Что такое атаки социальной инженерии?
Атаки с помощью социальной инженерии - это изощренные методы, используемые злоумышленниками для манипулирования людьми с целью подрыва их собственной безопасности. Такие атаки часто приводят к тому, что жертвы неосознанно отправляют деньги, раскрывают конфиденциальную личную или организационную информацию или нарушают протоколы безопасности.
Эффективность социальной инженерии заключается в ее способности использовать такие человеческие эмоции, как страх, любопытство или сочувствие, заставляя людей действовать импульсивно, вопреки здравому смыслу. Злоумышленники, понимая и играя на этих эмоциях, убеждают жертв принимать решения, которые задним числом могут показаться нерациональными, например, загружать вредоносное программное обеспечение, посещать небезопасные веб-сайты или делиться конфиденциальными данными.
Как работает социальная инженерия?
Социальная инженерия включает в себя психологические приемы манипулирования людьми с целью заставить их раскрыть конфиденциальную информацию, необходимую для получения доступа к системе или кражи личных данных. Она использует человеческий фактор, часто путем обмана или выдачи себя за другого человека, что приводит к нарушению безопасности и компрометации данных, не прибегая к техническим методам взлома.
Атаки с помощью социальной инженерии обычно состоят из нескольких этапов. Вначале злоумышленник изучает объект атаки, чтобы собрать достаточную информацию и важные биографические данные, выявить уязвимые места и слабые меры безопасности, необходимые для успеха атаки. После этого злоумышленник использует такие тактики, как предлог или выдача себя за авторитетных лиц, чтобы завоевать доверие жертвы. Эти манипуляции направлены на то, чтобы добиться действий, которые ставят под угрозу безопасность, например, разглашения конфиденциальной информации или предоставления доступа к жизненно важным системам.
Атаки с использованием социальной инженерии манипулируют психологией человека, чтобы обойти технические меры безопасности. Они тщательно выбирают жертву, основываясь на различных факторах. Основные тактические приемы включают:
- Самозванство: Злоумышленники часто маскируются под авторитетные организации - крупные бренды, государственные учреждения или авторитетные фигуры, чтобы завоевать доверие. Например, они могут создавать мошеннические веб-сайты, зеркально отражающие крупные бренды, чтобы обманом заставить пользователей раскрыть конфиденциальную информацию.
- Использование эмоций: Эти атаки обычно используют такие эмоции, как страх, срочность или жадность. Мошенники могут отправлять тревожные сообщения о взломанном банковском счете или заманивать жертв обманными обещаниями финансовой выгоды, как в случае с печально известной аферой "нигерийский принц".
- Использование доброй воли или любопытства: Социальные инженеры также используют естественное стремление человека помочь или его любопытство. Они могут рассылать электронные письма, представляясь друзьями или представителями социальных сетей, запрашивая контактную информацию, помощь или заманивая пользователей перейти по вредоносной ссылке под видом интригующей истории или полезного ресурса.
Понимание этих тактик очень важно для распознавания и предотвращения атак социальной инженерии. Они используют человеческую природу, а не технологические недостатки, поэтому осведомленность и бдительность являются ключевыми средствами защиты от таких угроз.
Как защититься от атак социальной инженерии
Атаки социальной инженерии могут принимать различные формы - от фишинговых писем до манипуляций с помощью телефонных звонков или текстовых сообщений. Поскольку они направлены в первую очередь на уязвимости человека, а не на технологические недостатки, для защиты от них требуется сочетание осведомленности, бдительности и технологических средств защиты.
Следующие шаги предлагают комплексный подход к усилению защиты от этих все более распространенных и изощренных атак:
- Используйте многофакторную аутентификацию: Реализация двухфакторной или многофакторной аутентификации крайне важна. Она добавляет дополнительный уровень безопасности, гарантируя, что даже если учетные данные будут скомпрометированы, несанкционированный доступ все равно будет предотвращен.
- Security Ознакомительное обучение: Регулярное обучение всех сотрудников жизненно важно для распознавания атак социальной инженерии и реагирования на них. Обучение должно охватывать выявление подозрительных действий и важность отказа от передачи конфиденциальной информации.
- Установите надежную программу кибербезопасности: Используйте комплексное программное обеспечение для обеспечения кибербезопасности, например Malwarebytes, которое распознает и нейтрализует угрозы, включая вредоносные веб-сайты, вредоносную рекламу, вредоносное ПО, вирусы и программы-вымогатели.
- Внедрите политики контроля доступа и технологии кибербезопасности: Применяйте строгие политики контроля доступа, включая адаптивную аутентификацию и подход к безопасности с нулевым доверием. Используйте такие технологии, как спам-фильтры, защищенные почтовые шлюзы, брандмауэры, антивирусное программное обеспечение и обновляйте системы последними патчами.
- Включите фильтры спама: Включите спам-фильтры, чтобы блокировать фишинговые письма и другие виды спама. Хотя некоторые законные письма могут быть отфильтрованы, вы можете смягчить эту проблему, пометив их как "не спам" и добавив законных отправителей в список контактов.
- Узнайте, как распознать фишинговые письма: Научите себя и других распознавать попытки фишинга. Ищите такие "красные флажки", как несовпадающие адреса отправителей, типовые приветствия, необычные URL-адреса, плохая грамматика и предложения, которые кажутся слишком хорошими, чтобы быть правдой.
- Отключить макросы в документах: Отключите макросы в своих программах. С осторожностью относитесь к вложениям электронной почты, в которых предлагается включить макросы, особенно из неизвестных источников. Если вы сомневаетесь, проверьте легитимность вложения у отправителя.
- Не отвечайте на подозрения в мошенничестве: Не отвечайте на сообщения потенциальных мошенников, будь то электронная почта, SMS или телефонные звонки. Ответ подтверждает мошенникам, что ваша контактная информация действительна, и это поощряет новые попытки. Пересылайте подозрительные сообщения на номер 7726 (SPAM), чтобы помочь вашему оператору отфильтровать спам.
Реализовав эти стратегии, вы сможете создать надежную систему защиты от атак социальной инженерии, обезопасив как свои личные данные, так и конфиденциальную информацию вашей организации. Помните, что информированность и осторожность - это ваша первая линия обороны в постоянно меняющемся ландшафте угроз кибербезопасности.
Виды социально-инженерных атак
Социально-инженерные атаки в основном происходят через различные [формы фишинга] (https://www.malwarebytes.com/phishing). Эти атаки используют психологию и доверие людей, а не полагаются на технические методы взлома. Эффективность и распространенность фишинга делают его критически важным как для отдельных людей, так и для организаций. Вот более подробное описание каждого типа:
- Фишинг по электронной почте: злоумышленники выдают себя за легитимные организации с помощью электронных писем, обманывая получателей и заставляя их сообщить личные данные или учетные данные. Такие письма часто содержат ссылки на обманчивые веб-сайты или вредоносные вложения.
- Массовый фишинг: этот метод предполагает рассылку одного и того же фишингового письма миллионам людей. Письма представляются письмами от узнаваемых организаций и часто запрашивают личную информацию под ложным предлогом.
- Копьевой фишинг: Более целенаправленная форма фишинга, при которой злоумышленники настраивают свои сообщения для конкретных людей, используя информацию, полученную из социальных сетей или профессиональных сетей.
- Фишинг китов: Тактика фишинга высокого уровня, направленная на руководителей высшего звена или высокопоставленных лиц. Эти атаки очень персонализированы и часто включают в себя сложный обман.
- Голосовой фишинг (Vishing): Эта техника использует телефонные звонки, чтобы обманом заставить людей разгласить конфиденциальную информацию. Злоумышленники могут выдавать себя за легитимные организации или авторитетных людей.
- SMS-фишинг (Smishing): Разновидность фишинга, осуществляемого с помощью текстовых сообщений. В таких сообщениях получателей заманивают перейти по вредоносным ссылкам или разгласить конфиденциальную информацию.
- Фишинг в поисковых системах: в этом случае злоумышленники создают поддельные сайты, которые появляются в результатах поисковых систем. Когда пользователи посещают эти сайты, они подвергаются риску кражи информации.
- Angler Phishing: эта форма использует платформы социальных сетей, где злоумышленники создают поддельные аккаунты служб поддержки клиентов, чтобы взаимодействовать с жертвами, часто приводя их на фишинговые сайты.
После фишинга к другим методам социальной инженерии относятся:
- Приманка: Заманивает жертв ложным обещанием товаров или услуг, чтобы украсть информацию или установить вредоносное ПО.
- Tailgating/Piggybacking: Предполагает несанкционированный доступ к запрещенным зонам путем физического следования за авторизованным лицом или использования чужой активной сессии в цифровом виде.
- Предлог: Злоумышленники придумывают сценарии для получения конфиденциальной информации или доступа, часто выдавая себя за человека, наделенного полномочиями или нуждающегося в проверке личности.
- Quid Pro Quo: Предлагает услугу или выгоду в обмен на конфиденциальную информацию, используя желание жертвы получить выгодную сделку или вознаграждение.
- Программа-страшилка: Использует тактику страха, чтобы заставить жертву установить вредоносное ПО или раскрыть конфиденциальную информацию.
- Атака на "водопой": Нацелены на определенные группы людей, заражая часто посещаемые ими сайты, что приводит к краже данных или установке вредоносного ПО.
- Троянские атаки: Вредоносные программы, замаскированные под легитимное программное обеспечение, часто распространяются через вложения электронной почты из, казалось бы, надежных источников.
- Аферы с техподдержкой: Обманывают жертв, заставляя поверить, что их устройство взломано, и берут деньги за ненужные "исправления".
- Мошеннические звонки: Используют телефонные звонки (в том числе робозвонки) для обмана жертв, часто выдавая себя за законные организации или органы власти.
Понимание этих методов фишинга и других тактик социальной инженерии очень важно для защиты от этих распространенных и развивающихся угроз.
Примеры атак с использованием социальной инженерии
Вот несколько реальных примеров социальной инженерии, о которых мы писали на сайте Malwarebytes Labs . В каждом примере мошенники, занимающиеся социальной инженерией, ищут правильную цель и правильный эмоциональный триггер. Иногда сочетание цели и триггера может быть гиперспецифичным (как в случае с фишинговой атакой "копьем"). В других случаях мошенники могут ориентироваться на более широкую группу людей.
Афера с секс-вымогательством: В этом первом примере мошенники расставляют широкие сети. Цель? Любой, кто смотрит порно. Жертву уведомляют по электронной почте о том, что ее веб-камера якобы была взломана и использована для записи просмотра видео для взрослых. Мошенник также утверждает, что взломал учетную запись электронной почты получателя, используя в качестве доказательства старый пароль. Если жертва не заплатит через Bitcoin, мошенник угрожает опубликовать видео всем контактам жертвы. Как правило, у мошенника нет видео с вашим участием, а ваш старый пароль был получен в результате ранее раскрытой утечки данных.
Афера с бабушками и дедушками: Это мошенничество существует уже много лет и направлено на всех, у кого есть живые родственники, обычно пожилые люди. Родители, бабушки и дедушки получают звонок или текстовое сообщение от мошенника, выдающего себя за адвоката или представителя правоохранительных органов. Мошенник утверждает, что родственник жертвы был арестован или ранен и ему нужны деньги на оплату залога, судебных издержек или больничных счетов. В случае с версией мошенничества с использованием SMS-сообщений просто ответ на звонок может стоить жертве денег.
Афера с социальными номерами Security : В этом мошенничестве все начинает сужаться, поскольку оно распространяется только на граждан США. Жертва получает заранее записанный робозвонок якобы от Администрации социальной службы Security . В сообщении утверждается, что SSN жертвы был "приостановлен" из-за "подозрительных следов информации". Неважно, что ваш SSN не может быть приостановлен, но если жертва попадется на эту уловку и ответит на звонок, ее попросят заплатить штраф, чтобы все уладить.
Афера с фильмом "Джон Уик 3": Вот хороший пример копьеметалки. В этом случае мошенники преследуют очень конкретную цель: фаната Джона Уика, который любит комиксы, но предпочитает читать их на Amazon Kindle. Во время поиска комиксов о Джоне Уике, жертве предлагается бесплатно скачать третий фильм о Джоне Уике - на момент аферы фильм еще не вышел в прокат. Перейдя по ссылке, встроенной в описание фильма, жертва попадает в кроличью нору нелегальных сайтов с пиратскими фильмами.
Аферы с коронавирусом: Мошенники обратили внимание на недостаток информации о вирусе, особенно в первые дни и месяцы эпидемии. Пока чиновники от здравоохранения пытались разобраться в вирусе и в том, как он распространяется от человека к человеку, мошенники заполняли пробелы с помощью поддельных сайтов и спама по электронной почте.
Мы сообщали о спам-письмах, замаскированных под информацию о вирусах от Всемирной организации здравоохранения. На самом деле письма содержали вложения, наполненные вредоносным ПО. В другом примере Labs сообщал о сайте отслеживания COVID-19, на котором в режиме реального времени отображались случаи заражения по всему миру. За кулисами сайт загружал на компьютеры жертв троянца-похитителя информации.
Похожие статьи
Вопросы и ответы
В чем разница между социальной инженерией и обратной социальной инженерией?
В социальной инженерии злоумышленники обращаются к жертвам, чтобы заставить их поделиться информацией. При обратной социальной инженерии жертвы неосознанно вступают в контакт с обманутыми злоумышленниками.