.

Тактика 1. Теория десяти рукопожатий

Главная цель злоумышленника, использующего телефон для социальной инженерии, состоит в том, чтобы убедить свою жертву в одном из двух моментов:

  1. Жертве звонит сотрудник компании;
  2. Звонит представитель уполномоченного органа (например, правоохранитель или аудитор).

Если преступник ставит себе задачу собрать данные об определенном сотруднике, он может сначала связаться с его коллегами, пытаясь всяческими способами выудить нужные ему данные.

Припоминаете старую теорию шести рукопожатий ? Так вот, специалисты в области безопасности утверждают, что между киберпреступником и его жертвой может быть всего десять «рукопожатий». Эксперты полагают, что современных условиях всегда нужно иметь небольшую паранойю, так как неизвестно, чего от вас хочет тот или иной сотрудник.

Злоумышленники обычно выходят на секретаря (или занимающего похожую должность человека), чтобы собрать информацию о людях, стоящих выше по иерархии. Специалисты отмечают, что дружелюбный тон во многом помогает мошенникам. Медленно, но верно преступники подбирают к вам ключ, что вскоре приводит к тому, что вы делитесь информацией, которую бы раньше ни за что не открыли.

Тактика 2. Изучение корпоративного языка

Как известно, у каждой отрасли есть свои специфические формулировки. Задача злоумышленника, пытающегося добыть необходимую информацию, - изучить особенности такого языка, чтобы более искусно использовать приемы социальной инженерии.

Вся специфика кроется в изучении корпоративного языка, его терминов и особенностей. Если киберпреступник будет говорить на знакомом, привычном и понятном для его целей языке, он легче войдет в доверие и сможет быстрее заполучить необходимую ему информацию.

Тактика 3. Заимствование музыки для ожидания во время звонков

Для осуществления успешной атаки мошенники нуждаются в трех составляющих: время, настойчивость и терпение. Зачастую кибератаки с использованием социальной инженерии производятся медленно и методично - собираются не только данные о нужных людях, но и так называемые «социальные сигналы». Это делается для того, чтобы заполучить доверие и обвести цель вокруг пальца. Например, злоумышленники могут убедить ту персону, с которой они общаются, в том, что они коллеги.

Одной из особенностей такого подхода является запись музыки, которую компания использует во время звонков, в момент, когда звонящий ожидает ответа. Преступник сначала дожидается такой музыки, затем записывает ее, после чего использует в своих интересах.

Таким образом, когда идет непосредственный диалог с жертвой, злоумышленники в какой-то момент говорят: «Подождите минутку, звонок по другой линии». Затем жертва слышит знакомую музыку и у нее не остается никаких сомнений, что звонящий представляет определенную компанию. В сущности, это лишь грамотный психологический трюк.

Тактика 4. Спуфинг (подмена) телефонного номера

Преступники часто используют спуфинг телефонных номеров, что помогает им подменить номер звонящего абонента. Например, злоумышленник может сидеть у себя в квартире и звонить интересующему его лицу, однако на определителе номера отобразится принадлежащий компании номер, что создаст иллюзию того, что мошенник звонит, используя корпоративный номер.

Разумеется, ничего не подозревающие сотрудники в большинстве случаев передадут конфиденциальную информацию, включая пароли, звонящему лицу, если идентификатор абонента принадлежит их компании. Такой подход также помогает преступникам избежать отслеживания, так как если перезвонить на этот номер, вы будете переадресованы на внутреннюю линию компании.

Тактика 5. Использование новостей против вас

Какими бы ни были заголовки текущих новостей, злоумышленники используют эту информацию в качестве приманки для спама, фишинга и других мошеннических действий. Не зря специалисты в последнее время отмечают рост числа спам-писем, темы которых касаются президентских кампаний и экономических кризисов.

Из примеров можно привести фишинговую атаку на какой-либо банк. В электронном письме говорится примерно следующее:

«Другой банк [имя банка] приобретает ваш банк [имя банка]. Нажмите на эту ссылку, чтобы убедиться, что информация о вашем банке обновлена, пока сделка не закрыта».

Естественно, это попытка заполучить информацию, с помощью которой мошенники смогут войти в ваш аккаунт, украсть ваши деньги, либо продать вашу информацию третьему лицу.

Тактика 6. Использование доверия к социальным платформам

Ни для кого не секрет, что сайты Facebook, Myspace и LinkedIn представляют собой чрезвычайно популярные социальные сети. Согласно исследованию экспертов, люди склонны доверять таким платформам. Недавний инцидент с целевым фишингом, направленным на пользователей LinkedIn, подтверждает эту теорию.

Таким образом, многие пользователи будут доверять электронному письму, если в нем будет утверждаться, что оно пришло от Facebook. Частым приемом является утверждение, что соцсеть проводит техническое обслуживание, вам надо «нажать здесь», чтобы обновить информацию. Именно поэтому специалисты рекомендуют сотрудникам предприятий вводить веб-адреса вручную, чтобы избежать фишинговых ссылок.

Также стоит иметь в виду, что сайты в очень редких случаях направляют пользователям запрос на изменение пароля или обновление учетной записи.

Тактика 7. Тайпсквоттинг

Эта вредоносная техника примечательна тем, что злоумышленники используют человеческий фактор, а именно ошибки при введении URL-адреса в адресную строку. Таким образом, ошибившись всего на одну букву, пользователь может попасть на сайт, созданный специально для этих целей злоумышленниками.

Киберпреступники тщательно подготавливают почву для тайпсквоттинга, следовательно, их сайт будет как две капли воды похож на тот легитимный, который вы хотели первоначально посетить. Таким образом, допустив ошибку в написании веб-адреса, вы попадаете на копию легитимного сайта, целью которого является либо продажа чего-либо, либо кража данных, либо распространение вредоносных программ.

Тактика 8. Использование FUD для воздействия на ранок ценных бумаг

FUD - тактика психологической манипуляции, применяемая в маркетинге и пропаганде вообще, заключающаяся в подаче сведений о чем-либо (в частности, продукте или организации) таким образом, чтобы посеять у аудитории неуверенность и сомнение в его качествах и таким образом вызвать страх перед ним.

Согласно последним исследованиям Avert, безопасность и уязвимость продуктов и даже целых компаний может повлиять на рынок акций. Например, исследователи изучили влияние таких событий, как «Вторник патчей от Microsoft» (Microsoft Patch Tuesday) на акции компании, обнаружив заметное колебание каждый месяц после того, как публикуется информация об уязвимостях.

Также можно вспомнить, как злоумышленники в 2008 году распространили ложную информацию о здоровье Стива Джобса, что повлекло за собой резкое падение акций компании Apple. Это самый характерный пример использования FUD в злонамеренных целях.

Помимо этого, стоит отметить использование электронной почты для реализации техники «pump-and-dump» (схема манипуляций биржевым курсом на фондовом рынке или на рынке криптовалют с последующим обвалом). В этом случае злоумышленники могут разослать электронные письма, описывающие потрясающий потенциал акций, которые они заранее скупили.

Таким образом, многие будут стараться скупить эти акции как можно скорее, а они буду увеличиться в цене.

Выводы

Зачастую киберпреступники крайне изобретательны в своем использовании социальной инженерии. Ознакомившись с их методами, можно сделать вывод, что различные психологические трюки очень помогают злоумышленникам добиваться поставленных целей. Исходя их этого, стоит обращать внимание на любую мелочь, которая может невольно выдать мошенника, проверять и перепроверять информацию о связывающихся с вами людях, особенно если обсуждается конфиденциальная информация.

Понятие «социальная инженерия»

Определение 1

Социальная инженерия сегодня является одним из распространенных понятий. Оно используется для обозначения метода получения необходимой информации, который опирается на особенности психологического состояния человека. Главная цель социальной инженерии – получить доступ к личной информации человека, о которой он не распространяется, считая ее конфиденциальной. К такой информации относятся паспортные данные, банковский данные и иные защищенные системы.

Термин «социальная инженерия» возник относительно недавно, но сам метод используется уже на протяжении более чем пятидесяти лет. Изначально он пользовался особой популярностью у сотрудников КГБ и ЦРУ для того, чтобы получить информацию о внутреннем государственном состоянии, а также о какой-либо государственной тайне. Не менее интересной для них представлялась информация о личной жизни какого-либо видного политического деятеля, депутата, и о жизни обычного гражданина, его доходах и расходах.

Сегодня социальная инженерия пользуется спросом не только у высокопоставленных лиц: мы сами не задумываемся, что используем этот метод, когда хоти заполучить какую-либо секретную информацию, которая изначально не предназначена для нас. Но важно осознавать, что социальная инженерия не всегда осуществляется как законный способ, а за получение конфиденциальной и личной информации о человеке, который пожелал скрыть ее, можно получить определенную меру наказания в соответствии с той, что предусмотрена законодательством страны, в которой человек совершил правовое нарушение.

Методы социальной инженерии

В качестве основных методов социальной инженерии принято выделять следующие. Во-первых, это претекстинг. Он представляет собой набор отработанных по заранее разработанному сценарию действий. В результате некоторых манипуляций жертва сама выдает всю необходимую мошеннику информацию или же совершает действие, которое от нее требует исполнитель. Наиболее часто данный вид атаки встречается в голосовых средствах. Например, шантаж или вымогательства через Skype, мобильный или стационарный телефон.

Второй метод социальной инженерии – фишинг. Это одна из наиболее распространенных тактик интернет-мошенничества, которая направлена на получение личной информации пользователей какой-либо систем. Сейчас наиболее популярен фишинг социальных сетей, где мошенники собирают личную информацию пользователей, а также имеют возможность проникнуть в систему личных сообщений, шантажировать друзей и родственников жертвы, вымогать деньги, притворяясь самим пользователем.

Замечание 1

Также одним из видов фишинговых атак является поддельное сообщение (письмо), которое рассылается жертвам в виде платежных чеков или как официальное письмо от банка с требованием ввода персональных данных (пин-кодов от кредитных карт, логина и пароля от личного кабинета в банковской системе).

Зачастую в качестве мотивации для человека служит некоторая степень психологического давления со стороны мошенника: ему грозят заблокировать аккаунт, сломать систему, взломать социальные сети и распространить личную информацию на всеобщее обозрение.

Методы социальной инженерии, основанные на психологических особенностях жертвы

Безусловно, социальная инженерия выбирает те методы, которые будут оказывать влияние на жертву. Один из видов такого влияние – психологический. Сюда входят такие методы, как:

  • Троянский конь – метод основан на таких чувствах, как любопытство, страх жертвы или иных негативных эмоциях. Злоумышленник отправляет жертве письмо, которое содержит некоторое послание. Например, «беспрецедентная акция», «бесплатное обновление антивируса», «денежный выигрыш» или угроза с компроматом на жертву. В письме содержится ссылка, нажимая на нее человек запускает на своем компьютере вирус, который будет использоваться для изменения данных в системе, а информация, собранная с личного аккаунта жертвы, будет затем использована с целью заполучить какую-либо выгоду (чаще всего, денежные средства с личных банковских карт и счетов жертвы);
  • Кви про кво (иными словами, услуга за услугу). Эта техника предполагает личное обращение мошенника к жертве посредством электронного сообщения или звонка на телефон. Мошенник может представиться сотрудником технической поддержки и информировать жертву о наличии в системе ее компьютера какой-либо серьезной технической проблемы. Затем жертве сообщается о необходимости устранения неполадок, при этом она получает команды, которые вовсе не устраняют нарушение, а наоборот приводят к установке программного обеспечения, которое взламывает личные аккаунты жертвы и ворует информацию с них;

Замечание 2

Существует еще один метод под названием "обратная социальная инженерия". Она предполагает, что не злоумышленник находит жертву, а наоборот – жертва попадает в такие обстоятельства, что сама обращается к злоумышленнику за так называемой «помощью». Например, жертва по электронной почте получает письмо с контактными данными «службы поддержки», которая может помочь решить человеку конкретную проблему. Пользователь в данном случае звонит или связывается со злоумышленниками самостоятельно, даже не подозревая, что может быть обманут.

Нередки случаи, когда злоумышленники и хакеры сами предлагают свои услуги за определенную денежную оплату. Например, мы можем видеть рекламу «Взломаю аккаунт в Вконтакте/Инстаграм/Твиттер/Фейсбук» или в иных популярных социальных сетях. Таким образом, человек оказывается обманут дважды: во-первых, он платит деньги и лишается их навсегда, а во-вторых услуга, за которую он внес плату, остается неисполненной. В этой ситуации, при обращении в полицию наказание может понести не только мошенник, но и сам человек, который обратился за данной услугой, так как он сознательно собирался посягнуть на личную информацию и пространство другого человека с целью заполучить

Похожие публикации: