Что такое социальная инженерия?

Изучите эффективные стратегии для защиты личной информации и противодействия социальной инженерии, хитрой тактике, используемой киберпреступниками для манипуляции людьми.

СКАЧАТЬ БЕСПЛАТНО АНТИВИРУС И СКАНЕР ВИРУСОВ

В этой статье:

  • Узнайте, что такое атаки социальной инженерии и как киберпреступники используют психологические манипуляции, чтобы обойти систему безопасности и обманом заставить людей раскрыть конфиденциальную информацию.
  • Поймите, как злоумышленники используют такие человеческие эмоции, как страх, любопытство и срочность, применяя такие тактики, как пародия, фишинг и пугающие программы.
  • Узнайте практические советы по защите от социальной инженерии, включая многофакторную аутентификацию, обучение навыкам безопасности и спам-фильтры.
  • Изучите наиболее распространенные типы атак с использованием социальной инженерии - от фишинга и заманивания до мошенничества с техподдержкой - и посмотрите реальные примеры, такие как письма с секс-вымогательством и мошенничество COVID-19.

Что такое атаки социальной инженерии?

Атаки социальной инженерии в вычислительной технике — это сложные методы, используемые киберпреступниками для манипулирования людьми, чтобы заставить их подвергнуть риску собственную безопасность. Эти атаки часто приводят к тому, что жертвы непреднамеренно отправляют деньги, раскрывают конфиденциальную личную или организационную информацию, или нарушают протоколы безопасности.

Эффективность социальной инженерии заключается в способности эксплуатировать человеческие эмоции, такие как страх, любопытство или сопереживание, приводя людей к импульсивным действиям вопреки здравому смыслу. Понимая и играя на этих эмоциональных триггерах, злоумышленники убеждают жертв принимать решения, которые могут показаться иррациональными задним числом — такие как загрузка вредоносного ПО, посещение небезопасных сайтов или передача конфиденциальных данных.

Как работает социальная инженерия?

Социальная инженерия включает в себя психологические приемы манипулирования людьми с целью заставить их раскрыть конфиденциальную информацию, необходимую для получения доступа к системе или кражи личных данных. Она использует человеческий фактор, часто путем обмана или выдачи себя за другого человека, что приводит к нарушению безопасности и компрометации данных, не прибегая к техническим методам взлома.

Социальные инженерные атаки обычно многоэтапные процессы. Сначала злоумышленник исследует цель, чтобы собрать достаточно информации и важных деталей, выявляя уязвимости и слабые меры безопасности, критичные для успеха атаки. Затем злоумышленник использует такие тактики, как предположение (pretexting) или маскировка под авторитетные фигуры, чтобы заслужить доверие жертвы. Эта манипуляция предназначена для вызывания действий, которые компрометируют безопасность, например, разглашение конфиденциальной информации или предоставление доступа к важным системам.

Социальные инженерные атаки используют манипулирование человеческой психологией, чтобы обходить технические меры безопасности. Они тщательно выбирают свою жертву на основании различных факторов. Основные тактики включают в себя:

  1. Маскировка: Злоумышленники часто выдают себя за уважаемые организации — крупные бренды, правительственные агентства или авторитетные фигуры — чтобы заслужить доверие. Например, они могут создавать мошеннические веб-сайты, имитирующие крупные бренды, чтобы обмануть пользователей и заставить их раскрывать конфиденциальную информацию.
  2. Эксплуатация эмоций: Эти атаки обычно используют эмоции вроде страха, срочности или жадности. Мошенники могут отправлять тревожные сообщения о компрометированном банковском счете или завлекать жертв ложными обещаниями финансовой выгоды, как в известной афере «нигерийский принц».
  3. Охота на доброту или любопытство: Социальные инженеры также используют естественное стремление помочь или любопытство человека. Они могут отправлять письма, казалось бы, от друзей или социальных сетей, прося контактную информацию, помощи, или завлекая пользователей щелкнуть на вредоносную ссылку под видом интересной истории или полезного ресурса.

Понимание этих тактик крайне важно для распознавания и предотвращения атак социальной инженерии. Они основываются на человеческой природе, а не на технологических недостатках, что делает осведомленность и бдительность ключевыми средствами защиты от таких угроз.

Как защититься от атак социальной инженерии

Атаки социальной инженерии могут принимать множество форм, от фишинговых писем до манипуляций через телефонные звонки или текстовые сообщения. Поскольку они в первую очередь нацелены на уязвимости человека, а не на технологические недостатки, защита от них требует сочетания осведомленности, бдительности и технологических средств.

Следующие шаги предлагают комплексный подход для улучшения вашей защиты от этих все более распространенных и сложных атак:

  1. Используйте многофакторную аутентификацию: Внедрение двухфакторной или многофакторной аутентификации имеет решающее значение. Это добавляет дополнительный уровень безопасности, обеспечивая блокировку несанкционированного доступа даже в случае компрометации учетных данных.
  2. Обучение безопасности: Регулярное обучение для всех сотрудников крайне важно для распознавания и реакции на социальные инженерные атаки. Такое обучение должно охватывать выявление подозрительной активности и важность нераспространения конфиденциальной информации.
  3. Установите надежную программу кибербезопасности: Используйте комплексное программное обеспечение для обеспечения кибербезопасности, например Malwarebytes, которое распознает и нейтрализует угрозы, включая вредоносные веб-сайты, вредоносную рекламу, вредоносное ПО, вирусы и программы-вымогатели.
  4. Внедрите политики контроля доступа и технологии кибербезопасности: Применяйте строгие политики контроля доступа, включая адаптивную аутентификацию и подход к безопасности с нулевым доверием. Используйте такие технологии, как спам-фильтры, безопасные почтовые шлюзы, брандмауэры, антивирусное программное обеспечение и обновляйте системы последними патчами.
  5. Включите фильтры спама: Активируйте фильтры спама для блокировки фишинговых писем и других форм спама. Хотя некоторые легитимные письма могут быть отфильтрованы, вы можете уменьшить это, отмечая их как «не спам» и добавляя легитимных отправителей в свой список контактов.
  6. Узнайте, как распознавать фишинговые письма: Обучите себя и других выявлять попытки фишинга. Ищите такие признаки, как несоответствующие адреса отправителей, общие обращения, необычные URL, плохая грамматика и предложения, выглядящие слишком хорошими, чтобы быть правдой.
  7. Отключите макросы в документах: Отключите макросы в вашем программном обеспечении. Будьте осторожны с вложениями в письмах, которые побуждают вас включать макросы, особенно если они от неизвестных источников. При сомнениях проверьте легитимность вложения у отправителя.
  8. Не отвечайте на подозрительные аферы: Избегайте отвечать на потенциальные аферы, будь то в виде электронной почты, SMS или телефонных звонков. Ответ подтверждает мошенникам, что ваша контактная информация действительна, что поощряет дополнительные попытки. Перенаправьте подозрительные сообщения на номер 7726 (SPAM), чтобы помочь вашему оператору фильтровать спам.

Внедряя эти стратегии, вы можете создать надежную защитную систему от атак социальной инженерии, защищая как ваши личные данные, так и конфиденциальную информацию вашей организации. Помните, что осведомленность и осторожность — ваш первый рубеж обороны в постоянно меняющемся мире угроз кибербезопасности.

Типы атак социальной инженерии

Социально-инженерные атаки в основном происходят через различные [формы фишинга] (malwarebytes. Эти атаки используют психологию и доверие людей, а не полагаются на технические методы взлома. Эффективность и распространенность фишинга делают его критической проблемой как для отдельных людей, так и для организаций. Вот более подробное описание каждого типа:

  1. Email-фишинг: Злоумышленники выдают себя за легитимные организации через электронные письма, обманывая получателей, чтобы они раскрыли свои личные данные или учетные записи. Эти сообщения часто содержат ссылки на обманчивые сайты или вредоносные вложения.
  2. Массовый фишинг: этот метод предполагает рассылку одного и того же фишингового письма миллионам людей. Письма представляются письмами от узнаваемых организаций и часто запрашивают личную информацию под ложным предлогом.
  3. Целевой фишинг (Spear Phishing): Более таргетированная форма фишинга, где злоумышленники персонализируют свои сообщения для конкретных лиц, используя информацию из социальных сетей или профессиональных сетей.
  4. Фишинг китов: Тактика "копьеметания" высокого уровня, направленная на руководителей высшего звена или высокопоставленных лиц. Эти атаки очень персонализированы и часто включают в себя сложный обман.
  5. Голосовой фишинг (Vishing): Эта техника использует телефонные звонки, чтобы обманом заставить людей разгласить конфиденциальную информацию. Злоумышленники могут выдавать себя за легитимные организации или авторитетных людей.
  6. SMS-фишинг (смсинг): Вариант фишинга, осуществляемый через текстовые сообщения. Эти сообщения заманивают получателей, чтобы те кликали по вредоносным ссылкам или раскрывали конфиденциальную информацию.
  7. Фишинг через поисковые системы: При этом подходе злоумышленники создают фальшивые веб-сайты, которые появляются высоко в результатах поисковых систем. Когда пользователи посещают эти сайты, они подвергаются риску кражи информации.
  8. Фишинг на удочку (Angler Phishing): Эта форма использует платформы социальных сетей, где злоумышленники создают фальшивые аккаунты службы поддержки для взаимодействия с жертвами, часто ведя их на фишинговые сайты.

После фишинга, другими методами социальной инженерии являются:

  1. Байтинг: Приманивает жертв ложным обещанием товаров или услуг, чтобы украсть информацию или установить вредоносное ПО.
  2. Проход по дублирующему маршруту (Tailgating/Piggybacking): Включает несанкционированный доступ в закрытые зоны, физически следуя за авторизованным лицом или цифрово, используя сессию другого лица.
  3. Претекстинг: Злоумышленники создают вымышленные сценарии, чтобы извлечь конфиденциальную информацию или получить доступ, часто выдавая себя за человека с полномочиями или необходимостью проверки личности.
  4. Куид про куо (услуга за информацию): Предлагает услугу или выгоду в обмен на конфиденциальную информацию, используя желание жертвы получить хорошую сделку или награду.
  5. Страшилки: Использует тактику страха, чтобы заставить жертву установить вредоносное ПО или раскрыть конфиденциальную информацию.
  6. Атака на"водопой": Нацелены на определенные группы людей, заражая часто посещаемые ими сайты, что приводит к краже данных или установке вредоносного ПО.
  7. Троянские атаки: Вредоносное ПО, замаскированное под легитимное программное обеспечение, часто распространяется через вложения в письмах от якобы надежных источников.
  8. Аферы с технической поддержкой: Обманывают жертв, заставляя их поверить, что их устройство скомпрометировано, и взимают деньги за ненужные «исправления».
  9. Мошеннические звонки: Использует телефонные звонки (включая робозвонки) для обмана жертв, часто выдавая себя за законные организации или органы власти.

Понимание этих методов фишинга и других тактик социальной инженерии важно для защиты от распространенных и эволюционирующих угроз.

Примеры атак социальной инженерии

Вот несколько реальных примеров социальной инженерии, о которых мы сообщали в Malwarebytes Labs. В каждом примере мошенники, занимающиеся социальной инженерией, ищут правильную цель и правильный эмоциональный триггер. Иногда сочетание цели и триггера может быть гиперспецифичным (как в случае с фишинговой атакой"копьем"). В других случаях мошенники могут ориентироваться на более широкую группу людей.

Афера с секс-вымогательством: В этом первом примере мошенники расставляют широкие сети. Цель? Любой, кто смотрит порно. Жертву уведомляют по электронной почте о том, что ее веб-камера якобы была взломана и использована для записи просмотра видео для взрослых. Мошенник также утверждает, что взломал учетную запись электронной почты получателя, используя в качестве доказательства старый пароль. Если жертва не заплатит через Bitcoin, мошенник угрожает опубликовать видео всем контактам жертвы. Как правило, у мошенника нет видео с вашим участием, а ваш старый пароль был получен в результате ранее раскрытой утечки данных.

Мошенничество с бабушкой и дедушкой: Эта афера идет много лет и нацелена на тех, у кого есть живые родственники, обычно пожилые. Родители или бабушки и дедушки получают звонок или текст от мошенника, выдающего себя за адвоката или правоохранителя. Мошенник утверждает, что родственник жертвы был арестован или ранен и нуждается в деньгах для покрытия залога, юридических сборов или больничных счетов. В случае использования SMS-версии мошенничества, простое ответное сообщение стоит жертве денег.

Мошенничество с номерами социального страхования: В этом мошенничестве все сужается, поскольку оно распространяется только на граждан США. Жертва получает заранее записанный робозвонок якобы от Администрации социального обеспечения. В сообщении утверждается, что SSN жертвы был "приостановлен" из-за "подозрительных следов информации". Неважно, что ваш SSN не может быть приостановлен, но если жертва попадется на эту уловку и ответит на звонок, ее попросят заплатить штраф, чтобы все уладить.

Мошенничество по мотивам Джона Уика 3: Это отличный пример направленного фишинга. В данном случае мошенники нацелены на конкретную аудиторию: фанатов Джона Уика, которые любят комиксы и предпочитают читать их на Amazon Kindle. При поиске комиксов о Джоне Уике жертве предлагают бесплатное скачивание третьего фильма о Джоне Уике — на момент проведения аферы фильм еще не был выпущен в кинотеатры. Переход по ссылке в описании фильма ведет жертву на сомнительные сайты с незаконным стримингом пиратских фильмов.

Аферы с коронавирусом: Мошенники обратили внимание на недостаток информации о вирусе, особенно в первые дни и месяцы эпидемии. Пока чиновники от здравоохранения пытались разобраться в вирусе и в том, как он распространяется от человека к человеку, мошенники заполняли пробелы с помощью поддельных веб-сайтов и спама по электронной почте.

Мы сообщали о спам-письмах, замаскированных под информацию о вирусах от Всемирной организации здравоохранения. На самом деле письма содержали вложения, наполненные вредоносным ПО. В другом примере Labs сообщали о сайте отслеживания COVID-19, на котором в режиме реального времени отображались случаи заражения по всему миру. За кулисами сайт загружал на компьютеры жертв троянца-похитителя информации.

Что такое фишинг?

Что такое направленный фишинг?

Что такое висинг-атака?

Что такое catfishing?

Что такое кража личных данных?

Часто задаваемые вопросы

В чем разница между социальной инженерией и обратной социальной инженерией?

В социальной инженерии злоумышленники обращаются к жертвам, чтобы заставить их поделиться информацией. При обратной социальной инженерии жертвы неосознанно вступают в контакт с обманутыми злоумышленниками.