Что такое атаки социальной инженерии?
Атаки социальной инженерии в вычислительной технике — это сложные методы, используемые киберпреступниками для манипулирования людьми, чтобы заставить их подвергнуть риску собственную безопасность. Эти атаки часто приводят к тому, что жертвы непреднамеренно отправляют деньги, раскрывают конфиденциальную личную или организационную информацию, или нарушают протоколы безопасности.
Эффективность социальной инженерии заключается в способности эксплуатировать человеческие эмоции, такие как страх, любопытство или сопереживание, приводя людей к импульсивным действиям вопреки здравому смыслу. Понимая и играя на этих эмоциональных триггерах, злоумышленники убеждают жертв принимать решения, которые могут показаться иррациональными задним числом — такие как загрузка вредоносного ПО, посещение небезопасных сайтов или передача конфиденциальных данных.
Как работает социальная инженерия?
Социальная инженерия вовлекает психологические тактики, чтобы манипулировать людьми, заставляя их раскрывать конфиденциальную информацию, важную для доступа к системе или кражи личности. Она использует человеческие ошибки, часто через обман или маскировку, ведя к нарушениям безопасности и компрометации данных, без опоры на технические методы взлома.
Социальные инженерные атаки обычно многоэтапные процессы. Сначала злоумышленник исследует цель, чтобы собрать достаточно информации и важных деталей, выявляя уязвимости и слабые меры безопасности, критичные для успеха атаки. Затем злоумышленник использует такие тактики, как предположение (pretexting) или маскировка под авторитетные фигуры, чтобы заслужить доверие жертвы. Эта манипуляция предназначена для вызывания действий, которые компрометируют безопасность, например, разглашение конфиденциальной информации или предоставление доступа к важным системам.
Социальные инженерные атаки используют манипулирование человеческой психологией, чтобы обходить технические меры безопасности. Они тщательно выбирают свою жертву на основании различных факторов. Основные тактики включают в себя:
- Маскировка: Злоумышленники часто выдают себя за уважаемые организации — крупные бренды, правительственные агентства или авторитетные фигуры — чтобы заслужить доверие. Например, они могут создавать мошеннические веб-сайты, имитирующие крупные бренды, чтобы обмануть пользователей и заставить их раскрывать конфиденциальную информацию.
- Эксплуатация эмоций: Эти атаки обычно используют эмоции вроде страха, срочности или жадности. Мошенники могут отправлять тревожные сообщения о компрометированном банковском счете или завлекать жертв ложными обещаниями финансовой выгоды, как в известной афере «нигерийский принц».
- Охота на доброту или любопытство: Социальные инженеры также используют естественное стремление помочь или любопытство человека. Они могут отправлять письма, казалось бы, от друзей или социальных сетей, прося контактную информацию, помощи, или завлекая пользователей щелкнуть на вредоносную ссылку под видом интересной истории или полезного ресурса.
Понимание этих тактик крайне важно для распознавания и предотвращения атак социальной инженерии. Они основываются на человеческой природе, а не на технологических недостатках, что делает осведомленность и бдительность ключевыми средствами защиты от таких угроз.
Как защититься от атак социальной инженерии
Атаки социальной инженерии могут принимать множество форм, от фишинговых писем до манипуляций через телефонные звонки или текстовые сообщения. Поскольку они в первую очередь нацелены на уязвимости человека, а не на технологические недостатки, защита от них требует сочетания осведомленности, бдительности и технологических средств.
Следующие шаги предлагают комплексный подход для улучшения вашей защиты от этих все более распространенных и сложных атак:
- Используйте многофакторную аутентификацию: Внедрение двухфакторной или многофакторной аутентификации имеет решающее значение. Это добавляет дополнительный уровень безопасности, обеспечивая блокировку несанкционированного доступа даже в случае компрометации учетных данных.
- Обучение безопасности: Регулярное обучение для всех сотрудников крайне важно для распознавания и реакции на социальные инженерные атаки. Такое обучение должно охватывать выявление подозрительной активности и важность нераспространения конфиденциальной информации.
- Установите надёжную программу кибербезопасности: Используйте комплексное программное обеспечение для кибербезопасности, такое как Malwarebytes, которое может распознавать и нейтрализовать угрозы, включая зловредные веб-сайты, малвертайзинг, вредоносное ПО, вирусы и вымогатели.
- Реализуйте политики контроля доступа и кибербезопасные технологии: Вводите строгие политики контроля доступа, включая адаптивную аутентификацию и подход нулевого доверия. Используйте такие технологии, как фильтры спама, защищенные почтовые шлюзы, межсетевые экраны, антивирусное ПО и поддерживайте актуальность систем с последними обновлениями.
- Включите фильтры спама: Активируйте фильтры спама для блокировки фишинговых писем и других форм спама. Хотя некоторые легитимные письма могут быть отфильтрованы, вы можете уменьшить это, отмечая их как «не спам» и добавляя легитимных отправителей в свой список контактов.
- Узнайте, как распознавать фишинговые письма: Обучите себя и других выявлять попытки фишинга. Ищите такие признаки, как несоответствующие адреса отправителей, общие обращения, необычные URL, плохая грамматика и предложения, выглядящие слишком хорошими, чтобы быть правдой.
- Отключите макросы в документах: Отключите макросы в вашем программном обеспечении. Будьте осторожны с вложениями в письмах, которые побуждают вас включать макросы, особенно если они от неизвестных источников. При сомнениях проверьте легитимность вложения у отправителя.
- Не отвечайте на подозрительные аферы: Избегайте отвечать на потенциальные аферы, будь то в виде электронной почты, SMS или телефонных звонков. Ответ подтверждает мошенникам, что ваша контактная информация действительна, что поощряет дополнительные попытки. Перенаправьте подозрительные сообщения на номер 7726 (SPAM), чтобы помочь вашему оператору фильтровать спам.
Внедряя эти стратегии, вы можете создать надежную защитную систему от атак социальной инженерии, защищая как ваши личные данные, так и конфиденциальную информацию вашей организации. Помните, что осведомленность и осторожность — ваш первый рубеж обороны в постоянно меняющемся мире угроз кибербезопасности.
Типы атак социальной инженерии
Социальные инженерные атаки чаще всего происходят через различные [виды фишинга]( https://www.malwarebytes.com/phishing). Эти атаки эксплуатируют человеческую психологию и доверие, а не полагаются на технические методы взлома. Эффективность и массовость фишинга делают его критической проблемой как для частных лиц, так и для организаций. Вот более подробное описание каждого типа:
- Email-фишинг: Злоумышленники выдают себя за легитимные организации через электронные письма, обманывая получателей, чтобы они раскрыли свои личные данные или учетные записи. Эти сообщения часто содержат ссылки на обманчивые сайты или вредоносные вложения.
- Массовый фишинг: Этот метод включает отправку одного и того же фишингового письма миллионам людей. Письма выглядят так, будто они от известных организаций и часто запрашивают личную информацию под ложным предлогом.
- Целевой фишинг (Spear Phishing): Более таргетированная форма фишинга, где злоумышленники персонализируют свои сообщения для конкретных лиц, используя информацию из социальных сетей или профессиональных сетей.
- Китовый фишинг (Whale Phishing): Высокоуровневая тактика целевого фишинга, нацеленная на старших руководителей или видных лиц. Эти атаки очень персонализированы и часто включают сложные обманы.
- Голосовой фишинг (Vishing): Эта техника использует телефонные звонки, чтобы обмануть людей и заставить их раскрыть конфиденциальную информацию. Злоумышленники могут выдать себя за легитимные организации или авторитетные фигуры.
- SMS-фишинг (смсинг): Вариант фишинга, осуществляемый через текстовые сообщения. Эти сообщения заманивают получателей, чтобы те кликали по вредоносным ссылкам или раскрывали конфиденциальную информацию.
- Фишинг через поисковые системы: При этом подходе злоумышленники создают фальшивые веб-сайты, которые появляются высоко в результатах поисковых систем. Когда пользователи посещают эти сайты, они подвергаются риску кражи информации.
- Фишинг на удочку (Angler Phishing): Эта форма использует платформы социальных сетей, где злоумышленники создают фальшивые аккаунты службы поддержки для взаимодействия с жертвами, часто ведя их на фишинговые сайты.
После фишинга, другими методами социальной инженерии являются:
- Байтинг: Приманивает жертв ложным обещанием товаров или услуг, чтобы украсть информацию или установить вредоносное ПО.
- Проход по дублирующему маршруту (Tailgating/Piggybacking): Включает несанкционированный доступ в закрытые зоны, физически следуя за авторизованным лицом или цифрово, используя сессию другого лица.
- Претекстинг: Злоумышленники создают вымышленные сценарии, чтобы извлечь конфиденциальную информацию или получить доступ, часто выдавая себя за человека с полномочиями или необходимостью проверки личности.
- Куид про куо (услуга за информацию): Предлагает услугу или выгоду в обмен на конфиденциальную информацию, используя желание жертвы получить хорошую сделку или награду.
- Страховаре (Scareware): Использует тактику запугивания, чтобы манипулировать жертвами в установку вредоносного ПО или раскрытие конфиденциальной информации.
- Атака «поилка» (Watering Hole Attack): Нацеливается на конкретные группы путем заражения веб-сайтов, которые они часто посещают, ведя к краже данных или установке вредоносного ПО.
- Троянские атаки: Вредоносное ПО, замаскированное под легитимное программное обеспечение, часто распространяется через вложения в письмах от якобы надежных источников.
- Аферы с технической поддержкой: Обманывают жертв, заставляя их поверить, что их устройство скомпрометировано, и взимают деньги за ненужные «исправления».
- Мошеннические звонки: Включают использование телефонных звонков (включая автообзвоны) для обмана жертв, часто выдавая себя за легитимные организации или авторитеты.
Понимание этих методов фишинга и других тактик социальной инженерии важно для защиты от распространенных и эволюционирующих угроз.
Примеры атак социальной инженерии
Вот несколько примеров социальных инженерных атак из реальной жизни, о которых мы сообщили в Malwarebytes Labs. В каждом примере мошенники, использующие социальную инженерию, ищут подходящую жертву и эмоциональный триггер. Иногда сочетание цели и триггера может быть крайне специфическим (как в случае с направленным фишингом). В других случаях мошенники могут нацеливаться на более широкую аудиторию.
Сексторционная афера: В этом первом примере мошенники раскидывают широкую сеть. Цель? Любой, кто смотрит порно. Жертва уведомляется по электронной почте, что якобы ее веб-камера была взломана и используется для записи видео с просмотром порнографии. Мошенник также утверждает, что взломал учетную запись электронной почты получателя, используя старый пароль как доказательство. Если жертва не заплатит через Bitcoin, мошенник угрожает опубликовать видео всем контактам жертвы. Обычно говоря, у мошенника нет видео вас, и ваш старый пароль взят из ранее раскрытой утечки данных.
Мошенничество с бабушкой и дедушкой: Эта афера идет много лет и нацелена на тех, у кого есть живые родственники, обычно пожилые. Родители или бабушки и дедушки получают звонок или текст от мошенника, выдающего себя за адвоката или правоохранителя. Мошенник утверждает, что родственник жертвы был арестован или ранен и нуждается в деньгах для покрытия залога, юридических сборов или больничных счетов. В случае использования SMS-версии мошенничества, простое ответное сообщение стоит жертве денег.
Мошенничество с номером социального страхования: В этой афере активность ограничивается гражданами США. Жертва получает заранее записанный звонок, якобы от Управления социального обеспечения. Сообщение утверждает, что ваш СНС «приостановлен» из-за «подозрительных следов информации». Несмотря на тот факт, что СНС не может быть приостановлен, если жертва поверит в этот трюк и ответит на звонок, её попросят оплатить штраф для исправления ситуации.
Мошенничество по мотивам Джона Уика 3: Это отличный пример направленного фишинга. В данном случае мошенники нацелены на конкретную аудиторию: фанатов Джона Уика, которые любят комиксы и предпочитают читать их на Amazon Kindle. При поиске комиксов о Джоне Уике жертве предлагают бесплатное скачивание третьего фильма о Джоне Уике — на момент проведения аферы фильм еще не был выпущен в кинотеатры. Переход по ссылке в описании фильма ведет жертву на сомнительные сайты с незаконным стримингом пиратских фильмов.
Мошенничества с коронавирусом: Мошенники сразу обратили внимание на нехватку информации о вирусе, особенно в первые дни и месяцы эпидемии. Пока здравоохранительные организации пытались разобраться в вирусе и способах его передачи от человека к человеку, мошенники заполнили пробелы с помощью фальшивых веб-сайтов и спам-имейлов.
Мы сообщили о спам-имейлах, маскирующихся под информацию о вирусе от Всемирной организации здравоохранения. Имейлы на самом деле содержали вложения с вредоносными программами. В другом примере мы описали сайт отслеживания COVID-19, который показывал заражения по всему миру в реальном времени. За кулисами сайт загружал троянскую программу для кражи информации на компьютеры жертв.
Связанные статьи
Часто задаваемые вопросы
В чем разница между социальной инженерией и обратной социальной инженерией?
В социальной инженерии злоумышленники обращаются к жертвам, чтобы заставить их поделиться информацией. При обратной социальной инженерии жертвы неосознанно вступают в контакт с обманутыми злоумышленниками.