Rakitlt.ru

Социальная инженерия всегда нацелена на клиента, а ее цель — убедить человека открыть информацию или перечислить деньги. Сценариев и способов таких атак большое количество, а они все рассчитаны на страсти и психологию людей. Рассказываем, что такое социальная инженерия, какие модели наиболее популярны у взломщиков и как защититься.

Социальная инженерия — это совокупность способов и тактик влияния, основанных на психическом манипулировании, в целях контроля поведения человека и доступа к секретной информации.

В контексте кибербезопасности термин представляет атаки, которые направлены не на персональный компьютер, а его оператора.

К примеру, мошенники получают доступ к счетам жертвы, не взламывая при этом кредитный онлайн-кабинет. Маршрутом поочередных действий злоумышленники упрашивают человека по доброй воле дать пароли или перевести деньги на необходимый счет.

Атака социальной инженерии создается вокруг правдивого сценария или обстановки, в которую погружают клиента, с опорой на крепкие триггеры — страх, сочувствие, внимание, скупость. Находясь в волнении человек с большей возможностью ошибется, предоставит информацию или сделает несвойственное для себя действие. К примеру, кликнет на «зараженную» сноску или скачает документ.

Второе значение социальной инженерии — метод улучшения сообщества маршрутом незаметных социальных преображений с оптимальным раскладом. Эта идея обрела большое распространение в начале ХХ века, преимущественно как альтернатива тоталитарным и революционным теориям. Она обнаружила отображение в философии и прочих социальных науках.

В сферу IT термин перешел по мере развития цифровых технологий и киберугроз. Одним из популяризаторов социальной инженерии довольно часто называют североамериканского взломщика Кевина Митника.

В 1990-х гг. он заходил в число наиболее разыскиваемых Федеральное бюро расследований США преступников за корпоративные атаки: необходимые данные Митник приобретал, сочетая методы эмоционального манипулирования и традиционных взломов.

После пары лет бегства Митника взяли и осудили к тюремному сроку. В 2000-х гг. экс-хакер вышел на волю, создал свою компанию по кибербезопасности, проводил консультации по защите от социоинженерных атак и произвел несколько книг.

Оборотная социальная инженерия. Это техника манипулирования, обратная традиционной схеме, когда нарушитель закона первым стимулирует контакт. При обратной социальной инженерии человека подвохом заставляют самостоятельно соединиться со мошенником.

В итоге между жертвой и взломщиком появляется большая степень доверия, в связи с тем что клиент начал общение сам. Сценарии такой социальной инженерии различные.

К примеру, жулик сначала саботирует работу сети, а потом выдает себя за технического эксперта, чтобы помочь жертве исправить ситуацию. При этом информацию об услугах такого «профессионала» клиент отмечает насколько бы невольно: в рекламе всплывающего окна или рассылке.

Методы социальной инженерии. Принципы социальной инженерии создаются вокруг того, как люди полагают и работают. Главная задача — поиграть на ощущениях и наклонностях человека, вывести его из эмоционального баланса, а после вынудить сделать некоторые действия.

Для этого киберпреступники используют обширный запас способов, а подготовка жертвы к обману время от времени занимает несколько лет. Социоинженерных сценариев для кражи данных очень много. А, в большинстве случаев, такие атаки проходят во много рубежей:

Подготовка. Мошенники сначала исследуют точного человека или компанию людей, к примеру служащих некоторой компании. Абсолютное большинство информации, в большинстве случаев, есть в открытом доступе: корпоративные веб-сайты, фото и посты в соцсетях.

Установление контакта. Инициировав взаимодействие, нарушитель закона создает конфиденциальные отношения. Для этого мошенники обратит к некоторым прецедентам, мероприятиям и информации, относящимся к человеку или команде. Это имена и фамилии товарищей, руководителя или сведения о сделке, которую не так давно провела компания.

Начало атаки. Как только доверие определено, жертву штурмуют. К примеру, просят перейти по сноске, переслать послание, открыть инфицированный документ или перевести деньги.

Отключение. после того как клиент выполняет требования, все контакты прерываются. Через определенное время потерпевший понимает, что его одурачили. А время от времени атака может оставаться замеченной долго. Вплоть до этапа, пока взломщик сам не обличит себя.

Фишинг. Кибернетическая атака с известиями, которые смотрятся или звучат так, как будто их послала достойная доверия организации или даже знакомый лично человек.

Это вполне может быть закамуфлированное послание от банка, госструктуры, руководителя или одного из коллег, членов семьи. В нем жертву просят перейти по сноске, чтобы скачать приложение, открыть документ.

К примеру, извещение с подписью «Это ты на фотографии?». Наиболее распространен фишинг в е-mail-рассылках (многочисленные или целевые), социальных сетях, SMS или даже голосовых известиях. Последние мошенники производят с помощью ИИ на основе аудиосообщений обладателей развороченных в мессенджерах аккаунтов. В конечном итоге человек приобретает голосовое, в котором его знакомый собственным голосом, к примеру, просит деньги в долг.

Страшилка (Scareware). Стартует с фишингового послания или всплывающего окна интернет-браузера, которое должно испугать клиента и вынудить незамедлительно осуществить что-нибудь. Для этого в тексте намного чаще находится опасность.

К примеру, предостережение, что выявлены вирусы. Для правдоподобности мошенники используют знаки настоящих компаний, URL-адреса и наименования продуктов, которые показываются легальными. Испугав жертву, в послании могут предложить «решение» — скачать ПО (фальшивое) и оплатить услугу.

Клиент переходит на жульнический сайт, где вводит сведения о банковской карте. В то же время мошенники воруют собственные данные. Хакеры также применяют стратегию «запугивания» для распространения программ-вымогателей, которые задерживают документы с устройства в заложниках и требуют выкуп. Рекомендуем сайт https://versia.ru/socialnaya-inzheneriya-pomogla-severnoj-koree-stat-bogache-na-15-mlrd если нужно больше информации про социальную инженерию.

Претекстинг (pretexting). Это социоинженерная схема по загодя проработанному сценарию (от англ. слова повод). Жулик названивает или сообщает жертве, представляясь начальником, работником банка, милиции или госструктуры. В беседе он в обязательном порядке упоминает какие-то собственные факты или сведения, имеющие отношение к работе.

Жертве передают, что появилась некоторая неприятность (взломали данные служащих компании, осуществлена атака на счета в банке) и для ее решения необходима помощь. Чтобы хлороформировать внимательность хакеры, используют фальшивые аккаунты, почтовые адреса и номера телефонов, и сгенерированные ИИ видео. Мишенью атаки намного чаще бывают финансовые данные: номера карт, PIN и СVV-коды или средства на счете.

Автодорожное яблоко. Этот тип мошенничества создается на стандартном любопытстве. Схема максимально элементарна: в офис компании подбрасывают флеш-карту, на которой написано что-нибудь привлекающее.

К примеру, «Данные о получках начальства» или «Списки служащих на увольнение». Дальше нарушителям закона остается лишь ожидать, когда кто-то из служащих обнаружит ее и из любопытства воткнет в собственный персональный компьютер. После этого на рабоче ПО просачивается вредная программа, которая шпионит или ворует персональные данные.

Quid pro quo (услуга за услугу). Это форма социальной инженерии, когда мошенники могут предложить услугу или выгоду в обмен на секретную информацию или доступ. К примеру, активное участие в выборочном опросе за награждение. Но в ходе общения жулик попробует узнать значительную для себя информацию.

Еще один план — звонок из службы саппорта компании. Мнимый работник интересуется у жертвы о каких-нибудь трудностях с ПК и доступом к системе, заверяя, что сбой коснулся многих работников офиса.

После он просит помочь разобраться в неприятности и, к примеру, досконально представить процесс входа в систему. В конце концов взломщик может убедить работника скачать на собственный персональный компьютер «обновление системы», которое по прецеденту будет вредным ПО.

Образцы