Опасности социальной инженерии – как не стать жертвой. Часть 1

По данным  отчета LookingGlass Cyber и ISACA, социальная инженерия стала одним из основных видов кибератак на людей и организации в 2022 году. 

Более того, IBM сообщает, что ущерб от утечек данных в 2022 г. составил 4,1 млн. долларов. Как защитить себя рядовым пользователям и организациям? Хороший антивирус может уберечь вас от вредоносных действий, но не сможет защитить от социальной инженерии.

В этой статье мы расскажем вам о распространенных приемах, используемых в социальной инженерии, и о том, как не стать их жертвой. 

Что такое социальная инженерия?

Вместо того, чтобы полагаться на чисто технические средства, мошенники обращаются к "социальным" методам – используя психологические манипуляции, они побуждают вас раскрыть конфиденциальную информацию, даже если это поставит под угрозу вашу безопасность. 

Распространенными методами социальной инженерии являются фишинг (и его разновидности), бейтинг, претекстинг и использование программ-страшилок.

Фишинг

Мошенники могут выдавать себя за представителей законных учреждений или предприятий, чтобы "вытянуть" из пользователя нужную информацию. Фишинговые атаки происходят через обычную или электронную почту. Злоумышленники часто используют страхи пользователя, чтобы побудить его не задумываясь выполнить необходимое действие. 

Вот пример фишингового письма:

Источник: securitymetrics.com.

Выдавая себя за представителей банка, злоумышленники просят пользователей обновить учетные данные. Письмо очень похоже на настоящее и кажется, что оно отправлено с официального электронного адреса. Поскольку блокировка банковского счета – это серьезный повод, многие пользователи откроют такое письмо и не задумываясь произведут необходимые действия. Письмо содержит вложение, при открытии которого, скорее всего, произойдет заражение компьютера. 

В фишинговых письмах пользователя часто просят заполнить информацию вручную, хотя это не обязательно. Такие письма могут содержать ссылки, запускающие установку вируса. Это часто используется для криптоджекинга – вида атак, в результате которых хакеры приобретают возможность добывать криптовалюту, используя вычислительные мощности вашего компьютера. Иногда письма могут содержать вложения, которые при открытии заражают компьютер и дают злоумышленнику доступ к личным файлам пользователя.

Частным случаем фишинга является спирфишинг, при котором злоумышленник выдает себя за знакомого, которому пользователь доверяет, например, за друга или коллегу. Такой вид социальной инженерии направлен на конкретного человека и часто используется при промышленном шпионаже. Например, злоумышленник может выдать себя за начальника и отправить электронное письмо сотруднику с просьбой переслать конфиденциальные файлы.

Бейтинг

Бейтинг – это прием, который очень похож на фишинг. Злоумышленник не просто притворяется авторитетом. Он заманивает жертву, чтобы та поделилась своей личной информацией, получая взамен что-то заманчивое. 

Вот пример бейтингового сообщения:

В этом сообщении киберпреступники представляются представителями компании Google и обещают пользователям бесплатный iPhone в благодарность за их лояльность к компании. Как и в предыдущем случае, злоумышленники намеренно создают у пользователя ощущение срочности. Многие люди мечтают иметь iPhone, поэтому такое письмо работает как приманка и мотивирует людей перейти по ссылке.

Еще один распространенный вид бейтинговой атаки – оставить где-нибудь зараженную флешку в надежде, что кто-то найдет ее и вставит в свой компьютер. USB-накопитель служит приманкой: людям любопытно узнать, что на нем находится. Когда флешка подсоединяется к компьютеру, запускается вредоносная программа, которая делает компьютер уязвимым для злоумышленников.

Вишинг

Вишинг – это термин, составленный из двух слов: voice + phishing, т.е. голосовой фишинг. Лет двадцать назад голосовая фишинговая атака проходила так: злоумышленник звонил жертве и представлялся авторитетным лицом, с которым пользователь никогда не встречался. В наши дни для атак всё чаще используется искусственный интеллект, при помощи которого имитируются голоса членов семьи и близких родственников жертвы.

Вот какой историей поделился пользователь в Twitter. В ней он рассказывает, как злоумышленники провели вишинг-атаку на его дедушку.

Вместо электронного сообщения злоумышленник может позвонить жертве или оставить голосовое сообщение. Большинство людей привыкли к спаму в своих почтовых ящиках, но они часто бывают не так бдительны при голосовом общении. Например, злоумышленник может позвонить жертве и с помощью искусственного интеллекта имитировать голос члена семьи, который находится за границей и просит перевести $5000 на определенный банковский счет. Такие высокотехнологичные технологии еще являются экзотикой, особенно для пожилых людей, что делает рядовых пользователей уязвимыми к мошенничеству такого рода. 

Смишинг

Смишинг – это фишинг через SMS. Если ваш номер телефона стал известен мошенникам, они могут попытаться использовать его для кражи ваших личных данных. 

Вот пример смишинг-атаки:

В SMS-фишинге преступники используют все те же уловки. Они могут представляться официальными лицами или легальными компаниями, обещать вам подарок. В приведенном выше примере злоумышленники выдают себя за представителей компании Walmart и говорят, что хотят сделать жертве подарок. Они заверяют, что это легко, нужно только заполнить форму. К таким сообщениям нужно относиться критически – это поможет вам избежать потери денег и раскрытия конфиденциальных данных.

Программы-страшилки

Программы-страшилки маскируются под легитимное программное обеспечение, обычно антивирусное, и забрасывают пользователя ложными предупреждениями о безопасности или обновлениях. Пользователи часто устанавливают их на свои компьютеры неосознанно из фишинговых писем или вредоносной рекламы. 

Предупреждения, которые выдают пугающие программы, могут сопровождаться всплывающими окнами, мигающими или другими визуальными и звуковыми эффектами, призванными привлечь внимание пользователя и создать ощущение срочности. 

Вот пример такой программы:

Пользователю предлагается установить программное обеспечение, которое якобы устраняет проблемы. Однако установка предлагаемой программы нанесет лишь дополнительный вред, например, позволит злоумышленнику украсть личные файлы с компьютера. Вот почему никогда не следует открывать ссылки на подозрительные электронные письма.

Претекстинг

При претекстинге злоумышленник выдает себя за другого человека, обычно за авторитетную фигуру. Так он может получить несанкционированный доступ к вашей информации. Например, злоумышленник может выдать себя за социолога, проводящего опрос, или за клиента, который хочет получить больше информации о вашем продукте.

Претекстинг может использоваться для нанесения вреда как обычным пользователям, так и корпорациям. Эта техника эксплуатирует естественное для человека желание быть полезным и выполнять требования властей. Поэтому важно, чтобы частные лица и организации знали об этой тактике и принимали соответствующие меры для защиты от нее.

 Вы стали жертвой социальной инженерии. Каковы последствия?

Став жертвой социальной инженерии, вы можете столкнуться с разрушительными последствиями. Вот несколько примеров:

Кража денег

Мошенники, которым удалось воспользоваться вашим доверием и получить от вас конфиденциальные данные, могут монетизировать их различными способами. Они могут совершать покупки с вашей карты, если получат доступ к информации о вашей банковской карте и/или номеру телефона. Они также могут взломать ваш аккаунт в социальных сетях и попросить занять денег у ваших друзей. Все зависит от креативности злоумышленников. А если будет раскрыта финансовая информация вашей организации, ущерб может достигнуть миллионов и даже сотен миллионов.

Кража цифровой идентичности

Под кражей цифровой идентичности имеется в виду, что мошенники могут выдавать себя за вас. Например, злоумышленники могут взять кредит на ваше имя или даже подставить вас, совершив преступление. Устранение последствий может занять годы. А в корпоративном мире этот вид атаки может поставить под угрозу целые организации и подвергнуть риску их будущее.

Репутационный ущерб

На устройствах пользователей зачастую хранится конфиденциальная информация, и доступ к ней третьих лиц может нанести большой вред. Стали распространенными случаи взлома телефонов и утечек личных фотографий, в том числе интимного характера. Такая утечка сделать может вас посмешищем и вывести из душевного равновесия. Если организация становится жертвой утечки данных в результате атаки социальной инженерии, она может потерять доверие клиентов.

Заключение

Атаки социальной инженерии предполагают отсутствие цифровой гигиены и используют психологические манипуляции, чтобы обманом заставить людей раскрыть личную информацию. Злоумышленники прибегают к разнообразным и креативным атакам, эксплуатируя такие естественные чувства человека, как доверие, страх и жадность. Без специальной подготовки противостоять этим атакам сложно. В следующей статье мы расскажем, какие шаги следует предпринять, чтобы защитить от социальной инженерии себя и своих близких.