• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Статьи по теме: «Информационная безопасность»

Главная Пользователям Статьи Социальная инженерия: актуальная угроза и меры защиты

Социальная инженерия: актуальная угроза и меры защиты

По статистике ПАО Сбербанк, в 2018 году порядка 90% случаев компьютерного мошенничества были связаны с использованием приемов и методов социальной инженерии. В настоящее время эта тенденция сохранилась.

Что такое «социальная инженерия»

Термин «социальная инженерия» обозначает способ получения злоумышленником нужной информации или управления действиями человека без использования технических средств. Суть социальной инженерии заключается в применении только психологических методов воздействия на людей, убеждения, внушения доверия и хитрости. В основе методов социальной инженерии всегда лежит манипулирование базовыми эмоциями человека: страхом, жадностью, эмпатией. Основная задача социального инженера — «подобрать ключ» к каждому конкретному человеку и сыграть на его чувствах и эмоциях так, чтобы он забыл про осторожность и совершил необходимые злоумышленнику действия.

В результате успешных атак с применением методов социальной инженерии жертва добровольно и зачастую без каких-либо подозрений предоставляет злоумышленнику важные данные (логины и пароли от учетных записей, реквизиты банковских карт) или необходимые возможности для получения доступа к целевой системе в обход ограничений безопасности.

Типичным примером атаки социального инженера является звонок или рассылка сообщений клиенту банка от лица сотрудника этого банка. Клиенту сообщают, что его карта заблокирована и под предлогом восстановления карты просят предоставить реквизиты и кодовое слово.

Жертвы и цели социальных инженеров

Жертвой атаки с использованием социальной инженерии может стать каждый человек. Универсального средства защиты от них не существует. Весь вопрос лишь в том, насколько изощренную и достоверную схему обмана сможет придумать социальный инженер, чтобы втереться в доверие и заставить свою жертву совершить требуемые и заранее спрогнозированные действия.

Целями атак социальных инженеров становятся как простые пользователи, так и сотрудники различных компаний и банков. В первом случае основной мотив злоумышленника — корысть, во втором случае — получение доступа в корпоративную сеть с целью кражи данных, конкурентной разведки, нарушения работы информационных систем. Даже надежно защищенная при помощи новейших технических и аппаратных средств и изолированная от сети Интернет информационная система уязвима к атакам подобного рода просто потому, что с ней работают и ею управляют люди.

Социальная инженерия, как правило, является одним из этапов спланированной компьютерной атаки. Злоумышленнику проще сначала «взломать» человека и получить доступ к системе или убедить жертву самостоятельно запустить на компьютере вредоносный файл, чем тратить время на поиск и эксплуатацию технических уязвимостей.

Техники социальной инженерии

Принцип атаки с использованием социальной инженерии основывается на вызове у жертвы чувства доверия. По своей природе большинство людей склонны доверять, когда к ним обращается дружелюбный и общительный человек с каким-либо вопросом или обоснованной на первый взгляд просьбой о помощи. Например, распространенным способом выманивания у сотрудника компании конфиденциальной информации по-прежнему остается телефонный звонок злоумышленника, представившегося коллегой или сотрудником техподдержки. Если социальный инженер провел предварительную работу, выяснил имя и фамилию своей жертвы, должность, рабочий телефон, придумал достоверную и убедительную историю, овладел профессиональным сленгом, то у пользователя не возникнет никаких сомнений, и он без малейшего подозрения сообщит мошеннику любую информацию, в том числе логин и пароль от своей учетной записи.

Тот факт, что большинство людей оставляют огромное количество информации о себе в сети Интернет, играет на руку социальным инженерам. По «цифровым следам» своей жертвы, её страничкам в соцсетях злоумышленник может составить представление о характере, интересах, привычках человека и использовать эти данные в ходе атаки.

Каналы связи для осуществления атак методом социальной инженерии могут быть любые: электронная почта, мессенджеры, телефонные звонки, СМС-сообщения.

Существуют различные техники социальной инженерии:

  • Фишинг. Поддельные страницы сайта являются одними из самых популярных методов обмана пользователей с целью получения персональной или конфиденциальной информации. Страница, повторяющая дизайн целевой, и содержит поля для ввода логина и пароля. Ссылки на такие страницы распространяются через СМС-сообщения, электронные письма, социальные сети и мессенджеры. Причем получить фишинговое письмо можно даже от знакомого адресата. Чтобы вызвать доверие у своей жертвы, злоумышленники часто используют взломанные учетные записи.

  • Вишинг или «голосовой фишинг». Разновидность фишинга, когда для связи со своей жертвой злоумышленник использует телефонную связь.

  • Претекстинг. Техника социальной инженерии, при которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию подводит пользователя к тому, что тот совершает требуемые мошеннику действия или выдает необходимую конфиденциальную информацию. Обычно реализуется через телефон, социальные сети или электронную почту и требует предварительного сбора информации о жертве. Примером может служить телефонный звонок от имени сотрудника банка, который сообщает клиенту, что его банковская карта заблокирована и выманивает у него реквизиты карты под предлогом ее разблокировки.

  • Обратная социальная инженерия. Техника, при которой злоумышленник вынуждает жертву саму обратиться к нему за «помощью». Этим методом пользуются злоумышленники, выдающие себя за сотрудников технической поддержки. Подобная атака проходит в несколько этапов. Например, сначала злоумышленник создает на компьютере жертвы обратимую неполадку. Затем каким-либо образом сообщает пользователю о своей возможности решать подобные технические проблемы (размещает объявление или свои контакты рядом с рабочим местом пользователя или там, где он их увидит наверняка). После того как пользователь обратится к нему за помощью, злоумышленник решает проблему и заодно получает необходимый для своих целей доступ к компьютеру пользователя.

Рекомендации

Основным способом защиты от атак с использованием техник социальной инженерии является повышение осведомленности пользователей. Только личная бдительность и критический подход позволит распознать угрозу социальной инженерии и признаки манипуляции Вашими действиями.

Если речь идет о компании, то все сотрудники должны быть предупреждены об опасности раскрытия персональной информации и конфиденциальной информации компании, а также о способах предотвращения утечки данных. Лучше всего это реализовать с помощью разработки четких и ясных инструкций, в которых будет прописано, какую информацию можно предоставлять другим лицам (посетителям, коллегам, в службу технической поддержки).

Существует несколько простых правил, которые следует неукоснительно соблюдать всем пользователям.

  1. Никому и никогда не сообщайте логины и пароли от своих учетных записей. Даже если Вас пытаются убедить, что от этого зависит выполнение срочной и важной задачи. Помните, что сотрудники банка не имеют права запрашивать у Вас номер банковской карты, CVV/CVC-код и иную информацию, позволяющую произвести списание денежных средств.
  2. Не скачивайте вложения и не переходите по подозрительным ссылкам в письмах, полученных даже от известных Вам лиц. Всегда проверяйте с помощью других доступных каналов связи (телефонного звонка, сообщения в мессенджере), что отправитель письма — именно тот, за кого себя выдает.
  3. Перед переходом по ссылке из письма или сообщения наведите на неё курсор мыши, чтобы увидеть реальный URL-адрес страницы.
  4. Блокируйте компьютер, когда уходите от своего рабочего места.
  5. Используйте надежные и уникальные пароли для различных сервисов. Используйте менеджеры паролей.

Помните, от атак социальных инженеров позволит защититься только личная бдительность и критический подход.
Удаление данных с устройства при продаже Идентификация, аутентификация и авторизация
Все статьи

Другие материалы

14.03.2023
Ловись, рыбка. Как обезопасить себя от фишинговых сообщений в мессенджерах Статьи
23.05.2019
Социальный портрет пользователя. Кто и зачем его составляет Статьи
09.03.2015
Вирусы, троянские программы, черви Статьи
30.05.2023
Рукописи не горят, но утекают. Как защитить данные при использовании облачных офисных программ Статьи
22.09.2020
Риски мобильных приложений Статьи
18.11.2015
О скрытых возможностях «Windows 10» Статьи