Отправить заявку
#

Что такое социальная инженерия?

Социальная инженерия — в контексте информационной безопасности — психологическое манипулирование людьми с целью совершения ими определенных действий и/или разглашения конфиденциальной информации.

Социальная инженерия развивается в течение последних десятилетий невероятными темпами и стала основным инструментом в мире киберпреступности и кибертерроризме. Уровень сложности атак постоянно растет и развивается. В данной статье мы хотим рассказать об основных методах и тактиках, применяемых злоумышленниками при использовании социальной инженерии.

Техники социальной инженерии

Baiting (Приманка)

Все мы когда-либо находили утерянные USB-накопители, и при этом не каждый из нас задумывался, а что может быть внутри?! Суть данной в техники состоит в том, чтобы нашедший (по своему желанию, поддавшись любопытству или иному мотиву) подобрал носитель и вставил в свой домашний/рабочий компьютер. Дальше может быть разное развитие событий, например, на носителе может быть вредоносный файл или может быть использована атака BadUSB.

Phishing (Фишинг)

Фишинг является самым популярным видом социальной инженерии, в основном он представляет собой мошенничества по электронной почте. Классический фишинг обычно носит массовый характер и больше направлен на невнимательных пользователей.

Самый простой пример – письмо от любой онлайн службы, в котором написано о срочности смены пароля или о подозрительном входе в ваш аккаунт. В письмо включается ссылка на сайт злоумышленника, который похож на оригинальный сайт. После перехода по ссылке пользователь видит перед собой окно авторизации и вводит свои данные в соответствующие поля. После отправки формы вся информация попадает злоумышленнику.

Скорее всего обычный фишинг будет содержать следующие признаки:

  • неперсонализированное обращение («Здравствуйте!», «Dear customer!»);
  • содержит ссылки, картинки со ссылками, вложения;
  • сообщение содержит обещание с описанием выгоды при выполнении действия, скрытую или явную угрозу при бездействии;
  • вынуждает действовать сейчас;
  • может содержать орфографические, грамматические ошибки, опечатки;
  • вы не можете опознать отправителя, даже в случае, если он подписался.

Ниже представлено фишинговое письмо, в котором есть большая часть данных признаков.

В теле письма есть ссылка, ведущая на вредоносный веб-ресурс в сети Интернет, откуда происходила загрузка вредоносного ПО.

Spear phishing (Целевой или направленный фишинг)

Концепция направленного фишинга мало чем отличается от классического фишинга, получателем также пытаются манипулировать, только более направлено. Злоумышленники вынуждают сделать определённое действие - открыть файл, перейти по ссылке и ввести авторизационные данные.

Но у целевого фишинга есть несколько особенностей:

  • сложен и дорог в реализации;
  • нужно много времени на подготовку;
  • злоумышленник предварительно собирает информацию о получателе фишинга;
  • тематика фишинга близка получателю;
  • не привлекает внимания, фишинговое письмо похоже на обычное письмо;
  • могут использоваться различные уязвимости, в том числе и «нулевого дня».

Для реализации подобной атаки, злоумышленнику потребуется собрать много персонализированной информации о пользователе (ФИО, интересы и т.д). Атакующие могут собирать информацию разными способами, например:

  • социальные сети (очень часто пользователи соц. сетей публикуют слишком много информации о себе, тем самым облегчая жизнь злоумышленнику)
  • разведка по общедоступным источникам, связанные с электронной почтой/номером телефона. Сейчас даже есть специализированные сервисы в «телеграмм», которые бесплатно могут предоставить данные о конкретном пользователе по фотографии, номеру телефона и т.д.
  • связи в социальных сетях, других ресурсах. Мониторинг профилей друзей, знакомых, коллег.

Vishning (Вишинг)

Вишинг – метод мошенничества с использованием социальной инженерии, который заключается в том, что злоумышленники используют телефонную коммуникацию. Данный вид фишинга очень популярен и разнообразен, бывают как массовые атаки (веерные звонки, в основном нацеленные на частичный успех), так и точечные мошенничества, направленные на одного конкретного человека.

Самый распространений вид - банковские мошенничества. По данным Банка России за 2020 год мошенники украли у банковских клиентов около 9 млрд руб. В основном они используют телефонные звонки от якобы «службы безопасности банка», с помощью которых убеждают людей раскрыть данные для доступа к счету или самостоятельно перевести деньги на счет злоумышленников.

Кстати, АльфаБанк запустил программу вознаграждения за информацию, которая поможет найти преступников (http://alfawanted.ru). Если вы часто сталкиваетесь с фишинговыми звонками, то не проходите мимо, вдруг вам повезет.

Банковские мошенничества – не единственный вид вишинга, это может быть и звонок из службы "технической поддержки" или от представителя «гос. органов", и ещё много-много вариантов.

Pretexting (или Претекстинг)

Претекстинг - ещё одна из разновидностей фишинга, которую выделяют отдельно. Это определенный вид атаки, при которой злоумышленник действует по определенному сценарию, в результате которого жертва должна выдать конфиденциальную информацию.

Для реализации данной атаки злоумышленник должен иметь хорошую подготовку, он должен знать некоторые данные о жертве (дата рождения, номер паспорта, ИНН или должность в компании). Атакующий сначала входит в доверие, а уже потом получает необходимую ему информацию.

Обратная социальная инженерия

Обратная социальная инженерия — это самый изощренный и сложный в реализации вид атаки, при котором жертва сама обращается за помощью к злоумышленнику и отдает нужные ему данные. Обычно она состоит из 3-х этапов: саботаж, реклама, помощь.

Например, злоумышленник отправляет письмо потенциальным жертвам с контактами «Технической поддержки» и через некоторое время создает проблемы на компьютере жертвы. В данном случае жертва сама свяжется со злоумышленником, и в процессе исправления проблемы атакующий получит все необходимые ему данные.

Как защититься?

К сожалению, от фишинга нет универсального способа защиты, но есть несколько рекомендаций, которые помогут вам не стать жертвой атаки:

  1. Cамое первое и главное - знать о возможности фишинга и иметь некую степень паранойи, поверьте, они неоднократно вас спасут;

  2. Bсегда проверяйте источник, благо в 21 веке с этим проблем нет, всегда под рукой интернет и все его возможности. Даже элементарный поиск в Google адреса отправителя письма - уже о многом скажет, ну если он, конечно, настоящий, а не отправлен со специализированных сервисов, например, emkei.cz, где можно указать любой адрес отправителя. В данном случае вам лучше проверить правильность написания адреса, вполне возможно, там будет изменен какой-нибудь символ. В случае с направленным фишингом проверить источник гораздо сложнее, злоумышленник может представиться знакомым или коллегой, если есть возможность свяжитесь с ним по альтернативной связи.

  3. Проверяйте ссылки. Если в письме есть ссылки, просто наведите на них курсор мыши (но не нажимайте!) и посмотрите. Там будет отображен реальный адрес, куда вы перейдете. Если там вместо DNS имени указан IP - адрес или ссылка сильно обфусцирована (зашумлена), трудна к прочтению, то сразу удаляйте это письмо.

  4. Проверяйте вложения. Если письмо содержит вложения и у вас есть сомнения в легитимности источника - не открывайте их. Если вы все-таки решили открыть их, придерживайтесь следующих правил:
  • Обязательно проверяйте их антивирусным решением, если у вас его нет, не беда, есть публичные сервисы, куда можно загрузить и проверить файл, например, https://www.virustotal.com/ или https://www.hybrid-analysis.com
  • Если проверка прошла успешно и вирусов не обнаружено, и вы уже открыли файл (в пример возьмем документ формата .doc) и он просит включить макросы (небольшая программа, которая работает внутри файла), то ни в коем случае их не включайте. Злоумышленник может использовать их для скачивания вредоносного программного обеспечения. Тоже самое касается и файлов формата PDF, в них может содержаться вредоносный JavaScript.

Похожие рекомендации будут касаться и других видов фишинга, например. с использованием звонков:       

  • Всегда проверяйте источник (вам звонит банк, служба поддержки или якобы знакомый человек), положите трубку, наберите в этот банк и уточните, они ли вам звонили. Тоже самое и с технической поддержкой - положите трубку, наберите в данную техническую поддержку;

  • ·        Никогда не сообщайте конфиденциальную информацию, никогда! Из тех. поддержки никогда не спросят логина и пароля, так же, как и в банке не спросят ваш номер счета;

  • ·        Используйте функции антиспама от операторов связи или установите специализированные ПО для борьбы с телефонным спамом.

  

«КТО ВЛАДЕЕТ ИНФОРМАЦИЕЙ, ТОТ ВЛАДЕЕТ МИРОМ»

 

 

Смотреть все советы