Что такое социальная инженерия: Что такое социальная инженерия: история, методы, примеры

Что такое социальная инженерия? — НБРБ. Единый портал финансовой грамотности

Сегодня благодаря разнообразию социальных сетей собрать сведения о человеке очень легко. А опытные мошенники хорошо разбираются в психологии, и могут использовать в своих целях даже минимальные знания о пользователе.

Многие специалисты по информационной безопасности говорят, что, как не защищай программы и системы, но есть одно слабое звено – это сам пользователь. Люди зачастую оказываются очень доверчивыми и сами предоставляют мошенникам конфиденциальную  информацию. С помощью специальных практик мошенникам добыть необходимую информацию намного проще, нежели получить ее путем взлома системы безопасности. Этим они и пользуются.

Социальная инженерия – это способ получения конфиденциальной информации с помощью психологического воздействия на человека. Основной целью социальной инженерии является получение выгоды через доступ к паролям, банковским данным и другим защищенным системам. 

Социальная инжерерия может принимать разные виды. Вот самые распространенные.

Фишинг — это вид мошенничества, основная суть которого завладение логинами и паролями от важных сайтов, аккаунтов, счетов в банке и другой конфиденциальной информацией путем рассылки писем с ссылками на мошеннический сайт, внешне очень похожий на настоящий. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить его ввести на поддельной странице свои логин и пароль, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Фарминг — при фарминге на персональный компьютер жертвы устанавливается вредоносная программа, которая меняет информацию по IP-адресам, в результате чего обманутый пользователь перенаправляется на поддельные сайты без его ведома и согласия.

Вишинг — метод, который заключается в том, что злоумышленники, используя телефонную коммуникацию и, играя определенную роль (сотрудника банка, покупателя и т.д.), под разными предлогами выманивают у держателя платежной карточки конфиденциальную информацию или стимулируют его к совершению каких-то действий со своим счетом или банковской платежной карточкой. 

Взлом социальных сетей — взламывается страница пользователя и от его имени идут сообщения его друзьям, чаще всего с просьбой «скинь денег на карточку». Тот, кого взломали, может понять об этом, когда не сможет войти в свой аккаунт, ведь пароль уже изменен.

СМС-атаки — мошенник создает фейковый аккаунт в социальных сетях либо регистрируется, к примеру, в Viber, с симкарты, которая оформлена не на его. Далее высылает объявление: «Помогите на лечение ребенку», размещая фото и реквизиты. Если это действительно реальный человек, то реквизиты легко проверяются. Но, к сожалению, люди не часто проверяют такую информацию.

Претекстинг — набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон, электронная почта и т. п. Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника, должность, название проектов, с которыми он работает, дату рождения). Используя такую информацию, он входит в доверие и получает необходимые ему данные.

Кви про кво (в английском языке это выражение обычно используется в значении «услуга за услугу») — злоумышленник представляется, например, сотрудником технической поддержки и информирует о возникновении каких-то проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое вредоносное программное обеспечение на компьютере жертвы. Эта техника предполагает обращение злоумышленника к пользователю, как правило, по электронной почте или корпоративному телефону.

Обратная социальная инженерия — создается такая ситуация, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, мошенник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.

Методов мошенничества, которые используют социальную инженерию, – множество. Перечисленные – это всего лишь их часть. Самые распространенные для нашей страны – фишинг, взлом социальных сетей и вишинг.

Главный способ защиты от мошенников, использующих методы социальной инженерии, это проявление бдительности и осторожности. Поэтому предлагаем «на зубок» запомнить следующие правила безопасности:

• Не открывайте вложения электронной почты, отправленные с неизвестных ресурсов.
• При разговоре по телефону с незнакомым человеком следует быть внимательным и принимать какие-либо решения обдуманно.
• Не используйте логины и пароли и другую конфиденциальную информацию, если вы подозреваете что ваш компьютер заражен.
• Не соглашайтесь на загрузку, предлагаемую неизвестным програмным обеспечением.
• Не переходите по ссылкам из электронной почты.
• Не сообщайте реквизиты своей банковской платежной карточки, коды безопасности и другие личные данные незнакомцам ни при каких условиях.
• Остерегайтесь любых не известных предложений помощи.
• Регулярно проверяйте ваш компьютер на вирусы.

Повышайте свой уровень финансовой грамотности, чтобы обезопасить себя и идти в ногу со временем.

Социальная инженерия (социология) — это… Что такое Социальная инженерия (социология)?

Социальная инженерия — это совокупность подходов прикладных социальных наук, которые ориентированы на целенаправленное изменение организационных структур, определяющих человеческое поведение и обеспечивающих контроль за ним.

На становление и развитие социальной инженерии существенное влияние оказали психология, прикладная антропология, управленческие науки, а в настоящее время синергетика и социальная синергетика — наука о самоорганизации общества, которая определяет условия и факторы устойчивого развития общества. Многие исследователи приходят к выводу, что социально-инженерный подход к управлению производит третий фактор, в котором разрешаются противоречия отношений объекта и субъекта управления. Объект социальной инженерии перестает быть лишь средством реализации социальных программ, разработанных экспертами, и сам становится субъектом. Формируется тринитарный подход управление — соуправление — самоуправление. Социально-инженерный подход превращает управление в интерактивный процесс, а задачей социальных инженеров становится создание условий для раскрытия внутреннего потенциала социальной системы. Специалисты в области социальной инженерии занимаются социальными проблемами на производстве и в сфере взаимодействия с общественностью. Главным отличием социального инженера от узкого специалиста является методологическая и технологическая широта подготовки.

История

В западной социологии социоинженерная деятельность была подробно рассмотрена К. Поппером в работах «Нищета историцизма» (1945) и «Открытое общество» (1945). Социальную инженерию он рассматривал как совокупность подходов прикладной социологии, направленных на рациональное изменение социальных систем на основе фундаментальных знаний об обществе и предсказании возможных результатов преобразований. Социальная инженерия зародилась и получила наиболее широкое развитие в США. В послевоенный период мотивы социальной инженерии стали широко применяться в авиационной и оборонной промышленности Америки, а также в прикладных научных областях: индустриальной социологии, военной социологии, исследованиях пропаганды и коммуникаций, групповой динамики. До 1949 г. в стране действовала одна научная группа по социальной инженерии, к середине 60-х гг. их насчитывалось уже более 130. В настоящее время часть специалистов по социальной инженерии работает в сфере частного бизнеса. При университетах и колледжах США действуют курсы подготовки по социальной инженерии. В России социальная инженерия долгое время находилась в тени идеологических стереотипов. Социальное прогнозное проектирование, стратегическое планирование, социальная инноватика, игровое моделирование — названия, за которыми скрывалось содержание социоинженерной деятельности. В 1980-е годы социальная инженерия пережила период полноценного раскрытия – на предприятиях формировались исследовательские группы, организовывались масштабные исследовательские проекты. Социоинженерный подход используются в сфере Public Relations, когда необходимо определить технологию коррекции социальных установок, выявить механизмы формирования общественного мнения. Полученные в ходе исследований результаты оформляются в научном отчете в виде процентных распределений, эмпирических закономерностей и обобщаются в систему практических рекомендаций по улучшению политики в сфере трудовых отношений.

Процедуры

Современный социоинженерный подход позволяет изменить социальную действительность на основе методов планирования, программирования, предвидения и прогнозирования. Социоинженерная деятельность включает в себя следующие процедуры:

• оценка состояния объекта социоинженерной деятельности;
• прогнозирование наиболее вероятных вариантов развития внутренней и внешней среды объекта прогноза;
• моделирование будущего состояния объекта исследования с использованием математических, кибернетических, прогностических и других методов;
• разработка социального проекта нового состояния исследуемого объекта;
• социальное планирование в соответствии с социальным проектом;
• осуществление проекта с помощью инновационных социальных технологий.

Направления

Современная отечественная социальная инженерия развивается по следующим направлениям :

• социетальное — строительство социальных институтов: государственное строительство, создание модернизированной системы образования, здравоохранения и т.п.;
• региональное — формирование региональных сообществ;
• муниципальное — формирование местных сообществ;
• организационное — строительство организаций;
• направление групповой инженерии — формирование целевых групп и команд.

Литература

• Резник Ю.М. Социальная инженерия: предметная область и границы применения// Социологические исследования, 1994, № 2.
• Социальная инженерия // Современная западная социология: Словарь. М., 1990.
• Социальная инженерия. Курс лекций // Под ред. Резника Ю.М., Щербины В.В. М., 1994.
• Антонюк Г.А. Социальное проектирование и управление общественным развитием. Минск: Наука и техника, 1936.

См. также

Что такое социальная инженерия? | 10Guards

Социальная инженерия — это искусство манипуляции, влияния или обмана с целью получения контроля над вашей компьютерной системой. Хакер может использовать телефон, электронную почту, почтовую переписку или прямой контакт для получения незаконного доступа. Примерами могут служить фишинг, целевой фишинг и атаки с использованием корпоративной электронной почты.

Кто же промышляет социальной инженерией? Это может быть хакер из США, который хочет нанести ущерб или разладить работу какого-то предприятия. Это может быть член киберпреступной группировки из Восточной Европы, который пытается проникнуть в вашу сеть и украсть деньги с вашего банковского счета. Или это может быть китайский хакер, который пытается проникнуть в сеть вашей организации с целью корпоративного шпионажа.

 

10 ТЕХНИК СОЦИНЖЕНЕРИИ, КОТОРЫЕ ИСПОЛЬЗУЮТ ХАКЕРЫ

 

Претекстинг

Придуманный сценарий используется для привлечения потенциальной жертвы, чтобы попытаться увеличить вероятность того, что жертва клюнет. Это ложный мотив, который обычно включает некоторые реальные сведения о жертве, в попытке получить еще больше информации. Например, дату рождения, идентификационный код, адрес проживания.

 

Диверсионная кража

Мошенничество, которое осуществляется профессиональными ворами и обычно направленное на транспортную или курьерскую компанию. Цель состоит в том, чтобы обмануть компанию и заставить ее доставить груз не по назначению, а прямо в руки злоумышленника.

 

Фишинг

Попытка получить конфиденциальную информацию, такую как имена пользователей, пароли и данные кредитных карт, маскируясь под известную организацию. Обычно злоумышленники используют цепляющую внимание электронную почту, которая обходит спам-фильтры. В письмах они выдают себя за представителей популярных социальных сайтов, банков, аукционов или IT-администраторов. Это вызывает доверие у людей и заманивает в сети.

 

Целевой фишинг

Небольшая, целенаправленная атака по электронной почте на конкретного человека или организацию с целью пробить их защиту. Атака spear phishing проводится после изучения цели и имеет особый персонализированный компонент, который подталкивает цель сделать что-то против ее же интересов.

 

Атаки watering hole

Это стратегия компьютерной атаки, при которой злоумышленник исследует, какие веб-сайты часто использует организация/человек, и заражает их них вредоносным ПО. Со временем один или несколько членов целевой группы заражаются сами, и злоумышленник получает доступ к защищенным системам.

 

Бэйтинг

В этом случае злоумышленник подбрасывает что-либо жертве, чтобы она начала действовать. Это может быть сайт одноранговой или социальной сети в виде загрузки (порно) фильма или USB-накопитель с надписью «План увольнения Q1», оставленный в общественном месте, чтобы жертва нашла его. После использования устройства или загрузки вредоносного файла компьютер жертвы заражается, что позволяет преступнику завладеть сетью.

 

Quid Pro Quo

В переводе с латыни означает «что-то за что-то», в данном случае это выгода для жертвы в обмен на информацию. Хороший пример – хакеры, выдающие себя за службу ИТ-поддержки. Они будут звонить всем, кого смогут найти в компании, и говорить, что у них есть быстрое решение, и «вам просто нужно отключить ваш AV». Любой, кто на это купится, получит вредоносное ПО типа ransomware, установленное на его компьютере.

 

Преследование

Метод, используемый социальными инженерами для получения доступа в здание или другую защищенную зону. Наблюдатель ждет, пока авторизованный пользователь откроет и пройдет через защищенный вход, а затем следует прямо за ним.

 

Медовая ловушка

Уловка, которая заставляет мужчин взаимодействовать с вымышленной привлекательной женщиной в Интернете. Пошло от старой шпионской тактики, в которой использовалась настоящая женщина.

 

Обман

Техника также известна как Rogue Scanner, rogue anti-spyware, rogue anti-malware или scareware, rogue security software — это форма компьютерного вредоносного ПО, которое обманывает или вводит в заблуждение пользователей, заставляя их платить за поддельное или имитированное удаление вредоносного ПО. В последние годы мошеннические программы безопасности стали растущей и серьезной угрозой безопасности компьютеров. Оно очень популярно, и существуют буквально десятки таких программ.

 

Источник: knowbe4

Телефонное мошенничество

Самое слабое звено защиты любой системы — сами пользователи. Социальная инженерия пытается использовать присущие людям слабости, напр. торопливость, алчность, альтруизм или страх перед официальным учреждением, в целях получения конфиденциальной информации и последующего доступа в систему.

Социальная Инженерия (СИ) – это совокупность способов психологического воздействия на поведение человека с целью получения выгоды — личной информации, денежных средств и т.д

Существует множество разнообразных техник социальной инженерии, но их объединяет одно: в основе лежат когнитивные искажения, то есть человеческая глупость и невнимательность. Самыми распространёнными способами использования мошенниками социальной инженерии являются:

• Фишинг
• Претекстинг
• Троянские вирусы
• Мошенничество с использованием брендов известных корпораций
• Мошенничество в соц. сетях и т.д

Фишинг – это вид интернет-мошенничества, целью которого является получение доступа к персональным данным пользователей. Это самая популярная схема социальной инженерии на сегодняшний день.

Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, предшествующих ей. Наиболее ярким примером такой атаки может служить сообщение, отправленное жертве по электронной почте и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий.

Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную и содержащую форму, требующую ввести конфиденциальную информацию.

Претекстинг – это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону.

Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований, как: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется через телефон или электронную почту.

Троянские вирусы — это техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Мошенничество с использованием брендов известных корпораций — в таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний.

В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учётные данные или привязать карту к учётной записи для участия.

Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.

Пандемия и социальная инженерия. Что изменилось и как противодействовать?

Социальная инженерия — манипулирование поведением людей с целью совершения ими определенных действий, в том числе разглашение конфиденциальной информации, установка вредоносного программного обеспечения, результат — хищение денежных средств. Социальная инженерия известна с библейских времен: змий обещал Еве, что если вкусить запретный плод, то люди станут равными Богу, на самом же деле люди были изгнаны из рая. Змий — тот самый социальный инженер, который путем обмана добился желаемых для себя действий со стороны людей. Меняются технологии, мы живем в эпоху цифровизации, но люди не меняются, пороки и слабости остаются, к сожалению, прежние. Так что же заставляет людей верить мошенникам? И как на потенциальных жертв повлияла пандемия?

Журнал «ПЛАС» благодарит экспертов, принявших участие в подготовке данного материала – прежде всего Николая Пятиизбянцева, а также Алексея Голенищева, Александра Вураско, Наталью Савенко и многих других, включая Елизавету Стуканову.

Как утверждает гештальт-­психолог Наталья Савенко, общим для всех кризисов является ощущение дезадаптации, и пандемия COVID‑19 не исключение. Во время пандемии и карантина меняется привычная окружающая среда, стратегии поведения, система планирования (отпуск, учеба, бюджет, способы передвижения). Психика человека приходит в стрессовое состояние, и запускаются адаптационные процессы. Организм использует резервы, которые в норме не задействованы, когнитивные функции становятся обслуживающими и реагируют на эмоциональное состояние, поэтому память и внимание на ­какой-то период времени ухудшаются. Как следствие, повышенная подверженность влиянию мошенников. То есть если в норме человек не склонен верить в «подозрительные транзакции», о которых сообщают с незнакомого номера, в состоянии стресса тревожность побеждает, и человек становится жертвой.

Во время пандемии появились новые схемы, связанные с новыми событиями и процессами, — получение пропусков, пособий, штрафы за нарушение карантина, продажа средств защиты и т. п. По данным отчета компании Positive Technologies «Актуальные киберугрозы: II квартал 2020 года», тема COVID‑19 была затронута в 16% атак с использованием методов социальной инженерии, 36% таких атак не были привязаны к конкретной отрасли (в качестве целей предполагали широкий круг лиц), 32% атак были направлены против частных лиц.

Во время карантина и удаленной работы появились новые факторы, которые службам безопасности банков приходится учитывать: обработка клиентских документов на домашних компьютерах, использование плохо защищенного домашнего интернета и незащищенных каналов связи (Skype, ZOOM). Как утверждает Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-­Банка, «очевидно, что при работе в удаленном режиме с конфиденциальными данными у недобросовестного работника больше возможностей для различных злоупотреблений, чем на рабочем месте в офисе, где есть и системы видеонаблюдения, и коллеги. Так, например, некоторые компании организовывают удаленный доступ таким образом, что при этом принудительно подключается видеокамера домашнего компьютера сотрудника, фиксирующая все его действия в период удаленной работы в корпоративной сети.

Также могут возникать риски, связанные с недостаточной защищенностью каналов связи с корпоративной сетью, и т. п.

Александр Вураско, ведущий аналитик INFOSECURITY, отмечает, что сейчас наблюдается увеличение фишинговых атак на корпоративных клиентов банков. Фишинговые сайты нацелены на компрометацию ДБО, малый и средний бизнес, и чаще всего мошенники предлагают скачать банковский троян. Произошел всплеск атак на банки из первой «двадцатки», а под клиентов шести-семи основных банков даже появились универсальные скрипты. Активизировались и мошенники, нацеленные преимущественно на физических лиц, причем, по данным Александра Вураско, чаще всего это теплые звонки. Безусловно, отрицательную роль в этой цепочке играют многочисленные утечки клиентских данных как из самих банков, так и из служб доставки. В даркнете продается много конфиденциальной информации, вплоть до выписок со счетов, и владение такой «закрытой» информацией заставляет жертв думать, что они действительно разговаривают с представителем банка.

Во время пандемии появились новые схемы мошенничества, связанные с новыми событиями и процессами

По информации Генеральной прокуратуры РФ, в связи с пандемией существенно возросло количество фейков в интернете. В органы прокуратуры поступило свыше 340 уведомлений о распространении недостоверной информации. В целях ее блокировки в Роскомнадзор направлено 153 требования (в аналогичном периоде 2019 г. — 6 требований). В целом за полугодие по итогам рассмотрения 219 требований заблокировано свыше 4 тыс. сайтов, с более чем 25 тыс. ресурсов противоправные сообщения удалены^[1].

Несмотря на разнообразие приемов, технически и технологически все эти схемы базируются на старых методах манипулирования поведением людей.

Однако помимо чисто человеческих психологических факторов значительную роль в успешных действиях мошенников стали играть и технологические. Человек все больше и больше погружается в цифровой мир. Это позволяет злоумышленникам автоматизировать атаки, делать их массовыми, что приносит результативность (прибыль) даже при низкой эффективности (примером может служить фишинг — рассылка электронных сообщений, содержащих информацию, убеждающую пользователя посетить ложный веб-сайт, на котором предлагается ввести конфиденциальные данные или загрузить вредоносное программное обеспечение).

С другой стороны, проявляется эффект так называемой дистанционной вой­ны — когда солдат не видит лицо противника, легче убивать, в нашем случае — совершать преступление, например, похитить деньги у пенсионера.

В отличие от мошенников («хакеров»), большинство людей не готовы к безопасной жизни в цифровом мире. Если в обычной жизни детей учат основам безопасности: не разговаривать с незнакомцами, не открывать чужим дверь, то в цифровой сфере многие взрослые не знают или не понимают, что является угрозой и несет опасность.

Например, насколько опасно жаловаться на публичных сайтах, например, в социальных сетях, на действия банков?

Клиент банка ПАО «Почта Банк» обратилась с претензией (жалобой) на официальный сайт банка, но быстрого ответа не получила. Тогда она зашла на сайт Банки.ру, где сформировала свой профиль и задала вопрос специалисту банка, после чего ей на электронную почту пришло сообщение, в котором предлагалось дополнительно сообщить номер счета, дату рождения, номера мобильного телефона и сформированного запроса, информационное письмо предлагалось отправить на указанный электронный адрес, что она и сделала. В дальнейшем на ее телефон пришло SMS-сообщение, в котором было указано, что с ней якобы общается специалист банка В., которая указала, что от нее не поступает подтверждение. Кроме того, клиенту приходили SMS-сообщения о том, что истек тайм-аут подтверждения. В этот же момент от ПАО «Почта Банк» ей приходили сообщения о том, что она регистрируется в Почта Банк онлайн, а также о том, что для завершения операции по переводу денег ей нужно позвонить по указанному номеру. Потерпевшая позвонила по этому номеру, но, не дождавшись ответа, снова написала В. о том, что ей приходят SMS-сообщения с просьбой подтвердить операцию. В. ответила, что операция отменена, в банке обновление процессинговых систем, возможны перебои, и на SMS не нужно обращать внимание, что она и сделала. Таким образом, от имени банка с клиентом общались мошенники, которые получили от нее конфиденциальную информацию и похитили денежные средства. Клиент обратилась в суд. Нерехтский районный суд Костромской области (дело № 2‑654/2019) в удовлетворении иска Ивакиной И. Н. к ПАО «Почта Банк» о защите прав потребителей отказал.

Закономерно возникает вопрос о путях решения проблемы социальной инженерии и стабилизации ситуации с мошенничеством, распространившимся во время пандемии. Как говорят эксперты, эффективной системы противодействия сейчас не существует, и пандемия лишь ярче это продемонстрировала. Правоохранительные органы с неохотой берутся за дела, связанные с социальной инженерией, ведь в сфере онлайн неясно, кого преследовать и как искать преступников. Фиксируется высокая латентность и низкая раскрываемость таких преступлений, поэтому о ­какой-либо стабилизации говорить пока еще рано.

Алексей Голенищев считает, что реальное противодействие оказывать можно, причем эффективнее всего оно было бы на нескольких уровнях: техническом, образовательно-­организационном и на уровне мониторинга. Задача технического противодействия заключается в том, чтобы даже если клиент «повелся» на уговоры преступника, использующего методы социальной инженерии, то он технически не смог бы перевести деньги мошенникам. Это вводится путем «утяжеления» продукта, вводом дополнительных средств аутентификации, помимо привычных SMS-уведомлений с кодами авторизации. Идеально было бы, если подтвердить операцию можно было только из приложения в своем телефоне, добавить дополнительные ключи. Или использовать биометрию, или задействовать анализ самого пользовательского устройства… Банки же на это идут не всегда охотно, так как это утяжеляет продукт и делает его менее «юзабильным», — считает Алексей Голенищев.

Противодействие на образовательно-­организационном уровне может представлять собой работу популярных телевизионных программ со своей аудиторией: демонстрировать сюжеты, которые помогали бы телезрителям распознать мошенников в реальной жизни. Хорошие мониторинговые системы помогали бы структурам уже на выходе. Именно фрод-мониторинг оценивает риски и следит за появлением потенциально опасных ресурсов. Банки могли бы заранее учитывать факт регистрации подобных сайтов и сразу же принимать меры.

Сегодня наблюдается положительная динамика, как минимум в сфере информирования граждан: это и образовательный канал в приложении Сбербанка «Осторожно, мошенники», и рекламная кампания Альфа-­Банка, стилизованная под мошенническую, и статьи в официальном аккаунте Тинькофф журнала в Инстаграме. Даже в московском метро крутят рекламный ролик о рисках социальной инженерии и методах противодействия!

Возникает вопрос, кто же должен заниматься финансовой грамотностью граждан? Наши внешние эксперты считают, что это общая задача как банков, так и государства.

Некоторое время назад Банк России начал заниматься повышением уровня финансовой грамотности граждан, выпустил курс онлайн-­уроков, задачник для школьников и методические материалы по финансовой грамотности для начальных классов. Однако дальше рекомендательного характера это не пошло, так как целевую аудиторию стали делить на группы, чтобы каждому в соответствии с группой преподнести нужную информацию. В результате широкого распространения такой образовательный процесс не получил.

Необходимо вводить обучение в школьные программы: финансовая и киберграмотность. Нужна социальная реклама на улице, в метро, на телевидении. Банки по мере своих сил и возможностей, в том числе финансовых, пытаются донести информацию до клиентов. Выпускают памятки, рекомендации, направляют SMS-сообщения. Но этого явно недостаточно. Более действенны интерактивные ролики и рекламы, когда человек понимает, что мог оказаться в шаге от потери финансовых средств. Например, для клиентов Альфа-­Банка запустили рекламную кампанию с фальшивыми объявлениями о выплатах. Стиль и дизайн объявлений были максимально точно приближены к мошенническим, и когда спровоцированный клиент в теории мог бы уже потерять деньги, имей он дело с настоящими мошенниками, на его экране высвечивалось обращение от команды Альфа-­Банка. В первую же неделю на эту «рекламу» попалось более двадцати тысяч человек.

Делать ставку только на финансовую грамотность — все равно что в борьбе с уличной преступностью обучать население самбо

Однако делать ставку только на финансовую грамотность населения — это все равно что в борьбе с уличной преступностью обучать население приемам самообороны. Без пресечения преступных действий правоохранительными органами это не даст желаемого результата. Преступники всегда будут более подготовлены и технически вооружены. К сожалению, эффективность правоохранителей в данном направлении на сегодняшний день оставляет желать лучшего. В приведенном примере с «Почта Банком» по факту хищения клиент обращалась с заявлением в полицию. Но по итогам проверки было вынесено постановление об отказе в возбуждении уголовного дела в связи с отсутствием в действиях неустановленного лица события преступления, предусмотренного Особенной частью УК РФ. Полиция посчитала, что отсутствует сам факт общественно опасного деяния. То есть, несмотря на то, что денежные средства похитили, полиция не увидела в этом преступления и искать мошенников не стала.

Неэффективность правоохранительной системы по раскрытию такого вида преступлений также способствует расцвету киберпреступности.

17 июля 2020 года под председательством Генерального прокурора Российской Федерации Игоря Краснова состоялось заседание Координационного совещания руководителей правоохранительных органов Российской Федерации по вопросу «О состоянии работы правоохранительных и контролирующих органов по предупреждению, выявлению, пресечению и расследованию преступлений, связанных с посягательствами на безопасность в сфере использования информационно-­коммуникационных технологий, включая критическую информационную инфраструктуру Российской Федерации». Участники совещания обсудили следующие факты.

За последние 5 лет число преступлений, совершенных с использованием информационно-­коммуникационных технологий, возросло в 25 раз (с 11 до 294 тыс. в 2019 году). При этом их раскрываемость составила всего 25%. В первом полугодии 2020 года негативная тенденция лишь усилилась. Зафиксирован рост на 92% (225 тыс.). Генеральный прокурор Российской Федерации обратил внимание участников совещания на ежегодный рост компьютерных атак, организаторы которых нередко используют инфраструктуру иностранных государств для попыток взлома информационных систем российских государственных органов, корпораций, крупных банков. Бесконтактный и быстрый способ совершения таких преступлений делает общество все более уязвимым перед новыми вызовами. При этом правоохранительные органы зачастую оказываются к ним неготовыми. Низкая выявляемость и раскрываемость киберпреступлений порождает безнаказанность и чувство вседозволенности, хотя возможности противостоять новым угрозам у правоохранителей имеются.

Необходимость мер по совершенствованию системы профилактики и раннего выявления преступлений, совершенных с использованием ИТ-технологий и компьютерной информации, поставила ряд конкретных задач:

1. 1. Проанализировать эффективность взаимодействия оперативных служб с центрами реагирования на инциденты в сфере информационной безопасности. Проработать вопрос о возможности создания автоматизированных поисковых систем, в том числе на базе уже существующих, путем расширения функционала по предупреждению и пресечению киберпреступности, а также их интеграции с другими базами данных.
2. 2. Кардинально изменить подходы к организации оперативно-­разыскной деятельности и предварительного расследования таких фактов.
   Учитывая специфику их выявления, стремительное распространение криминального использования виртуальных активов, компьютерных атак на критическую информационную инфраструктуру государства, необходимо внедрять специализацию сотрудников, осуществлять их профессиональный отбор, добиваться устойчивого повышения раскрываемости преступлений.
3. 3. Обеспечивать максимально тесное взаимодействие прокуроров, сотрудников оперативных, в том числе технических, служб и органов следствия на всех стадиях выявления данных посягательств и осуществления уголовного преследования виновных лиц, комплексно развивать систему экспертного сопровождения.
4. 4. Учитывая трансграничный характер киберпреступлений, необходимо более эффективного использовать возможности специализированных сетей правоохранительных органов, международного полицейского взаимодействия и сотрудничества в порядке уголовного судопроизводства^[2].

Как в приведенном выше случае, сотрудники правоохранительных органов способствуют латентности преступлений, поскольку не хотят возбуждать и расследовать уголовные дела. На коллегии в Генеральной прокуратуре России на тему «Об итогах работы органов прокуратуры в первом полугодии 2020 г. и о задачах по повышению эффективности прокурорской деятельности на второе полугодие 2020 г.» было указано, что на досудебной стадии уголовного судопроизводства выявлено 2,8 млн. нарушений, почти две трети из которых — при приеме, регистрации и рассмотрении сообщений о преступлениях. В целях устранения нарушений внесено 240 тыс. актов реагирования, 117 тыс. должностных лиц органов дознания и предварительного следствия привлечены к дисциплинарной ответственности^[3].

Не секрет, что социальные инженеры в виде криминальных call-центров зачастую работают непосредственно в местах лишения свободы.

Так, сотрудниками североосетинской полиции доказана причастность к преступной деятельности 41‑летнего заключенного исправительной колонии № 1 города Тюмени. С целью незаконного обогащения злоумышленник разработал схему преступной деятельности, согласно которой совершал звонки ранее незнакомым ему людям и представлялся их родственником, попавшим в беду. Далее в ходе телефонного разговора, представляясь сотрудником полиции и работником прокуратуры, которые могут помочь в решении возникших проблем у их родственников, злоумышленник вводил людей в заблуждение и за непривлечение родственников «жертв» к уголовной ответственности требовал немедленно перевести денежную сумму, которая варьировалась от 50 тыс. до 155 тыс. руб­лей. Мужчина звонил с мобильного телефона, постоянно меняя абонентские номера, называл реальные имена и фамилии родственников потерпевших, чем располагал к себе жертву. Восемь обманутых жителей Моздокского района Северной Осетии перевели подозреваемому требуемую сумму посредством электронной платежной системы. В результате оперативно-­разыскных мероприятий были установлены подставные лица, на счета которых переводились денежные средства^[4].

Возникают вопросы: как, находясь в исправительной колонии, можно звонить с мобильного телефона, постоянно меняя абонентские номера, называть реальные имена (откуда информация?), контролировать счета подставных лиц (где деньги)? Неужели за всем этим стоит только один человек, который привлечен к уголовной ответственности? К­ак-то не верится — по всем приметам это явно хорошо организованный криминальный бизнес.

И практика это только подтверждает. По сообщению прокуратуры, 4 августа 2020 года Донской городской суд Тульской области вынес приговор по уголовному делу в отношении 23‑летнего бывшего сотрудника системы ФСИН. Сотрудник ФСИН в период с сентября 2019 по апрель 2020 года приобретал за денежные средства осужденных SIM-карты сотовых операторов и мобильные телефоны и проносил их в режимное учреждение для передачи заключенным. За это он получал денежное вознаграждение. Суд приговорил его к 5 годам и 6 месяцам лишения свободы^[5].

А ведь ­кто-то еще должен поставлять информацию о потенциальных жертвах и выводить похищенные средства!

Помимо неэффективной работы правоохранительных органов помогают мошенникам и современные технологии, и конкурентная борьба банков за удобство использования своих технологий (usability). Не секрет, что чем безопаснее система, тем сложнее ею пользоваться. Поэтому банки зачастую жертвуют вопросами безопасности, желая предоставить клиентам более дружественный продукт.

Например, многие банки используют интерактивное голосовое меню (IVR). Клиент звонит в банк, по номеру телефона система его узнает и запрашивает некоторые услуги, допустим, узнает остаток на банковской карте. Казалось бы, очень удобно и клиентоориентированно. Но с развитием вишинга (мошенничество с помощью голосовой телефонии) появилась возможность просто и недорого осуществить звонок с подменой исходящего номера. В результате мошенник, зная только номер телефона, может установить: ФИО человека и какой баланс находится у него на карте (картах). После этого, перезвонив в банк с официального банковского номера, также подмененного, убедить клиента, что звонивший является сотрудником банка и пытается остановить мошеннический перевод денежных средств, преступнику становится значительно легче. Кстати, звонки с подменой номеров используют не только банковские мошенники, но и спецслужбы при проведении своих операций. Как в случае пресловутого задержания «военных ЧВК» в Белорусии.

Другой пример: Сервис быстрых платежей. Очень удобная, быстрая, недорогая технология перевода денежных средств по номеру телефона. Но с ее помощью по номеру телефона легко узнать имя, отчество владельца и в каком банке у него счет. Далее следует звонок от «службы безопасности» банка, перед этим, возможно, преступник узнает дополнительную информацию по IVR.

Усилить эффект звонка от имени банка, чтобы убедить клиента о попытке хищения денежных средств, позволяет схема получения кредита через сайт банка. Мошенник заходит на сайт, оформляет заявку на кредит, вводит телефон жертвы. Банк направляет на данный телефон SMS с кодом для подтверждения заявки. После этого клиенту звонит мошенник и сообщает, что ­кто-то пытается получить от его имени кредит. Так как клиент заявку на кредит не подавал, то необходимо ее отменить, для этого нужно сообщить код из новой SMS. На самом же деле это уже будет подтверждение мошеннической операции.

Чем больше мошенник знает о человеке, тем легче его обмануть. Помимо того что современный человек в большом количестве оставляет свои персональные данные в различных местах, например, ФИО, номер телефона, паспорта (карты магазинов, предприятий услуг, сервисных центров, фитнес-­клубов, туристические компании, гостиницы и пр.), все эти данные обрабатываются в электронном виде, и постоянно происходят взломы и утечки информации. Предоставление банковских услуг тоже предполагает возможность доступа к информации не только банков, но и третьих лиц. Например, человек запрашивает в банке кредит, банк проверяет о нем информацию в бюро кредитных историй. Об этом может стать известно и другим банкам, сотрудники которых будут звонить с аналогичными предложениями. Но на момент запроса, пока кредит не выдан, такой человек не является клиентом банка, и информация о нем не будет банковской тайной. В случае предоставления кредита часто дополнительной услугой является страхование (это снижает кредитную ставку). В этом случае сведения о клиенте передаются страховым компаниям. Как у них обрабатывается информация, надежно ли она защищена, банки, как правило, не контролируют.

Телефон сейчас играет очень большую роль в жизни людей не только как средство коммуникации, но и как средство идентификации и/или аутентификации. Мошенники это также активно используют, начиная от замены SIM-карт и заканчивая взломом личного кабинета у оператора связи и перенаправлением звонков. Или устанавливают на телефоны программное обеспечение для удаленного доступа, причем используют с этой целью не только вредоносное, но и вполне легальное ПО.

С подобными проблемами столкнулись не только на российском рынке, но и по всему миру. Международные платежные системы Visa и Mastercard выпускали информационные сообщения об активизации использования мошенниками темы пандемии, причем, как говорит Алексей Голенищев, если раньше проблема социальной инженерии и мошенничества в меньшей степени касалась европейского рынка, то сегодня обсуждением вопроса возросших объемов социальной инженерии занимаются на Mastercard Europe Fraud Advisory Council.

Федеральное бюро расследований (FBI) и Агентство по обеспечению кибербезопасности и безопасности инфраструктуры (CISA) 20 августа 2020 года выпустили совместное предупреждение: пандемия COVID‑19 привела к массовому переходу на работу из дома, что обусловило более широкое использование корпоративных виртуальных частных сетей (VPN), в середине июля 2020 года киберпреступники начали кампанию вишинга — с целью получения доступа к инструментам сотрудников.

Пандемия продолжается, а это значит, что активность мошенников будет только нарастать

Многие считают, что мир ждет вторая, а может, даже и третья волна заболеваний COVID‑19, а это значит, что активность мошенников будет только нарастать. Из всего того, что банковские структуры увидели за период с марта по август 2020 года, можно сделать вывод, что самые нужные качества — адаптивность и умение трезво анализировать ситуацию. Угадать, откуда придет следующий вызов, невозможно, поэтому службы безопасности должны постоянно мониторить как внешние угрозы, так и внутренние. Быть гибкими, выявлять и пресекать нарушения, проводить профилактику. Рост мошенничества приводит к усилению мер и средств безопасности со стороны банков. А это, в свою очередь, снижает удобство и доступность банковских услуг. Чем безопаснее продукт, тем сложнее им пользоваться. Человек легко может запомнить простой и короткий пароль, а сложный и длинный, вероятно, уже запишет, тем самым подвергаясь риску его компрометации.

Таковы выводы наших экспертов о реальной ситуации с социальной инженерией на российском рынке и тех направлениях, которые требуют серьезной и масштабной работы по противодействию деятельности криминала — как от участников рынка, так и от законодательной и исполнительной власти, включая, конечно же, правоохранительные органы. Серьезность этой проблемы особенно заметна, если вспомнить о курсе на цифровизацию, взятом российским государством. Именно о нем напомнил всей государственной машине и кредитно-­финансовой системе страны не кто иной, как президент Российской Федерации Владимир Путин в своем выступлении 27 августа 2020 года. Без сомнения, уже в ближайшем будущем он поручит проверить исполнение взятого курса. Поэтому остается лишь пожелать всем нам успехов на этом пути. За работу, коллеги!

как не попасться в ловушку кибермошенников — РБК

По словам экспертов, самыми популярными способами использования социальной инженерии являются выманивание у клиентов данных по банковскому счету/карте или заражение компьютера вредоносными программами с целью завладеть данными о счетах и картах. РБК разбирался, как можно избежать опасности.

Выманивание данных и денег

Читайте на РБК Pro

Мошенники быстро адаптируются к появлению новых сервисов на банковском рынке, отмечает Владимир Бакулин. Например, СМС типа: «Мама, я попал в аварию. Положи на счет номер… денег, потом расскажу», с помощью которых раньше очень часто пытались выманить деньги, теряют популярность у мошенников. Сейчас в основном они нацелены на получение доступа к счетам и картам.

Как отмечает начальник отдела оперативного анализа банка «Хоум Кредит» Юрий Присмотров, часто мошенники благодаря использованию социальной инженерии узнают нужные им данные, представляясь сотрудниками банка либо просто пользуясь низкой финансовой грамотностью и доверчивостью клиентов. Например, они могут рассылать СМС с уведомлением о якобы произведенной блокировке карты и необходимостью позвонить по указанному номеру: «Ваша карта заблокирована, подробности по телефону xxxxxx».

«Вы звоните по этому номеру, и дальше оператор на том конце провода старается или вынудить вас сообщить информацию о ваших паспортных данных и платежных реквизитах, или вынудить вас пойти с вашей картой к банкомату и совершить действия, которыми вы сами отправляете злоумышленникам деньги», — рассказал Артем Сычев на странице Банка России в Facebook.

Хакеры замаскировали фишинговую атаку под рассылку о штрафах ГИБДД Технологии и медиа

Похожим проявлением социальной инженерии является звонок клиенту под видом сотрудников безопасности банков якобы с целью отмены подозрительных списаний, которые ошибочно совершаются сейчас по счету клиента, добавляет Владимир Бакулин. В этом случае злоумышленники также выманивают у клиентов одноразовые пароли из СМС и данные по счету/карте клиента.

Также мошенники могут искать клиентов, оставивших объявления о продаже на Avito и других открытых досках объявлений. Далее они представляются покупателями и выманивают данные по банковскому счету/карте и одноразовые коды подтверждения операций из поступающих клиенту СМС якобы для того, чтобы перевести оплату за продаваемый товар.

Либо, наоборот, мошенники представляются продавцами неких товаров или услуг, привлекая жертву низкой ценой. Они просят перевести им деньги с карты и затем, естественно, больше не появляются.

Вредоносные рассылки

Другой разновидностью мошенничеств с использованием социальной инженерии является рассылка электронных писем с вредоносным содержимым. Пользователи из любопытства открывают такие письма, давая кибермошенникам возможность получить доступ к информации о счетах и картах.

«Мошенники — очень изобретательные ребята, они делают рассылки разными способами. Например, вам приходит электронное письмо якобы от вашего контрагента с просьбой срочно посмотреть новую тарифную сетку. Мы наблюдаем такие письма, которые рассылаются от имени совершенно разных организаций: якобы от имени телеком-операторов, якобы от имени банков, других компаний, с которыми вы могли бы работать. Но цель письма одна — заставить вас открыть либо документ, который вложен в письмо, либо ссылку, и это приведет в любом случае к загрузке вредоносного программного обеспечения», — отметил Сычев.

Социальная инженерия может позволить кибермошенникам совершать такие противоправные действия не только в отношении частных лиц, но и финансовых организаций. Например, с помощью вредоносных рассылок преступники пытаются захватить контроль над компьютерами банков, через которые возможно совершать несанкционированные операции на крупные суммы.

Как указано в прошлогоднем отчете Центра мониторинга и реагирования на компьютерные атаки Банка России (FinCERT), в качестве отправителей таких писем банковским служащим могут быть указаны органы исполнительной власти, профильные интернет-форумы, организации — партнеры и клиенты и т.д., а в качестве содержания указываются требования со стороны органов исполнительной власти, оповещения об изменениях в нормативных актах, взыскание/погашение задолженности/штрафа, оплата услуг и другие темы.

Была зафиксирована даже рассылка таких писем от имени Банка России, отличительной чертой которых являлось наличие вложения с заголовком со словом «вакансия», при открытии которых происходило скачивание вредоносного программного обеспечения. «Многие пользователи открывали письма исключительно из любопытства, при этом осознанно включая макросы в Microsoft Word, которые «по умолчанию» обычно заблокированы», — отмечалось в обзоре.

В последнее время меняется и «целевая аудитория» кибермошенников. «К сожалению, вектор злоумышленников сейчас сместился в сторону граждан в возрасте до 40 лет. Эта категория излишне доверяет информационным технологиям. Причем нередко они не очень понимают, как эти технологии работают и что происходит», — рассказал Артем Сычев. Ранее на протяжении долгого периода самым привлекательным контингентом для злоумышленников были пожилые граждане, отметил специалист.

Как с этим бороться

Чтобы не попасться на удочку мошенников, использующих социальную инженерию, необходимо проявлять разумную бдительность и придерживаться довольно простых правил, отмечают эксперты.

Никогда и никому нельзя сообщать полученные пароли и кодовые слова, даже если те, кто с вами говорит, представляется сотрудником банка, говорит Владимир Бакулин. Никогда не сообщайте незнакомцам данные карты, имея которые можно осуществить списание средств, — номер банковской карты и CVC-код (есть на обратной стороне каждой карты) и другую аналогичную информацию.

«На платежной карте есть телефон контактного центра. Если у вас есть сомнения, что что-то не так с вашей картой, позвоните туда. Но ни в коем случае не звоните по тем телефонам, которые присылаются в таких сообщениях», — говорит Артем Сычев.

На просьбу дать взаймы, пополнить телефон, помочь на лечение и другие обращения в социальных сетях следует всегда, прежде чем переводить деньги, убедиться, что к вам действительно обращается тот человек, от имени которого поступает просьба.

При покупке товаров и услуг у незнакомых людей или на незнакомых интернет-ресурсах необходимо обращать внимание на форму оплаты. Если с вас требуют предоплату (частичную или полную), есть основания предполагать, что вы имеете дело с мошенниками.

Не следуйте просьбам перевести оплату за предоставляемые по привлекательной цене товар или услугу на банковскую карту продавца или его электронный кошелек, продолжает Бакулин. Если вы это сделаете, то вы никогда не докажете, что произвели оплату за несуществующий товар или сервис, или не сможете сдать товар, даже если его получите.

Также не следует доверять письмам с вложениями и ссылками, с уведомлением «о задолженности по налогам, кредитам» даже от «банков» и «госорганов». «Не открывайте вложения, не нажимайте на ссылки. Они могут быть заражены вирусами или предназначены для хищения ваших конфиденциальных данных», — предупреждает специалист. При получении такого письма следует позвонить по официальным телефонам учреждения и уточнить, действительно ли есть проблема.

«Лаборатория Касперского» создала всемирный бесплатный антивирус

Что касается вредоносных рассылок, гражданам необходимо придерживаться элементарных правил кибергигиены — использовать антивирусы, проявлять внимание к почтовым и СМС-сообщениям, не заходить на непонятные сайты, внимательно относиться к загружаемому программному обеспечению и т.д., отмечает Сычев. «Когда мы научимся соблюдать правила, мы можем говорить об абсолютно безопасном использовании любых финансовых технологий», — подчеркивает он.

Если злоумышленники все-таки украли деньги с карты, пострадавший может постараться вернуть потерянные средства, подав соответствующее заявление в банк. Ст. 9 закона «О национальной платежной системе» достаточно подробно описывает механизм возврата средств физических лиц, напоминает Сычев. Банк будет обязан либо вернуть деньги, либо представить доказательства, что он не может этого сделать, с объяснением причин.

«К сожалению, когда возникают споры с возвратом денег на карту, у банков и правоохранительных органов не всегда есть уверенность, что это не было специальное мошенничество со стороны владельца карты, направленное против банка. К счастью, таких случаев немного. Но в любом случае банк будет проверять, почему произошел тот или иной инцидент. Как правило, в рамках закона банк деньги будет возвращать», — сказал он.

Что такое Социальная Инженерия? | Binance Academy

В более широком смысле, любой вид манипуляции, связанный с психологией человеческого поведения, можно считать социальной инженерией. Однако сама концепция не всегда связана с преступной или мошеннической деятельностью. На самом деле, социальная инженерия широко используется и изучается в различных направлениях, в таких областях как: социальные науки, психология и маркетинг.

Когда дело доходит до кибербезопасности, социальная инженерия реализовывается в скрытых мотивах и относится к ряду злонамеренных действий, в виде манипуляций людской деятельностью, направленной на получение личной или конфиденциальной информации, которая впоследствии может быть использована против них или их компании. Мошенничество с использованием личных данных является распространенным следствием подобных атак и во многих случаях приводит к значительным финансовым потерям.

Социальная инженерия зачастую представляется как киберугроза, но этот концепт существует на протяжении длительного времени, и данный термин также может использоваться в отношении реальных мошеннических схем, которые обычно включают в себя выдачу себя за должностное лицо или IT-специалиста. Однако появление интернета значительно облегчило хакерам осуществление манипуляций в более широком масштабе, и к сожалению, эти злонамеренные действия также происходят в среде криптовалют.

Как это работает?

Все типы социальной инженерии опираются на слабые стороны человеческой психологии. Мошенники пользуются человеческими эмоциями, чтобы манипулировать и обманывать своих жертв. Людской страх, жадность, любопытство и даже готовность помогать другим, обращаются против них различными способами. Среди множества видов вредоносной социальной инженерии “фишинг”, безусловно является одним из наиболее распространенных и известных примеров.

Фишинг

Фишинговые имейлы часто имитируют почтовую рассылку от имени реальной компании, такой как сеть национальных банков, авторитетный интернет-магазин или email провайдер. В некоторых случаях эти электронные письма-клоны будут предупреждать пользователей о том, что их аккаунт нуждается в обновлении, либо проявляет необычную активность, требуя от них предоставления личной информации в качестве способа подтверждения своей личности, чтобы упорядочить аккаунт. Из-за страха, некоторые люди быстро переходят по ссылкам и оказываются на фальшивом веб-сайте, куда предоставляют необходимые злоумышленникам данные.

Лжеантивирус

Методы социальной инженерии также применяются для распространения так называемых Лжеантивирусов. Как уже следует из названия, лжеантивирус — это разновидность вредоносного ПО, разработанная для запугивания и шокирования пользователей. Как правило, это связано с уведомлением о ложных угрозах, которые пытаются обманом заставить жертву установить вредоносное программное обеспечение, которое на вид как официальное, или получить доступ к веб-сайту, который заражает их систему. Такая техника часто основывается на страхе пользователей подвергнуть риску свою систему, тем самым убеждая их нажать на веб-баннер или всплывающее окно. В сообщениях обычно говорится что-то вроде: “Ваша система заражена, нажмите здесь, чтобы устранить угрозу”.

Приманка

Приманка является еще одним методом социальной инженерии, который вызывает проблемы у многих невнимательных пользователей. Она включает в себя использование различных приманок для привлечения жертв основываясь на их жадности или любопытстве. Например, мошенники могут создать сайт, который предлагает что-то бесплатно, например: музыку, видео или книги. Но чтобы получить доступ к этим файлам, пользователям необходимо создать аккаунт, указав свою личную информацию. В некоторых случаях учетная запись не требуется, поскольку файлы напрямую заражены вредоносным ПО, которое проникает в компьютерную систему жертвы и собирает их конфиденциальные данные.

Такая схема также может произойти за рамками интернет серфинга, благодаря использованию USB-накопителей и внешних жестких дисков. Мошенники могут преднамеренно оставлять зараженные устройства в общедоступном месте, поэтому любой любопытный человек, который возьмет его, чтобы проверить содержимое, в конечном итоге заразит свой персональный компьютер.

Социальная инженерия и криптовалюты

Жадный менталитет может привести к довольно большим последствиям, когда речь заходит о финансовых рынках, делая трейдеров и инвесторов особенно уязвимыми для фишинговых атак, схем Понзи, пирамид и других видов мошенничества. В блокчейн индустрии волнение, которое вызывают криптовалюты, привлекает многих новичков в эту среду за относительно короткий период времени (особенно в период бычьего рынка).Несмотря на то, что многие люди не до конца понимают, как работает криптовалюта, они часто слышат о потенциалах этого рынка генерировать прибыль и в конечном итоге инвестировать без проведения соответствующих исследований. Социальная инженерия особенно важна для новичков, так как они часто попадают в ловушку собственной жадности или страха.С одной стороны, стремление новиков быстро получить прибыль и заработать легкие деньги в конечном итоге заставляет их преследовать ложные обещания о проведении giveaway и airdrop. С другой стороны, страх того, что их личные данные будут скомпрометированы, может побудить пользователей заплатить выкуп. В некоторых случаях реального заражения вирусом-вымогателем (aka. ransomware) не происходит, и пользователи являются жертвами ложного сигнала или сообщения, созданного хакерами.

Как предотвратить атаку социального инженера

Как уже упоминалось, социальные атаки работают только потому, что они взывают к нашей человеческой природе. Они обычно используют страх в качестве основного мотиватора, побуждая людей действовать немедленно, чтобы защитить себя (или свою систему) от серьезной угрозы. Атаки также основаны на человеческой алчности, заманивая жертв в различные виды инвестиционного мошенничества. Поэтому важно иметь в виду, что если предложение выглядит слишком хорошо, чтобы быть правдой, то вероятнее всего вас обманывают.

В то время как некоторые мошенники довольно утонченны в этом, другие же совершают видимые ошибки. Некоторые фишинговые письма и даже фейковые баннеры часто содержат синтаксические или словесные ошибки и эффективны только для тех, кто не уделяет достаточного внимания грамматике и орфографии, так что будьте внимательны.

Чтобы не стать жертвой социально инженера, вы должны придерживаться следующие мер безопасности:

• Проконсультируйте семью и друзей. Расскажите им о распространенных случаях вредоносной социальной инженерии и об основных принципах безопасности;
• Будьте осторожны с вложениями в имейлах и ссылках. Не переходите на объявления и сайты от неизвестного источника;
• Установите надежный антивирус и регулярно обновляйте свои приложения и операционную систему;
• Всегда используйте многофакторную аутентификацию, чтобы защитить свои аккаунты, электронную почту и другие данные. Настройте двухфакторную аутентификацию (2FA) для своего аккаунта Binance;
• Для бизнеса: подумайте о том, чтобы подготовить своих сотрудников к выявлению и предотвращению фишинговых атак и схем социальной инженерии.

Заключение

Киберпреступники постоянно ищут новые, более совершенные способы обмануть пользователей, стремясь завладеть их средствами и конфиденциальной информацией, поэтому очень важно знать об этом и уведомить окружающих. Интернет предоставляет пространство для мошенников такого типа, и они особенно часто встречаются в криптовалютной среде. Будьте осторожны и бдительны, чтобы не попасть в ловушку социального инженера.

Кроме того, любой кто решит торговать или инвестировать в криптовалюту, должен провести предварительное исследование и убедиться в том, что он хорошо понимает как принципы работы рынка, так и аспекты технологии блокчейн.

Следите за новостями и не забудьте ознакомиться с другими нашими статьи и видео в Binance Academy!

Что такое социальная инженерия? Предотвращение атак социальной инженерии

Известные примеры атак социальной инженерии

Фрэнк Абигнейл, вероятно, самый известный пример атаки социальной инженерии. В книге и фильме Поймай меня, если сможешь показано, как мистер Абигнейл выдавал себя за нескольких человек, включая врача, юриста и пилота самолета, чтобы завоевать доверие людей и воспользоваться ими.

В 2011 году злоумышленник проник в охранную компанию RSA, отправив фишинговые письма группам сотрудников. К электронным письмам была прикреплена таблица Excel. В электронную таблицу был встроен вредоносный код, который использовал уязвимость в Adobe Flash для установки бэкдора в систему. Если бы сотрудники не были настроены на открытие файла с помощью социальной инженерии, атака не увенчалась бы успехом.

Фишинг во время пандемии также является обычным явлением, поэтому пользователи всегда должны быть начеку.

Советы по предотвращению атак социальной инженерии

Безопасное общение и привычки управления аккаунтом

Всегда будьте осторожны при общении в сети и никогда не доверяйте никому, чью личность вы не можете подтвердить. Самое главное, никогда не нажимайте на то, что выглядит подозрительно, и никогда не разглашайте конфиденциальную информацию.

Никогда не нажимайте на ссылки в электронном письме или сообщении

Вместо того, чтобы нажимать на унифицированный указатель ресурсов (URL), введите его вручную в адресной строке.Дважды проверьте происхождение всех URL-адресов, прежде чем нажимать на них, и, если вы не можете проверить их легитимность, избегайте их.

Многофакторная аутентификация (MFA)

Использование более чем пароля для доступа к учетной записи может помочь предотвратить взлом системы социальными инженерами. Это может включать биометрические данные или временные пароли, отправленные в текстовом сообщении.

Использование надежных паролей и диспетчера паролей

Ваши пароли должны быть сложными и уникальными, никогда не повторяться более чем для одного сайта или учетной записи.Вы можете использовать безопасный менеджер паролей, чтобы упорядочить их и сделать их доступными при необходимости.

Будьте осторожны, завязывая дружбу только в сети

Отношения, не включающие личного общения или телефонного разговора, можно легко использовать для социальной инженерии в 2021 году. Остерегайтесь тех, кто хочет взаимодействовать исключительно в Интернете.

Привычки безопасного использования сети

Никогда не позволяйте посторонним подключаться к вашей основной сети Wi-Fi

Разрешение кому-либо доступа к вашей основной сети Wi-Fi оставляет ее открытой для подслушивания.Чтобы этого не произошло, используйте гостевую сеть для тех, кто посещает ваш офис или дом.

Используйте VPN

Виртуальная частная сеть (VPN) предоставляет вам безопасный зашифрованный туннель, через который проходит связь. Даже если кто-то будет отслеживать ваши сообщения, VPN зашифрует передачи, сделав их бесполезными для злоумышленника.

Обеспечьте безопасность всех подключенных к сети устройств и служб

Хотя ваши соединения Wi-Fi в офисе и вокруг него, вероятно, защищены, как и ваши мобильные устройства, важно не пренебрегать другими устройствами, такими как информационно-развлекательные системы, в вашем автомобиле.Попадание в эти системы может помочь социальному инженеру еще больше персонализировать свою атаку.

Привычки безопасного использования устройств

Используйте комплексное программное обеспечение для обеспечения безопасности в Интернете

Программное обеспечение

для обеспечения безопасности в Интернете может защитить вашу систему от вредоносных программ, которые внедряются в результате атаки социальной инженерии. Некоторые решения безопасности также могут отслеживать источник атаки, о котором можно сообщить властям, чтобы помочь в расследовании преступления.

Никогда не оставляйте свои устройства незащищенными в общественных местах

Ваш компьютер и мобильные устройства всегда должны быть заблокированы или надежно закреплены за вами. Это справедливо независимо от того, находитесь ли вы в общественном месте или в полуобщественной среде, такой как ваша работа.

Обновляйте все программное обеспечение

Обновления программного обеспечения помогают защитить ваши приложения от новейших видов атак.После успешной атаки группа разработчиков программного обеспечения может устранить уязвимость в обновлении, поэтому частые обновления обеспечат вам самую актуальную безопасность.

Проверьте наличие известных утечек данных в ваших онлайн-аккаунтах

Некоторые компании отслеживают учетные записи, которые были взломаны хакерами. Если информация о вашей учетной записи есть в их списке, примите меры для ее защиты, изменив пароль или добавив MFA.

9 примеров атак социальной инженерии

Примеры социальной инженерии варьируются от фишинговых атак, при которых жертвы обманом заставляют предоставить конфиденциальную информацию, до атак, когда срочное и официальное голосовое сообщение убеждает жертв действовать быстро или терпеть серьезные последствия, или физических атак которые полагаются на доверие для получения физического доступа к зданию.

Девять наиболее распространенных примеров социальной инженерии:

1. Фишинг : тактика включает вводящие в заблуждение электронные письма, веб-сайты и текстовые сообщения для кражи информации.
2. Spear Phishing : электронная почта используется для проведения целевых атак против частных лиц или предприятий.
3. Baiting : онлайн-атака с применением физической социальной инженерии, которая обещает жертве вознаграждение.
4. Вредоносное ПО : жертв обманом заставляют поверить, что на их компьютер установлено вредоносное ПО и что, если они заплатят, вредоносное ПО будет удалено.
5. Pretexting : использует фальшивую личность, чтобы обмануть жертв, чтобы они отказались от информации.
6. Quid Pro Quo : полагается на обмен информацией или услугами, чтобы убедить жертву действовать.
7. Tailgating : полагается на человеческое доверие, чтобы предоставить преступнику физический доступ к безопасному зданию или территории.
8. Вишинг : срочные голосовые сообщения убеждают жертв, что им нужно действовать быстро, чтобы защитить себя от ареста или других рисков.
9. Water-Holing : продвинутая атака социальной инженерии, которая заражает как веб-сайт, так и его посетителей вредоносными программами.

Эти методы социальной инженерии объединяет человеческий фактор. Киберпреступники знают, что использование человеческих эмоций — лучший способ воровства.

Традиционно компании сосредотачивались на технических аспектах кибербезопасности, но теперь пришло время применить ориентированный на людей подход к осведомленности о кибербезопасности.

Как происходит социальная инженерия?

Социальная инженерия происходит из-за человеческого инстинкта доверия.Киберпреступники узнали, что тщательно сформулированное электронное письмо, голосовая почта или текстовое сообщение может убедить людей перевести деньги, предоставить конфиденциальную информацию или загрузить файл, устанавливающий вредоносное ПО в сети компании.

Рассмотрим пример целевого фишинга, который убедил сотрудника перевести 500 000 долларов иностранному инвестору:

1. Благодаря тщательному исследованию целевого фишинга киберпреступник знает, что генеральный директор компании путешествует.
2. Электронное письмо отправлено сотруднику компании, похоже, оно пришло от генерального директора.В адресе электронной почты есть небольшое несоответствие, но имя генерального директора написано правильно.
3. В электронном письме сотрудника просят помочь генеральному директору, переведя 500 000 долларов новому иностранному инвестору. В письме используется срочный, но дружелюбный язык, который убеждает сотрудника в том, что он будет помогать и генеральному директору, и компании.
4. В электронном письме подчеркивается, что генеральный директор сделает этот перевод самостоятельно, но, поскольку она находится в командировке, она не может осуществить перевод средств вовремя для обеспечения партнерства с иностранными инвестициями.
5. Не уточняя детали, сотрудник решает действовать. Он искренне верит, что помогает генеральному директору, компании и его коллегам, выполняя запрос по электронной почте.
6. Через несколько дней пострадавший сотрудник, генеральный директор и коллеги по компании понимают, что они стали жертвой атаки социальной инженерии и потеряли 500 000 долларов.

Примеры атак социальной инженерии

Опытные киберпреступники знают, что социальная инженерия лучше всего работает, когда в центре внимания находятся человеческие эмоции и риск.Воспользоваться человеческими эмоциями намного проще, чем взломать сеть или найти уязвимости в системе безопасности.

Эти примеры социальной инженерии подчеркивают, как эмоции используются для совершения кибератак:

Страх

Вы получаете голосовое сообщение о том, что в отношении вас ведется расследование по факту налогового мошенничества и что вы должны немедленно позвонить, чтобы предотвратить арест и уголовное расследование. Эта атака социальной инженерии происходит во время налогового сезона, когда люди уже обеспокоены своими налогами.Киберпреступники питаются стрессом и тревогой, возникающими при подаче налоговой декларации, и используют эти эмоции страха, чтобы заставить людей подчиняться голосовой почте.

Жадность

Представьте, если бы вы могли просто перевести 10 долларов инвестору и увидеть, как он вырастет до 10 000 долларов без каких-либо усилий с вашей стороны? Киберпреступники используют основные человеческие эмоции доверия и жадности, чтобы убедить жертв в том, что они действительно могут получить что-то даром. В тщательно сформулированном электронном письме жертвам предлагается предоставить информацию о своем банковском счете, и средства будут переведены в тот же день.

Любопытство

Киберпреступники обращают внимание на события, которые привлекают много внимания в новостях, а затем используют человеческое любопытство, чтобы заставить жертв социальной инженерии действовать. Например, после второй авиакатастрофы Boeing MAX8 киберпреступники отправили электронные письма с вложениями, в которых утверждалось, что в них содержатся утекшие данные об авиакатастрофе. На самом деле приставка установила на компьютер жертвы версию Hworm RAT.

Полезность

Люди хотят доверять друг другу и помогать друг другу.Проведя исследование компании, киберпреступники атакуют двух или трех сотрудников компании с помощью электронного письма, которое выглядит так, как будто оно исходит от менеджера целевого лица. В электронном письме их просят отправить менеджеру пароль для базы данных бухгалтерского учета, подчеркивая, что он нужен менеджеру, чтобы гарантировать своевременную оплату всем. Электронная почта носит срочный характер, заставляя жертв поверить в то, что они помогают своему менеджеру, действуя быстро.

Срочно

Вы получаете электронное письмо от службы поддержки на веб-сайте интернет-магазинов, который вы часто покупаете, с сообщением о том, что им необходимо подтвердить данные вашей кредитной карты для защиты вашей учетной записи.Язык электронной почты побуждает вас быстро ответить, чтобы гарантировать, что данные вашей кредитной карты не будут украдены преступниками. Недолго думая и доверяя интернет-магазину, вы отправляете не только данные своей кредитной карты, но также свой почтовый адрес и номер телефона. Через несколько дней вам позвонят из компании, выпускающей кредитные карты, и вам сообщат, что ваша кредитная карта была украдена и использована для совершения мошеннических покупок на тысячи долларов.

Загрузите подробное руководство по обеспечению безопасности, ориентированной на людей, чтобы узнать, как сосредоточение внимания на человеческих эмоциях и рисках может привить в вашей организации культуру безопасности, которая защищает от атак социальной инженерии.

---

Информационный документ

— Как защитить данные от социальной инженерии

Узнайте, как обнаруживать распространенные тактики социальной инженерии и угрозы и защищать конфиденциальные данные от киберпреступников.

Как защититься от социальной инженерии

«Люди влияют на результаты безопасности больше, чем технологии, политики или процессы. Рынок компьютерного обучения осведомленности в вопросах безопасности (CBT) основан на осознании того, что без совершенных систем защиты кибербезопасности люди играют критически важную роль в общей безопасности и оценке рисков организации.Эта роль определяется присущими им сильными и слабыми сторонами: способностью людей учиться и их уязвимостью перед ошибками, эксплуатацией и манипуляциями. Образование и обучение в области безопасности, ориентированные на конечных пользователей, — это быстрорастущий рынок. Спрос подогревается потребностями руководителей служб безопасности и управления рисками (SRM), чтобы помочь влиять на поведение, которое влияет на безопасность сотрудников, граждан и потребителей ».

( Магический квадрант Gartner по компьютерному обучению по вопросам безопасности, Джоанна Хьюисман, 18 июля 2019 г.)

Для защиты от атак социальной инженерии необходимо сосредоточиться на изменении поведения.Когда сотрудники компании понимают, насколько легко быть обманутыми или обманутыми с помощью атаки социальной инженерии, они с большей вероятностью будут бдительны и с подозрением относятся к электронным письмам, голосовым сообщениям, текстовым сообщениям или другим подходам кибератак.

Изменить человеческое поведение непросто и не происходит в одночасье. Мы знаем из личного опыта, что лучший способ привить культуру осведомленности о кибербезопасности и создать внутренних кибер-героев — это ориентированный на людей подход к обучению осведомленности о безопасности.

Для эффективной защиты вашей компании от социальной инженерии необходимо сосредоточить внимание на пяти элементах, ориентированных на человека, в качестве основы для обучения по вопросам безопасности:

1. Контент высокого качества : привлекает пользователей и предоставляет программу обучения, которая находит отклик и меняет поведение.
2. Персонализированные кампании : предоставляйте контент, который сотрудники могут найти в своей повседневной жизни.
3. Сотрудничающий партнер : работайте с партнером, который использует консультативный подход, чтобы понять ваши уникальные потребности в реализации специальной программы повышения осведомленности о безопасности, разработанной специально для вашей организации.
4. 5-этапная структура осведомленности о безопасности : программа обучения и повышения осведомленности, основанная на проверенном методологическом подходе к обучению и изменению поведения.
5. Осведомленность о безопасности как услуга : обеспечивает гибкость и поддержку для эффективного развертывания, измерения и отчетности о результатах моделирования фишинга, обучения осведомленности и прозрачности кампании.

Как защитить себя от социальной инженерии

Чтобы оставаться защищенным от атак социальной инженерии, важно осознавать силу эго. Каждый из нас хочет верить, что нас никогда не обманут или обманут с помощью фишинговых электронных писем или других атак социальной инженерии.Однако, как мы знаем, киберпреступники полагаются на все аспекты человеческих эмоций и природы, чтобы искусно обмануть и заставить людей действовать.

Люди действительно понимают, как работает социальная инженерия, только имея непосредственный опыт фишинга или нарушения со стороны другого подхода социальной инженерии. Используя ориентированный на людей подход к обучению по вопросам безопасности, в котором используются симуляции фишинга, интересный и актуальный контент, а также понимание человеческой природы — вы можете оставаться защищенными от социальной инженерии.

Социальная инженерия — Управление информационной безопасности — Вычислительные услуги

Что такое социальная инженерия?

Социальная инженерия — это тактика манипулирования, влияния или обмана жертвы с целью получения контроля над компьютерной системой или кражи личной и финансовой информации. Он использует психологические манипуляции, чтобы обмануть пользователей, чтобы они совершили ошибки безопасности или разгласили конфиденциальную информацию.

Атаки социальной инженерии происходят в один или несколько этапов.Преступник сначала исследует предполагаемую жертву, чтобы собрать необходимую справочную информацию, такую ​​как потенциальные точки проникновения и слабые протоколы безопасности, необходимые для продолжения атаки. Затем злоумышленник использует форму предлога, такую ​​как выдача себя за другое лицо, чтобы завоевать доверие жертвы и предоставить стимулы для последующих действий, нарушающих методы безопасности, таких как раскрытие конфиденциальной информации или предоставление доступа к критически важным ресурсам.

Типы атак социальной инженерии

Атаки социальной инженерии принимают множество различных форм и могут выполняться в любом месте, где задействовано человеческое взаимодействие.Ниже приведены распространенные формы атак цифровой социальной инженерии.

Фишинг: Процесс попытки получить конфиденциальную информацию, такую ​​как имена пользователей, пароли и данные кредитной карты, выдавая себя за надежную организацию, используя массовую рассылку электронной почты, текстовые SMS-сообщения или по телефону. Фишинговые сообщения вызывают у получателей чувство срочности, любопытства или страха. Сообщение побуждает жертв раскрыть конфиденциальную информацию, щелкнуть ссылки на вредоносные веб-сайты или открыть вложения, содержащие вредоносное ПО

Baiting: Тип атаки социальной инженерии, при которой мошенник использует ложное обещание, чтобы заманить жертву в ловушку, которая может украсть личную и финансовую информацию или внедрить в систему вредоносное ПО.Ловушка могла быть в виде вредоносного вложения с заманчивым названием.

Самая распространенная форма травли использует физические носители для распространения вредоносных программ. Например, злоумышленники оставляют наживку зараженных вредоносным ПО флеш-накопителей на видных местах, где их наверняка заметят потенциальные жертвы. Когда жертва вставляет флешку в рабочий или домашний компьютер, вредоносная программа автоматически устанавливается в систему. Мошенничество с приманкой также осуществляется в Интернете в виде заманчивой рекламы, которая ведет на вредоносные сайты или побуждает пользователей загрузить приложение, зараженное вредоносным ПО.

Tailgating: Также известен как «контрейлерство». Физическое нарушение, при котором неавторизованный человек манипулирует своим доступом в зону с ограниченным доступом или зону, доступную только для сотрудников, с помощью тактики социальной инженерии. Злоумышленник может выдать себя за водителя-доставщика или работника-хранителя. Как только сотрудник открывает дверь, злоумышленник просит сотрудника придержать дверь, тем самым получая доступ в здание.

Scareware: Scareware включает в себя бомбардировку жертв ложными тревогами и вымышленными угрозами.Пользователи обманываются, думая, что их система заражена вредоносным ПО, что побуждает их установить программное обеспечение, которое предоставляет удаленный доступ преступнику или заплатить преступнику в виде биткойнов, чтобы сохранить конфиденциальное видео, которое, по утверждениям преступника, имеет.

Dumpster Diving: Мошенник будет искать конфиденциальную информацию, например банковские выписки, предварительно утвержденные кредитные карты, студенческие ссуды, другую информацию о счете, в мусоре, если она не была должным образом продезинфицирована или уничтожена.

Quid Pro Quo: Quid pro quo предполагает, что преступник запрашивает обмен конфиденциальной информацией определенного типа, такой как важные данные, учетные данные для входа или денежное выражение, в обмен на услугу. Например, пользователь компьютера может получить телефонный звонок от преступника, который, представившись экспертом по технологиям, предлагает бесплатную ИТ-помощь или технические улучшения в обмен на учетные данные. Если предложение звучит слишком хорошо, чтобы быть правдой, скорее всего, это мошенничество и незаконность.

Профилактика социальной инженерии

• Не открывайте вложения электронной почты из подозрительных источников. Даже если вы знаете отправителя и сообщение кажется подозрительным, лучше всего напрямую связаться с этим человеком, чтобы подтвердить подлинность сообщения.
• Использовать многофакторную аутентификацию (MFA) . Одной из наиболее ценных частей информации, которую ищет злоумышленник, являются учетные данные пользователя. Использование MFA помогает обеспечить защиту вашей учетной записи в случае взлома учетной записи.Следуйте инструкциям Computing Services для загрузки двухфакторной аутентификации DUO, чтобы добавить еще один уровень защиты для вашей учетной записи Andrew.
• Остерегайтесь заманчивых предложений. Если предложение кажется хорошим, вероятно, так оно и есть. Использование поисковой системы для поиска по теме поможет вам быстро определить, имеете ли вы дело с законным предложением или ловушкой.
• Очистите свои социальные сети. Социальные инженеры рыщут в Интернете в поисках любой информации, которую они могут найти о человеке.Чем больше информации вы разместили о себе, тем больше вероятность того, что преступник может направить вам целевую фишинговую атаку.
• Установите и обновите антивирусное и другое программное обеспечение. Убедитесь, что автоматические обновления включены. Периодически проверяйте, установлены ли обновления, и ежедневно проверяйте свою систему на предмет возможных заражений. Посетите «Защитите свой компьютер» на веб-сайте Computing Services для получения дополнительных инструкций по использованию и обновлению антивирусного программного обеспечения.
• Регулярно выполняйте резервное копирование данных. Если вы стали жертвой атаки социальной инженерии, в результате которой был поврежден весь ваш жесткий диск, важно, чтобы у вас была резервная копия на внешнем жестком диске или сохранена в облаке.
• Не подключайте к компьютеру незнакомый USB-порт. Если USB-накопитель обнаружен без присмотра, передайте его консультанту по кластеру, в Справочный центр компьютерных служб, помощнику по месту жительства (RA) или в полицию кампуса Карнеги-Меллона.
  • Вам также следует отключить автозапуск на вашем компьютере. Автозапуск — это функция, которая позволяет Windows автоматически запускать программу запуска, когда в дисковод вставляется CD, DVD или USB-устройство.
• Регулярно уничтожайте конфиденциальные документы. Все конфиденциальные документы, такие как банковские выписки, информация о студенческих ссудах и другая информация о счетах, должны быть физически уничтожены с помощью перекрестного измельчителя или помещены в одну из синих или серых закрытых емкостей, которые сжигаются.

Что такое социальная инженерия — определение и многое другое

В индустрии кибербезопасности мы используем множество модных словечек и сокращений, которые, хотя иногда и полезны, также могут сбивать с толку наше значение.

Стремясь внести ясность, мы начинаем нашу серию сообщений в блоге о кибербезопасности 101, которые помогут установить стандарт определений терминов кибербезопасности. Мы начнем с социальной инженерии: что это такое, как работает и как от нее защититься.

Что такое социальная инженерия?

Определение: Социальная инженерия — это тип атаки, при которой мошенники обманом заставляют людей предоставить им доступ к конфиденциальной информации с помощью комбинации манипуляций и действий человека.

Методы социальной инженерии, включая личные фишинговые атаки, телефонные звонки и многое другое, используют доверие жертвы для обхода защиты периметра, кражи данных и доступа к частным сетям. Хотя эти атаки социальной инженерии легко определить, их обычно нелегко распознать в режиме реального времени.

Как работает социальная инженерия? Злоумышленники

являются экспертами и знают, как заслужить ваше доверие, взломав ваш типичный мыслительный процесс, чтобы заставить вас сотрудничать от их имени.Эти взаимодействия могут показаться настолько рутинными, что вы можете не осознавать свою ошибку даже после совершения преступления. Социальная инженерия может варьироваться от вредоносного вложения к электронной почте до «дружелюбного» посетителя в офисе.

Вместо того, чтобы найти ключ, преступникам проще попросить кого-нибудь придержать дверь. Например, предположим, что вам позвонил Джо Смит и сказал, что он работает в ИТ-отделе вашей компании и ему необходимо запустить новое обновление программного обеспечения на вашем компьютере. Он упоминает, что ваш менеджер отправил вам запрос.Джо нужен ваш пароль для входа в систему, чтобы начать это обновление, поэтому вы передадите его ему по телефону. Позже вы обнаруживаете, что ваш компьютер был взломан, и кто-то отправлял электронные письма от вашего имени. Джо не работал в вашей компании; он использовал социальную инженерию, чтобы заставить вас думать, что он делает это своим разговорным тоном.

Как защититься от социальной инженерии?

Атаки с социальной инженерией нацелены на людей, а не на технологии. Людей следует обучать тому, как распознавать и сообщать о удачных попытках.

Чтобы помочь вам и сотрудникам вашей компании избежать атак социальной инженерии, ознакомьтесь с нашими настраиваемыми учебными материалами.

Социальная инженерия — определение

Проще говоря, искусство обмана, используемое онлайн-мошенниками, чтобы заполучить ваши деньги, — это то, что обычно называют термином «социальная инженерия». Этот термин, популяризированный хакером, ставшим консультантом, Кевином Митником, охватывает ряд уловок, которые используют киберпреступники, чтобы заставить людей делать то, что им не нравится, и раскрывать конфиденциальную личную информацию.Движущей силой этого, конечно же, является прибыль.

Фон

Социально спроектированные угрозы на самом деле сложнее защитить, поскольку они в основном нацелены на вас, онлайн-пользователя, а не только на уязвимости вашей системы. Самый простой и в то же время наиболее эффективный способ защитить себя от угроз как таковых — это хорошо знать, от чего следует держаться подальше и чего следует остерегаться.

Развитие социальных атак

Стремясь получить прибыль от онлайн-пользователей, цифровые угрозы существенно эволюционировали и развивались на протяжении многих лет.Киберпреступники придавали большое значение разработке более изощренных способов соблазнить онлайн-пользователей доверять им свои конфиденциальные данные. Атаки, спланированные с помощью социальной инженерии, сделали большой шаг вперед с точки зрения изощренности используемых технологий.

• ЭРА ВЕБ-УГРОЗ. Чрезвычайно мотивированные прибылью, киберпреступники значительно усовершенствовали свои методы получения конфиденциальной информации от онлайн-пользователей для получения денежной выгоды. В 2004 году вредоносная программа типа «троян» BANCOS выполняла незаконные операции онлайн-банкинга, регистрируя нажатия клавиш.Затем в 2006 году наблюдался рост популярности THE ITALIAN JOB, которая взламывала легитимные веб-сайты с помощью вредоносного HTML и бэкдор-атак. Еще одно вредоносное ПО типа троянца под названием Zeus было обнаружено в 2007 году, которое выжимало деньги из кражи информации, в то время как FAKEAV быстро распространился в 2008 году, причем значительное увеличение было обнаружено в отчетах о спаме.

• ЭРА СОЦИАЛЬНЫХ АТАК. 2008 год стал прорывом социальных атак, совершенных киберпреступниками с целью диверсии и наживы. С определенными целями атаки с использованием платформ были направлены на домашних пользователей, малый бизнес и крупные организации, что привело к краже интеллектуальной собственности как к крупным финансовым потерям.В основном онлайн-мошенники изобрели способы атаковать веб-пользователей с помощью сайтов социальных сетей, таких как Facebook и Twitter.

В 2008 году пользователи Facebook стали мишенью для атаки типа червя KOOBFACE. Затем в 2009 году Twitter стал золотой жилой для киберпреступников, распространяя вредоносные ссылки, которые, как было установлено, содержат троян.

Как работает социальная инженерия

Киберпреступники хорошо осведомлены о возможностях нанесения ударов. Обычно они находятся на волне текущих проблем и событий, вызывающих наибольший общественный интерес.В прошлом было обнаружено несколько атак с использованием социальной инженерии, в которых использовались различные новости, привлекающие внимание пользователей Интернета.

БОЛЬШИЕ НОВОСТИ

Для киберпреступников легко вызвать интерес у онлайн-публики, подбивая их заслуживающими шума новостями, такими как национальные бедствия, даже для самых ожидаемых запусков продуктов или услуг. Цунами в марте 2011 года в Японии немедленно потребовало от киберпреступников создания сайтов фальшивых новостей, на которых размещается вредоносное ПО FAKEAV, предоставляющее онлайн-пользователям больше, чем просто обновления, которые они искали.Сенсационная новость о выпуске Apple iPad также вызвала ряд рекламных акций, которые обманом заставляли жертв предоставлять и проверять личную информацию по электронной почте.

ЧТО ВЫ ВИДИТЕ: сообщения в социальных сетях со ссылками на фотографии или фотографии, связанные с важными новостями

ЧТО ОТ ВАС СКРЫВАЕТСЯ: в ту минуту, когда новость о каком-либо крупном событии достигает поклонника, киберпреступники всегда готовы атаковать и воспользоваться возможностью. Сайты, зараженные вредоносным ПО, которые вызывают у вас интерес, могут автоматически нанести ущерб вашей системе всего за один клик.Часто они перенаправляют вас на опросы или рекламу, но не ведут на страницу, которую они на самом деле обещали.

ЧТО СЛЕДУЕТ ДЕРЖАТЬ: Вредоносные ссылки, ведущие на сайты фальшивых новостей

ЗНАМЕНИТОЕ СПЛЕТЕНИЕ

Сплетни, скандалы и новости о смерти знаменитостей обязательно вызовут наибольший интерес, когда они достигнут общественного сознания. Новости о знакомых именах в сфере развлечений, от фанатов или последователей до самых случайных наблюдателей, чрезвычайно используются киберпреступниками для посадки семян своих атак.Феноменальная карьера Джастина Бибера сделала онлайн-читателей фанатами и ненавистниками. Можно вспомнить, что сообщение в социальной сети, прикрепленное к видео, которое «только что завершило его карьеру», вызывало клики, которые вели на сайты опросов. События, связанные с кончиной певца Майкла Джексона, основанные на мировых новостях о смерти короля поп-музыки, побудили жертв загрузить вредоносное ПО, распространяемое через MSN Messenger, замаскированное под изображение. Тревожные новости о смерти знаменитостей также стали точками атаки киберпреступников.Сайты фейковых новостей, которые перенаправляют жертв на вредоносные онлайн-порталы, использовали популярность Джеки Чана, Леди Гаги и им подобных.

ЧТО ВЫ ВИДИТЕ: Привлекающие внимание заголовки, обещающие самые скандальные разоблачения о самых известных знаменитостях

ЧТО ОТ ВАС СКРЫВАЕТСЯ: Эти ссылки часто ведут на специально созданные вредоносные сайты. Как и любые другие виды мошенничества под видом самых невероятных новостей об этих известных личностях, эти сайты часто содержат вредоносные программы, которые перенаправляют жертв на сайты опросов и рекламы

ЧТО СЛЕДУЕТ ДЕРЖАТЬ: обещания самых интересных новостей со ссылками на похожие видео или фотографии

СЕЗОНЫ

От самых широко отмечаемых праздников до крупнейших спортивных событий, киберпреступники часто понимают, что может легко заставить онлайн-пользователей поддаться их атакам.Таким образом, мы можем предположить, что в преддверии Рождества или предвкушения следующего Суперкубка киберпреступники уже планируют следующую крупную атаку. Мошенническая страница, использующая Facebook в качестве платформы, предлагала жертвам бесплатные плагины на рождественскую тематику, которые делали учетные записи уязвимыми для взлома с целью рассылки спама. Для тех, кто ищет обновления в Интернете, проверяющих новости о Суперкубке, они были перенаправлены на сайты, на которых размещен FAKEAV.

ЧТО ВЫ ВИДИТЕ: Подозрительный спам и сообщения в социальных сетях, содержащие невероятные предложения по случаю праздников или популярных спортивных мероприятий

ЧТО ОТ ВАС СКРЫВАЕТСЯ. Вредоносные сайты специально созданы для соответствия текущему сезону и содержат ссылки, на которых размещаются вредоносные программы или перенаправляются на сайты опросов или объявлений, а не на обещанные бесплатные предложения или предложения.

ЧТО СЛЕДУЕТ ДЕРЖАТЬ: онлайн-предложения, которые часто слишком хороши, чтобы быть правдой

Мошенничество в социальных сетях

Поскольку мы живем в эпоху социальных сетей, киберпреступники определили их в основном как золотую жилу для сбора информации, которая позволит им получать прибыль от жертв. Мошенничество в социальных сетях с полным использованием платформ социальных сетей стало нормой. Своевременные предложения, такие как записанный пост в Facebook, привлекали онлайн-пользователей к теме «Валентина», которая заставляла жертв загружать и устанавливать вредоносное расширение для веб-браузеров, таких как Chrome и Firefox.Вредоносное приложение Twitter, обещающее подробный мониторинг действий подписчиков, также дало возможность злоумышленникам бесплатно взломать их учетные записи.

ЧТО ВЫ ВИДИТЕ: ряд сообщений, посвященных новым функциям в нескольких платформах социальных сетей, доступным в течение ограниченного периода времени, часто сопровождается подозрительными кодами, которые необходимо скопировать и вставить в адресные строки браузера или приложения, которые необходимо загрузить и установить, чтобы пользоваться им. обещанные «новые возможности»

ЧТО СКРЫВАЕТСЯ ОТ ВАС: эти коды, сколь бы подозрительными они ни были, заманивают пользователей на вредоносные страницы, предназначенные для проникновения в их учетные записи, что делает их уязвимыми для украденной информации и системных инфекций.

ЧТО СЛЕДУЕТ ДЕРЖАТЬ: Подозрительные ссылки на сайты загрузки функций или приложений

СТРАШНЫЕ ПРЕДЛОЖЕНИЯ

Киберпреступники осознают, насколько внушающий страх может превратить даже самого умного пользователя в сети в жертву. В полной мере используя алармистские выражения, мошенники нашли способ убедить пользователей сети поддаться их уловкам с целью кражи важной информации. В России нескольким онлайн-пользователям пригрозили заплатить штраф в размере 15 долларов США за использование поддельных цитат за просмотр неприемлемого контента.Поставщики FAKEAV, с другой стороны, обманом заставляли жертв покупать бесполезные приложения, размещая страшные предупреждения о заражении системы.

ЧТО ВЫ ВИДИТЕ: Подозрительные электронные письма часто маскируются под срочные уведомления, в которых часто говорится о деликатных вопросах, таких как система и финансовая безопасность. Они часто требовали немедленных действий, таких как просмотр вложения, покупка приложения или совершение онлайн-покупки

ЧТО ОТ ВАС СКРЫВАЕТСЯ: Как обычный мошенник, эти онлайн-злоумышленники часто ждут, когда ничего не подозревающие онлайн-пользователи станут жертвами

ЧТО СЛЕДУЕТ ДЕРЖАТЬ: опасные сообщения электронной почты с содержанием, призывающим вас действовать в соответствии с чем-то

Как защититься от атак с социальной инженерией?

Самая большая защита, которую можно использовать против тактики социальной инженерии, применяемой в настоящее время онлайн-мошенниками, — это быть хорошо осведомленным о многих способах, которыми киберпреступник может воспользоваться вашей уязвимостью в социальных сетях.Киберпреступники не только становятся жертвами рассылки спама, фишинговых атак и заражений вредоносными программами, но и имеют твердое понимание и понимание того, как сохранить конфиденциальность ваших данных.

Эти простые шаги являются ключом к защите вашего аккаунта от атак социальной инженерии.

• Добавляйте в закладки надежные сайты и не доверяйте сайтам, которые вы посетили однажды.
• Никогда не переходите по ссылкам, которые слишком хороши, чтобы быть правдой.
• Не поддавайтесь угрозам. Плохие парни ожидают, что вы легко сдадитесь, как только элемент страха будет посажен в ваше сознание.
• Узнайте о встроенных функциях безопасности посещаемых вами сайтов.
• Инвестиции в эффективное решение безопасности необходимы для защиты вашей системы и данных от всех видов угроз.

Что такое социальная инженерия? | Определение и примеры

Что такое социальная инженерия?

В области вычислений под социальной инженерией понимаются методы, которые используют киберпреступники, чтобы побудить жертв предпринять какие-то сомнительные действия, часто связанные с нарушением безопасности, отправкой денег или отказом от частной информации.Эти действия, как правило, идут вразрез с нашим здравым смыслом и противоречат здравому смыслу. Однако, манипулируя нашими эмоциями — как хорошими, так и плохими — такими как гнев, страх и любовь, мошенники могут заставить нас перестать мыслить рационально и начать действовать импульсивно, независимо от того, что мы на самом деле делаем.

Проще говоря, если киберпреступники используют вредоносные программы и вирусы для взлома наших компьютеров, то с помощью социальной инженерии они взламывают наши умы.

Социальная инженерия всегда является частью более крупного мошенничества, так как преступники и их жертвы никогда не встречаются лицом к лицу.Основная цель обычно заключается в доставке пострадавших по адресу:

• Откажитесь от логинов и паролей.
• Установите вредоносное ПО на свое устройство.
• Отправляйте деньги электронным переводом, денежным переводом или подарочными картами.
• Авторизуйте вредоносный программный плагин, расширение или стороннее приложение.
• Выступать в роли денежного мула с целью отмывания и перевода незаконных средств.

«Если киберпреступники используют вредоносные программы и компьютерные вирусы для взлома наших компьютеров, то с помощью социальной инженерии они взламывают наши умы.”

Как работает социальная инженерия?

Социальная инженерия — это только часть большого мошенничества. Возьмем, к примеру, «Нигерийский принц» или мошенничество 419 (названное так в честь раздела Уголовного кодекса Нигерии, посвященного мошенничеству). С помощью этой аферы киберпреступник отправляет вам электронное письмо, утверждая, что вы свергнутый нигерийский принц с огромной суммой денег, запертой на счете в иностранном банке. Чтобы разблокировать средства, принцу необходимо предоставить начальную сумму для подкупа управляющего банком.Взамен принц поделится с вами частью своего состояния. Но этот Прекрасный Принц оказался лягушкой. Нет денег. Минус в том, чтобы заставить вас переводить средства мошеннику. Как только вы поймете, что вас обманули, деньги исчезнут. Итак, где же тогда социальная инженерия?

Заявляя, что он нигерийский принц, мошенник дает своему доводу определенную степень авторитета, и жертвы более склонны отвечать.

Теория о том, что люди положительно отреагируют на кого-то, кого они считают авторитетом, принадлежит профессору психологии и известному эксперту по влиянию Др.Принципы убеждения Роберта Чалдини. Доктор Чалдини написал книгу о том, как заставить людей сказать «да» после многих лет исследований, работая продавцом подержанных автомобилей, телемаркетингом и продавцом от двери до двери.

Доктор Чалдини разбивает методы социальной инженерии на шесть принципов.

Взаимность. Если кто-то преподносит вам подарок, каким бы маленьким он ни был, вы, скорее всего, ответите тем же, сделав собственный подарок. Благодаря нигерийскому мошенничеству мошенник почти дал вам миллионы долларов, самое меньшее, что вы можете сделать, — это помочь оплатить номинальную комиссию за обработку.

Дефицит. В 2019 году американцы мельком увидели конец времен, когда Popeyes распродали свои популярные сэндвичи с курицей. Люди дрались из-за бутербродов. Один мужчина угрожал сотрудникам Popeyes оружием. Другой мужчина подал в суд на сеть ресторанов быстрого питания за обманные методы ведения бизнеса. Людей убивали из-за бутербродов. Буквально. В двух словах, это дефицит. Если потребители не могут чего-то получить, они просто хотят большего.

Полномочия. Притворяться королевской семьей — это лишь один из способов, которым преступники могут использовать власть для манипулирования своими жертвами.Malwarebytes Labs сообщила о ряде различных мошеннических звонков, в которых звонящие якобы были из какого-то правительственного учреждения США. Жертвы, как утверждают звонившие, имеют задолженность по уплате налогов или штрафов, и, если они не рассчитаются с правительством немедленно, их отправят в тюрьму.

Последовательность. Вообще говоря, никто не хочет показаться нерешительным. Когда мы говорим, что собираемся что-то сделать, мы пытаемся выполнить. И если вам удастся убедить кого-то сначала согласиться на что-то маленькое, тогда он почувствует давление, чтобы он согласился на что-то большее.Возьмем, к примеру, мошенничество с денежными мулами. Работая от имени мошенников, денежные мулы принимают незаконные средства с одного счета, а затем переводят их мошеннику. Даже когда законность операций ставится под сомнение, жертвы склонны выполнять свои обещания, не желая отказываться от своего слова.

Нравится. Афера Эллен ДеДженерес — отличный пример симпатии. В сообщениях в социальных сетях, предположительно от самой Эллен, мошенники нарезали видеоролики популярного дневного ток-шоу, рассказывая о ее любимых благотворительных организациях и предлагая поделиться сообщениями.Поскольку жертвам нравится Эллен, они более склонны делиться. Затем «Эллен» обращается напрямую к тем, кто поделился постом, и просит их загрузить один из ее фильмов, чтобы получить шанс выиграть миллион долларов. Конечно, нет миллиона долларов, и все жертвы должны продемонстрировать, что их усилия — это подписка на нелегальный потоковый сайт и пиратская копия Mr. Wrong .

Консенсус. Вы, наверное, слышали выражение: «Если бы все остальные спрыгнули с моста, вы бы стали?» Если да, то вы знакомы с концепцией консенсуса.Люди более склонны отвечать утвердительно, если думают, что это делают все остальные. Что касается онлайн-мошенничества, Malwarebytes Labs сообщила о поддельных благотворительных организациях, возникших после стихийного бедствия. Преступники используют массовую поддержку, которая обычно следует за людьми, чтобы заставить их пожертвовать деньги.

Новости социальной инженерии

Типы атак социальной инженерии

Вот шесть распространенных онлайн-мошенников, использующих ту или иную форму социальной инженерии.

Электронная почта фишинг — наиболее распространенный тип атаки, использующий социальную инженерию. Целевой объект получает спамерское электронное письмо, которое выглядит так, как будто оно было отправлено компанией или организацией, которой он доверяет. Такие электронные письма сейчас удивительно легко создавать, используя готовые комплекты для фишинга, которые содержат заранее разработанные шаблоны электронной почты, которые выглядят так, как будто они отправляются Apple, Amazon или какой-либо другой известной компанией. В электронном письме содержится ссылка на фишинговый сайт, предназначенный для сбора имен пользователей и паролей.

Троянец относится к любому виду вредоносного ПО, которое выдает себя за то, чем оно не является. Так же, как троянский конь греческой славы, компьютерные троянцы содержат разрушительную нагрузку. Вложения электронной почты, содержащие скрытые вредоносные программы, являются разновидностью троянских программ. Уловка, применительно к социальной инженерии, заключается в том, что электронное письмо, как представляется, исходит от надежного отправителя, такого как коллега, друг, семья или компания, с которой вы ведете бизнес.

Подводная рыбалка — это тип фишинговой атаки, нацеленной на одного человека или небольшую группу людей.В отличие от типичного фишинга, который намеренно носит общий характер и рассылается массово по как можно большему количеству электронных писем, целенаправленная фишинговая атака требует от мошенника некоторой должной осмотрительности. Мошенники будут искать учетные записи жертвы в социальных сетях и использовать информацию, полученную из фотографий, статуса отношений, дат рождения, мест проживания, истории работы и любой другой общедоступной информации, которую они могут использовать для подтверждения мошенничества.

SMS-фишинг (смишинг) — это тип фишинга, который происходит с вашего планшета, смартфона или умных часов.Это правда, что фишинг случается вне электронной почты. Жертвы обычно получают текстовое сообщение от неизвестного отправителя, информирующее их о выигранном специальном предложении или конкурсе. Текст включает ссылку на поддельный сайт, предназначенный для сбора учетных данных.

Мошеннические звонки — телефонный эквивалент спама. Мошеннические вызовы, также известные как вишинг (голосовой фишинг) или роботизированные звонки, осуществляются с использованием компьютеризированной системы телефонного набора. После ответа на вызов автонабор соединяет вызов с живым человеком или воспроизводит предварительно записанное сообщение.Оба считаются роботами. Хотя роботы-вызовы могут быть законными при определенных ограниченных обстоятельствах, большинство из них являются незаконными и включают уловку с целью кражи денег, учетных данных или личных данных жертвы.

Мошенничество со службой технической поддержки — это продвинутая форма социальной инженерии, предназначенная для того, чтобы заставить вас думать, что ваш компьютер заражен вредоносным ПО, а на самом деле это не так, а затем вымогать у вас деньги, чтобы «исправить» это. Мошенничество начинается, когда жертвы попадают на вредоносный веб-сайт, управляемый мошенниками.Эти сайты содержат вредоносную рекламу, предназначенную для блокировки вашего браузера и предотвращения закрытия или перехода на другой сайт. Вредоносная реклама обычно включает предупреждение о том, что ваш компьютер заражен вредоносным ПО или ваше программное обеспечение является пиратским, а также фальшивый номер службы технической поддержки, по которому вы можете позвонить за помощью, но это будет стоить вам. Как оказалось, Malwarebytes Browser Guard — первое расширение браузера, достаточно умное, чтобы блокировать мошенничество с технической поддержкой, и его совершенно бесплатно можно загрузить для Firefox и Chrome.

История социальной инженерии

Социальная инженерия не новость. Мошенники и мошенники использовали социальную инженерию с незапамятных времен, чтобы заставить жертв действовать вопреки здравому смыслу и расстаться со своими деньгами или разглашать личную информацию. Однако благодаря Интернету преступники получают доступ к совершенно новому миру потенциальных целей.

Мошенничество с предоплатой — отличный пример того, как старая уловка социальной инженерии может развиваться со временем и использовать технологические достижения с ужасным эффектом.

Афера берет свое начало в Письмах из Иерусалима конца 18 века, кон. После Французской революции тюрьмы Франции были заполнены трудолюбивыми мошенниками, которые утверждали, что они слуги французского дворянина. Пытаясь избежать преследования (или казни) со стороны разгневанных революционеров, камердинер спрятал сокровище своего хозяина только для того, чтобы быть заключенным в тюрьму, прежде чем он смог вернуть его. За скромную сумму заключенный предлагает предоставить карту, показывающую местонахождение клада.По свидетельству современника одного из мошенников, 20 процентов получателей ответили на письма.

Успех афера в Иерусалиме привел к появлению в 19 веке варианта, известного как афера с испанскими узниками, названная в честь предполагаемого европейского дворянина, который был в центре аферы. Согласно афере, дворянин был ошибочно заключен в испанскую тюрьму и нуждается в помощи получателя письма. В обмен на предоставление средств, необходимых для освобождения дворянина, позволяющих ему вернуться к своей маленькой дочери, жертве обещают значительную прибыль от их вложений, а именно закопанных сокровищ или средств, спрятанных на счете в иностранном банке.

Жульничество с испанскими узниками улучшает аферы Иерусалима по двум основным направлениям. В то время как иерусалимское мошенничество нацелено на жертв, казалось бы, случайным образом, мошенники из числа испанских заключенных утверждали, что являются дальними родственниками получателя, даже дошли до того, что стали называть умерших родственников жертвы по имени в своего рода протокопийном фишинге. Мошенники из числа испанских заключенных также сместили повествовательный акцент в письмах с заключенного на бедную дочь дворянина. С этими изменениями история стала меньше рассказывать о личном обогащении или явной жадности, а больше о сострадании, обращаясь к другой и потенциально более широкой группе жертв.

Мошенничество с предоплатой продолжало развиваться в конце 20 века. С появлением Интернета мошенники с предоплатой больше не были ограничены стоимостью марки или количеством писем, которые они могли написать за день. Интернет позволяет им копировать и вставлять заранее написанное сообщение и спамить тысячи потенциальных целей с помощью нескольких простых щелчков мышью. В прошлом мошенники могли тщательно отбирать жертв на основе таких факторов, как богатство и местонахождение. Жертва сегодня выбирает себя самостоятельно. Просто ответив на электронное письмо, которое было отправлено тысячам других целей, жертвы обнаруживают, что восприимчивы к предложению мошенника — каким бы неправдоподобным оно ни было.

Современная версия «Письма из Иерусалима», которую обычно называют нигерийским принцем или мошенничеством 419, снова включает таинственного незнакомца, огромные суммы денег и предложение, слишком хорошее, чтобы быть правдой.

На первом этапе мошенничества жертва получает электронное письмо от кого-то, утверждающего, что он иностранный принц, правительственный чиновник, свергнутый лидер, юрист, банкир и т. Д., Которому известно об огромной сумме денег, запертой в иностранном банке, которая отправитель не может получить доступ самостоятельно.Соответственно, отправителю нужно, чтобы жертва действовала как денежный мул; то есть получить банковский перевод денег, а затем перевести деньги обратно отправителю, сохраняя при этом большой процент от общей суммы в качестве платы за обслуживание. Отправитель может отправлять дополнительные электронные письма с документами официального вида, чтобы помочь обосновать свои претензии. На втором этапе мошенник создает препятствие. Чтобы разблокировать деньги, мошенники должны подкупить банк или правительственных чиновников, заплатить сборы или уплатить налоги, причитающиеся с денег, отсюда и название «мошенничество с предоплатой».«Конечно, денег нет, а авансовый платеж жертвы теряется из-за необратимого и неотслеживаемого банковского перевода.

Честно говоря, не все мошенничества с предоплатой происходят в Нигерии, хотя многие из них. Такие страны, как Нигерия, достаточно иностранные, чтобы вводить в заблуждение жителей Запада. Хотя можно предположить, что электронное письмо якобы было отправлено членом британской королевской семьи, возможно, в Нигерии есть тонна странствующих принцев, которые блуждают в поисках случайных американских пенсионеров, чтобы помочь им разблокировать свои трастовые фонды.Кто знает? Уж точно не жертва. Именно от этой наивности зависит успех мошенников.

В настоящее время мошенничество с предоплатой остается проверенным временем, прибыльным и нетехнологичным вариантом для предприимчивых киберпреступников. Согласно отчету Центра жалоб на Интернет-преступления Федерального бюро расследований (ФБР), 18 463 американца стали жертвами мошенничества с предоплатой и романами в 2018 году, а общие потери превысили 362 миллиона долларов.

«Мошенники в области социальной инженерии ищут правильную цель и правильный эмоциональный триггер.”

Примеры социальной инженерии

Вот несколько реальных примеров социальной инженерии, о которых мы рассказали в Malwarebytes Labs. В каждом примере мошенники, занимающиеся социальной инженерией, ищут правильную цель и правильный эмоциональный триггер. Иногда комбинация цели и триггера может быть гиперспецифичной (как в случае целевой фишинг-атаки). В других случаях мошенники могут преследовать гораздо более широкую группу.

Мошенничество с мошенничеством. В этом первом примере мошенники разводят широкую сеть.Цель? Всем, кто смотрит порно. Жертва получает уведомление по электронной почте о том, что ее веб-камера якобы взломана и используется для записи просмотра видео для взрослых. Мошенник также утверждает, что взломал адрес электронной почты получателя, используя в качестве доказательства старый пароль. Если жертва не заплатит через биткойн, мошенник угрожает опубликовать видео всем контактам жертвы. Как правило, мошенник не имеет видеозаписи с вашим участием, а ваш старый пароль был получен в результате ранее обнаруженной утечки данных.

Мошенничество с дедушкой и бабушкой. Эта афера существует уже много лет и нацелена на всех, у кого есть живые родственники, обычно на пожилых людей. Родители, бабушки и дедушки получают звонок или текстовое сообщение от мошенника, который изображает из себя юриста или сотрудников правоохранительных органов. Мошенник утверждает, что родственник жертвы был арестован или ранен и ему нужны деньги для выплаты залога, судебных издержек или оплаты больничных счетов. В случае с текстовым SMS-сообщением, простой ответ в конечном итоге стоит жертве денег.

Афера с номером социального страхования.В этой сети все начинает сужаться, поскольку это относится только к гражданам США. Жертва получает заранее записанный робот-звонок от Управления социального обеспечения. В сообщении утверждается, что SSN жертвы «заблокирован» за «подозрительные следы информации». Неважно, что ваш SSN не может быть заблокирован, если жертва поймает на уловке и перезвонит, ее попросят заплатить штраф, чтобы все уладить.

Афера John Wick 3 . Вот хороший пример целевого фишинга.В данном случае мошенники преследуют вполне конкретную цель: поклонника Джона Вика, который любит комиксы, но предпочитает читать их на Amazon Kindle. При поиске комиксов Джона Вика жертве предлагают бесплатно скачать третий фильм Джона Вика — на момент мошенничества фильм еще не был показан в кинотеатрах. Переход по ссылке в описании фильма приводит жертву в кроличью нору нелегальных потоковых сайтов пиратских фильмов.

Мошенничество с коронавирусом. Мошенники обратили внимание на нехватку информации о вирусах, особенно в первые дни и месяцы эпидемии.Пока чиновники здравоохранения изо всех сил пытались понять вирус и то, как он распространяется от человека к человеку, мошенники заполнили пустоты поддельными веб-сайтами и спамовыми электронными письмами. Malwarebytes Labs сообщила о спам-письмах от Всемирной организации здравоохранения, замаскированных под вирусную информацию. Письма действительно содержали вложения, заполненные вредоносным ПО. В другом примере Лаборатория сообщила о сайте отслеживания COVID-19, который отображал инфекции по всему миру в режиме реального времени. Незаметно для себя сайт загружал на компьютеры жертв трояна-кража информации.

Как защититься от социальной инженерии

• Включите спам-фильтр. Большая часть социальной инженерии происходит с помощью электронной почты, поэтому самый простой способ защититься от нее — заблокировать попадание спама в ваш почтовый ящик. Законные электронные письма иногда попадают в вашу папку для спама, но вы можете предотвратить это в будущем, пометив эти электронные письма как «не спам» и добавив законных отправителей в свой список контактов.
• Узнайте, как определять фишинговые письма. Талантливые мошенники тратят много времени на подделку электронных писем, чтобы они выглядели как настоящие, но проявив немного должной осмотрительности, вы легко сможете обнаружить подделки.
• Адрес отправителя не соответствует домену компании, которую он якобы представляет. Другими словами, электронные письма от PayPal всегда приходят с [email protected], а электронные письма от Microsoft всегда приходят с [email protected].
• Похоже, что отправитель на самом деле не знает, кто вы. Законные электронные письма от компаний и людей, которых вы знаете, будут адресованы вам по имени.В фишинговых письмах часто используются общие приветствия, такие как «клиент» или «друг».
• Встроенные ссылки имеют необычные URL-адреса. Проверьте URL-адрес перед тем, как щелкнуть, наведя на него курсор. Если ссылка выглядит подозрительно, перейдите на сайт прямо через браузер. То же самое для любых кнопок с призывом к действию. Перед тем, как щелкнуть, наведите на них указатель мыши. Если вы используете мобильное устройство, перейдите на сайт напрямую или через специальное приложение.
• В сообщении электронной почты есть опечатки, неправильная грамматика и необычный синтаксис.Похоже, письмо было переведено с помощью Google Translate? Есть хороший шанс, что это так.
• Электронное письмо слишком хорошее, чтобы быть правдой. Мошенничество с предоплатой работает, потому что предлагает огромное вознаграждение за очень небольшую работу. Но если вы потратите время на то, чтобы по-настоящему подумать об электронном письме, предложение будет фальшивым или прямо незаконным.
• Отключить макросы. Отключение макросов предотвратит заражение вашего компьютера вложениями электронной почты, содержащими вредоносное ПО. И если кто-то отправит вам вложение по электронной почте, и в документе вас попросят «включить макросы», нажмите «Нет», особенно если вы не знаете отправителя.Если вы подозреваете, что это может быть законное вложение, дважды проверьте отправителя и подтвердите, что он отправил вам файл.
• Не отвечаю. Даже в шутку не делай этого. Отвечая мошенникам, вы демонстрируете, что ваш адрес электронной почты действителен, и они просто отправят вам еще. То же самое касается текстовых SMS-сообщений и мошенничества с вызовами. Просто положите трубку и заблокируйте звонящего. Если это текстовое сообщение, вы можете скопировать его и переслать на номер 7726 (СПАМ), это улучшит способность вашего оператора связи фильтровать спам.
• Использовать многофакторную аутентификацию. С двухфакторной или многофакторной аутентификацией, даже если ваше имя пользователя и пароль взломаны с помощью фишинга, киберпреступники не смогут обойти дополнительные факторы аутентификации, связанные с вашей учетной записью.
• Установите хорошую программу кибербезопасности. Ошибки случаются. Если вы нажмете на плохую ссылку или вредоносное вложение, ваша программа кибербезопасности должна распознать угрозу и закрыть ее, прежде чем она сможет нанести какой-либо ущерб вашему устройству.Например, Malwarebytes блокирует вредоносные веб-сайты, вредоносную рекламу, вредоносное ПО, вирусы и программы-вымогатели с помощью продуктов для дома и бизнеса. А для защиты от угроз на вашем iPhone есть программа Malwarebytes для iOS, которая блокирует надоедливые мошеннические звонки и текстовые сообщения.

Что нужно знать о социальной инженерии и фишинге

Социальная инженерия превратилась в серьезную угрозу для бизнеса. Это потому, что социальная инженерия предназначена для обхода даже самых сложных систем безопасности, нацеливаясь на людей внутри компании.

UK Компании по-прежнему не воспринимают всерьез угрозу, исходящую от социальной инженерии. Учитывая, насколько мы зависимы от технологий, важно защитить эту технологию от злонамеренных атак. Опасность социальной инженерии заключается в том, что она нацелена на людей, занятых в бизнесе, и опирается на человеческие ошибки.

Итак, что такое социальная инженерия? Как распознать социальную инженерию? И как ваш бизнес может защитить себя? В нашем подробном руководстве по социальной инженерии и фишингу вы узнаете все, что вам нужно.

Что такое социальная инженерия?

Влияние социальной инженерии на бизнес

Виды социальной инженерии

Как работает социальная инженерия?

Как распознать социальную инженерию

Примеры социальной инженерии

Как предотвратить социальную инженерию

Тренинг по социальной инженерии

Что такое фишинг?

Социальная инженерия — что мне делать дальше?

Что такое социальная инженерия?

Социальная инженерия — это форма обмана, цель которой — обманом заставить людей предоставить доступ к данным, информации, сетям и даже деньгам.Хотя подходы преступников, стоящих за социальной инженерией, могут различаться, их мотивы часто схожи. Социальная инженерия преследует человеческую природу и предназначена для манипулирования нашим поведением, чтобы помочь мошеннику достичь цели.

Эта форма мошенничества стала более популярной, потому что легче манипулировать вами, чтобы предоставить вам доступ или информацию, чем взломать ваше программное обеспечение. Даже ленивый хакер, который провел минимальное исследование своих целей, может отправить сотни электронных писем и при этом добиться успеха.

В отчете компании по обучению вопросам безопасности KnowBe4 говорится, что только 3% вредоносных программ пытаются использовать исключительно техническую уязвимость. Остальные 97% нацелены на пользователей с помощью социальной инженерии.

Вместо того, чтобы пытаться найти уязвимость в технической системе, хакер может позвонить сотруднику, выдающему себя за ИТ-компанию, и попытаться обманом заставить его выдать нужную информацию.

Влияние социальной инженерии на бизнес

Социальная инженерия уже представляет серьезную угрозу для британского бизнеса.В прошлом году фишинговые письма (форма социальной инженерии) затронули 1,3 миллиона предприятий. Это обошлось британским предприятиям в 6,91 миллиарда фунтов стерлингов.

Угроза социальной инженерии зависит от ее эффективности. Исследование Callcredit Information Group показывает, что 70% предприятий чувствовали себя более уязвимыми для атак со стороны человека, в результате которых сотрудники подвергались эксплуатации.

Несмотря на это увеличение уязвимости, 73% малых предприятий не имеют отдельной функции ИТ-безопасности. Это бездействие стимулирует рост активности в области социальной инженерии.

Типы атак социальной инженерии

Социальная инженерия — это термин, охватывающий весь спектр деятельности. У всех них одна и та же цель, но каждый использует разные подходы к ее достижению. Ниже приведен список типов атак социальной инженерии и краткое описание того, как они работают.

Фишинг, безусловно, является наиболее распространенной формой атаки социальной инженерии и осуществляется по электронной почте. Фишинговое электронное письмо направлено на то, чтобы обманом заставить цель раскрыть конфиденциальную информацию или предпринять действия, которые могут поставить под угрозу безопасность.

Поскольку это такая распространенная форма социальной инженерии, ниже есть целый раздел о фишинге.

Целевой фишинг — это более целенаправленная форма фишинга. В то время как фишинговые сообщения электронной почты могут выдавать себя за известную организацию и рассылаются тысячам пользователей, целевые фишинговые сообщения гораздо больше подходят для конкретного человека или компании.

В то время как целевой фишинг потребует больше усилий и исследований, шансы обмануть адресное фишинговое письмо выше, потому что оно более правдоподобно и кажется подлинным.

Наживка отличается от фишинга тем, что пытается соблазнить цель предложением или использовать ее любопытство. Распространенной формой травли является предложение бесплатной загрузки музыки (или других средств массовой информации). Цель состоит в том, чтобы заставить цель щелкнуть ссылку и ввести свои данные для входа.

Физическая форма травли добычи на человеческом любопытстве. Мошенники могут оставлять зараженные вирусом USB-накопители на автостоянке на территории предприятия. Если кто-то заинтересуется, возьмет USB-накопитель и подключит его к компьютеру, мошенник сможет получить доступ ко всей корпоративной сети.

Социальная инженерия не обязательна в Интернете. Вишинг — это форма социальной инженерии, проводимая по телефону. Вишинг был чрезвычайно популярен и эффективен во время подъема телефонного банкинга. Мошенник установит номер и отправит вам электронное письмо, выдавая себя за компанию или службу, например банк, с просьбой срочно связаться с ними. Кроме того, они могут даже позвонить вам, выдавая себя за компанию, и попросить вашу личную информацию.

Вишинг похож на услугу «услуга за услугу», подход, при котором сотрудники компании звонят по телефону, притворяются службой и связываются с ними по поводу проблем, с которыми сталкивается бизнес.Это называется «услуга за услугу», потому что злоумышленник использует притворство, чтобы помочь со своей проблемой, как способ сбора конфиденциальной информации.

Tailgating — еще одна форма оффлайн социальной инженерии. Просто этот тип атаки — это человек без авторизации следует за сотрудником в запретную зону. Например, при движении на заднем сиденье человек будет изображать из себя водителя-курьера и следует за сотрудником через защищенную дверь.

Преследует добычу с помощью элементарных человеческих манер.Подумайте, сколько раз вы вводите код безопасности для здания, а затем держите дверь открытой для человека, стоящего за вами. Так часто бывает, что держать дверь открытой — почти вторая натура.

Предтексирование основывается на формировании у жертвы ложного чувства доверия. Злоумышленник создает правдоподобный предлог или сценарий, чтобы обманом заставить цель предоставить ей информацию или даже прямой доступ к их системам.

Успешный предлог предполагает придумывание ситуаций, которые помогают нам ослабить бдительность.Известная форма предлога заключалась в том, что мошенники выдавали себя за модельное агентство и обманом заставляли обнадеживающих моделей разглашать личную информацию.

Как работает социальная инженерия?

Вы только что прочитали о различных типах социальной инженерии, но как все эти методы помогают социальной инженерии работать?

Реальная угроза социальной инженерии возникает, когда мошенники используют более одного метода. Они могут выполнять множество различных типов социальной инженерии, которые постепенно собирают все больше и больше информации, чтобы помочь им создавать более правдоподобные или подробные измышления, чтобы увеличить свои шансы на успех в нанесении реального ущерба человеку или бизнесу.

Вы, наверное, видели много ленивых попыток социальной инженерии, которые полагаются на фишинговые электронные письма и рассылаются широкому кругу целей. Обычно они общие, и их легко обнаружить. Более успешные мошенники тратят недели и даже месяцы на планирование своих атак с помощью социальной инженерии.

Широко распространенная форма целевого фишинга по электронной почте известна как мошенничество со стороны генерального директора. В мошенническом электронном письме генерального директора мошенники выдают себя за главу компании и отправляют электронное письмо сотруднику, обычно из финансового отдела, с просьбой выполнить запрос.

Эти электронные письма обычно очень реалистичны, потому что в них используются домены, очень похожие на бизнес (обычно только одна буква или даже точные копии домена). Используемый в них язык имитирует язык и поведение предполагаемого отправителя.

Эти электронные письма не случаются; как правило, мошенник уже получил доступ к информации от этого предприятия или даже к их фактическим электронным письмам, используя один из описанных выше методов.

Чем больше информации они смогут собрать о конкретном сотруднике или самом бизнесе, тем более реалистичной становится их социальная инженерия.Это увеличивает вероятность обмана своей цели и достижения ее целей.

Помните, что социальная инженерия осуществляется не только в цифровом формате. Мошенники по-прежнему используют телефон, чтобы обмануть людей. Это также можно сделать лично; Социальная инженерия может заполучить мошенника через систему безопасности в офисы компании. Оттуда, в зависимости от обложки, они могут получить доступ ко всем видам конфиденциальных материалов.

Как распознать социальную инженерию

Чтобы распознать атаки социальной инженерии, вам и всем вашим сотрудникам необходимо проявлять бдительность на рабочем месте.Хотя некоторую социальную инженерию бывает сложно обнаружить, есть определенные признаки, о которых вам следует знать.

Если вы получили электронное письмо с просьбой щелкнуть ссылку, убедитесь, что вы проверили URL-адрес ссылки. Вы можете сделать это, наведя указатель мыши на ссылку, и он покажет вам, куда идет эта ссылка.

Вы также должны проверить имя отправителя и адрес отправителя в верхней части электронного письма. Социальные инженеры очень часто создают фальшивые учетные записи электронной почты, имитирующие доменное имя. Проверьте внимательно, потому что разница может быть очень незначительной, например, отсутствует или изменена одна буква, или имеется лишняя точка.

• Является ли предложение хорошим?

Если предложение или бесплатный подарок кажется слишком хорошим, чтобы быть правдой, то обычно так оно и есть. Мошенники прошли долгий путь со времен фальшивых афер Нигерийского принца, но заманчивое предложение по-прежнему остается излюбленной тактикой. Их попытки будут менее очевидны, чем мошенничество с фальшивым принцем, поэтому остерегайтесь халявы и заманчивых предложений.

• Остерегаться внеплановых проверок

Социальная инженерия не ограничивается Интернетом; это может произойти и лично.Распространенная тактика — это выдать себя за инженера для проведения инспекции. Если осмотр внеплановый или неожиданный, и вы не узнаете инженера, будьте начеку. Запросите удостоверение личности и, если вы все еще не уверены, позвоните в компанию для подтверждения.

• Не сообщайте конфиденциальные данные по телефону

Сегодня каждый банк посоветует вам никогда не запрашивать реквизиты по телефону. Следите за тем, чтобы кто-нибудь не позвонил и не попросил предоставить подробности, например банковские реквизиты или другую конфиденциальную информацию.Если вы не уверены, подлинное оно или нет, скажите, что перезвоните. Сделав звонок самостоятельно, вы можете быть уверены, что разговариваете с нужными людьми.

Примеры социальной инженерии

Чтобы помочь вам лучше понять, как работает социальная инженерия и насколько простыми могут быть атаки, вот несколько примеров атак социальной инженерии.

RSA SecurID

RSA SecurID — компания, занимающаяся разработкой решений для кибербезопасности, но в 2011 году они стали жертвой атаки социальной инженерии.Сотрудникам RSA было отправлено два разных фишинговых письма, в которых якобы описывался план найма другой компании. Оба письма содержали документ Excel. При щелчке по вложению была использована уязвимость с Flash, и был установлен бэкдор, дающий злоумышленникам доступ к системе.

Несмотря на то, что они были компанией, занимающейся кибербезопасностью, они все еще были жертвами человеческого поведения. По мнению пары сотрудников, щелкнувших прикрепленный файл, это обошлось компании в 66 миллионов долларов.

Yahoo

Yahoo за последние годы стал жертвой нескольких взломов. В 2014 году в результате целевой фишинг-атаки было скомпрометировано более 6500 учетных записей пользователей Yahoo. Электронное письмо было отправлено «полу-привилегированным» сотрудникам, и один сотрудник был обманут с помощью электронной почты и предоставил мошеннику доступ к сети Yahoo. Злоумышленник смог загрузить базу данных пользователей Yahoo.

Социальные инженеры нацелены не только на крупные и известные компании. Малые предприятия регулярно становятся объектами нападений, потому что злоумышленники считают, что у них меньше ресурсов для защиты.Кроме того, многие малые предприятия думают, что они не являются целью из-за своего размера.

Прежде чем они стали нашими клиентами, одна компания рассказала нам, как они стали жертвой социальной инженерии. Управляющего директора не было в офисе, и в финансовый отдел было отправлено электронное письмо. Его подделали, чтобы он выглядел точно так, как будто он исходил от MD. Язык был настроен так, чтобы звучать как MD, и они использовали очень похожий адрес отправителя. В электронном письме финансовый отдел просил оплатить счет на сумму 50 000 фунтов стерлингов, что они и сделали.Только когда управляющий директор вернулся в офис, они поняли, что это мошенничество.

Дополнительные примеры атак социальной инженерии можно найти в предыдущих успешных атаках.

Как предотвратить социальную инженерию

Я писал ранее о способах обнаружения социальной инженерии. Они помогут вам обнаружить потенциальные атаки, но для защиты вашего бизнеса от угрозы социальной инженерии мы рекомендуем эти действия, чтобы предотвратить влияние социальной инженерии на ваш бизнес.

В предыдущем примере с RSA вы можете увидеть, как даже компания, наиболее заботящаяся о безопасности, может стать жертвой социальной инженерии. Вся суть социальной инженерии состоит в том, чтобы охотиться на человеческую природу или пытаться навязать человеческие ошибки. Если вы не проинформируете своих сотрудников об опасностях социальной инженерии, то все, что вы сделаете, будет напрасным.

Независимо от того, какое программное обеспечение для защиты от спама или спам-фильтра вы используете, некоторые фишинговые электронные письма могут пройти, злоумышленники настолько изощрены, что невозможно остановить 100% фишинговых писем.Поэтому вам нужно будет рассказать своим сотрудникам, на какие электронные письма им следует обращать внимание и как избежать нажатия на вредоносные ссылки или вложения.

Расскажите им о социальной инженерии и обо всех методах, которые могут использовать злоумышленники. Это не просто электронные письма; социальная инженерия может происходить по телефону или лично.

Хотя, как я только что сказал, спам-фильтр не может остановить каждое фишинговое письмо, он все же может минимизировать количество попаданий в ваш почтовый ящик. Существует множество отличных продуктов для защиты от спама, и мы рекомендуем каждой компании, о которой мы говорим, использовать надежные продукты для защиты от спама и электронной почты.

• Получите сертификат Cyber ​​Essentials

Cyber ​​Essentials — это поддерживаемая правительством схема, призванная помочь предприятиям улучшить свою кибербезопасность. Схема направлена ​​на наиболее распространенные интернет-атаки, включая фишинговые письма. Он устанавливает основу для технических средств контроля, чтобы помочь компании иметь больше уверенности и понимания своей кибербезопасности.

Поскольку мы сертифицированы Cyber ​​Essentials, мы можем помочь другим компаниям в этом процессе ускорить их кибербезопасность.Чем меньше у злоумышленников возможностей проникнуть в вашу систему, тем в большей безопасности вы будете.

Обучение социальной инженерии

В Интернете можно найти множество отличных услуг по обучению, которые помогут обучить ваших сотрудников навыкам социальной инженерии. Мы рекомендуем компанию KnowBe4. Они предлагают широкий спектр продуктов, в том числе тренинги по безопасности для предприятий. У них также есть бесплатные инструменты, которые могут помочь проверить ваших сотрудников с помощью имитационных тестов на фишинг.

Если вы не уверены в том, какое обучение необходимо вашим сотрудникам или как лучше их обучить, обратитесь к своему поставщику ИТ-поддержки. Они либо порекомендуют продукт, либо помогут провести обучение ваших сотрудников.

Социальная инженерия против фишинга — в чем разница

Социальная инженерия — это широкий термин, используемый для описания ряда методов, позволяющих обманом заставить людей дать мошенникам то, что они хотят. Фишинг — это особый метод, предназначенный для получения личной информации, обычно по электронной почте.

Что такое фишинг?

Фишинг чаще всего осуществляется по электронной почте и предназначен для того, чтобы обманом заставить человека щелкнуть вредоносную ссылку или предоставить личную информацию. Термин фишинг — это игра на ловле рыбы, потому что мошенники выуживают информацию.

Фишинговые письма — наиболее распространенная форма социальной инженерии, поскольку она очень эффективна. Исследование Keepnet Labs показало, что цель открывает 48% фишинговых писем.Из этих открытых писем 31 процент целевых пользователей щелкнули ссылку или вложение в письме.

Как работает фишинг

Фишинг направлен на использование слабого места или уязвимости в программном обеспечении или системе безопасности. Однако первый шаг заключается в том, чтобы обманом заставить кого-то щелкнуть ссылку или вложение, которое может дать ему доступ к вашей системе.

Фишинговые письма обычно рассылаются массово, поскольку мошенник устанавливает широкую сеть и надеется кого-нибудь в ней поймать.Более целевой фишинг известен как целевой фишинг. Чтобы запустить целевую фишинговую атаку, требуется больше исследований, потому что вам также нужна дополнительная информация о цели (ах), которую вы отправляете по электронной почте. Большинство целевых фишинговых атак нацелены на конкретный бизнес или группу людей.

Статистика фишинговых атак

Скорее всего, вы ежедневно видите фишинговое письмо, потому что рассылается такой большой объем, потому что это эффективная форма киберпреступности. Исследование нарушений кибербезопасности 2018 года показало, что за последний год 40% британских предприятий подверглись киберпреступности.В среднем это обходится каждому бизнесу в 3000 фунтов стерлингов за атаку.

В 2018 году увеличилось количество фишинговых атак на предприятия. Это потому, что эта форма киберпреступности настолько успешна. Более 65% компаний, которые были атакованы в первые три месяца 2018 года, имели подделку личности по крайней мере пяти сотрудников.

Рабочая группа по борьбе с фишингом опубликовала отчет, в котором показано, что количество фишинговых атак увеличилось на 46 процентов с четвертого квартала 2017 года по первый квартал 2018 года.

Как предотвратить фишинг

Фишинг — это особая форма социальной инженерии, поэтому советы по предотвращению фишинга действительны для писем. Дальнейшие шаги, которые вы можете предпринять для предотвращения фишинговых писем, наносящих ущерб вашему бизнесу, включают:

• Будьте в курсе попыток фишинга

Поскольку фишинг и социальная инженерия были настолько успешными, преступники будут продолжать их применять и пытаться найти новые способы повысить свою эффективность.Постарайтесь быть в курсе последних тенденций в области фишинга, поэтому поговорите со своим ИТ-провайдером, чтобы быть в курсе и пройти обучение по повышению осведомленности.

• Регулярно обновляйте браузер

Многие обновления браузера, устанавливаемые на ваш компьютер, устраняют лазейки в безопасности, обнаруженные хакерами. Обязательно устанавливайте обновления, как только они становятся доступными.

Межсетевой экран действует как буфер безопасности между вашим компьютером и внешним миром.Если ваша компания использует сеть, у нее должен быть собственный брандмауэр. Поговорите со своим ИТ-провайдером о приобретении брандмауэров для ваших сетей и отдельных компьютеров, если они необходимы. Если вы не знаете, с чего начать, брандмауэры могут управлять всем процессом за вас.

• Никогда не используйте ссылку для перехода на сайт вашего банка

Если вы получили электронное письмо от банка, не переходите по ссылке, чтобы перейти на сайт. Если электронное письмо является фишинговым, вы можете быть перенаправлены на мошеннический сайт, предназначенный для получения данных для входа в систему.Закройте письмо и введите URL-адрес веб-сайта вашего банка.

Социальная инженерия — что мне делать дальше?

Первое, что следует сделать вашему бизнесу, — это поговорить со специалистом. Позвоните своему ИТ-провайдеру, чтобы обсудить безопасность вашего бизнеса и спросить об обучении ваших сотрудников. Если у вас нет ИТ-провайдера или квалифицированного персонала, позвоните в InfoTech по телефону 01634 52 52 52, напишите по адресу [email protected] или свяжитесь с нами здесь, и мы обсудим ваши проблемы с безопасностью.

Воспользуйтесь советами в этом руководстве и убедитесь, что вы установили некоторые правила в своем бизнесе. Крайне важно, чтобы ваши сотрудники были осведомлены об угрозах социальной инженерии, и вы установили некоторые четкие руководящие принципы и правила в отношении социальной инженерии.