Соц инженерия и социальные хакеры: Социальная инженерия и социальные хакеры

Читать онлайн книгу «Социальная инженерия и социальные хакеры» авторов Максим Валерьевич Кузнецов и др.

ЖАНРЫ Фантастика Альтернативная история Боевая фантастика Эпическая фантастика Героическая фантастика Детективная фантастика Киберпанк Космическая фантастика Ужасы Мистика Юмористическая фантастика Ироническая фантастика Научная Фантастика Детская фантастика Постапокалипсис Любовно-фантастические романы Социально-психологическая фантастика Фэнтези Попаданцы Книги про вампиров Книги про волшебников Фэнтези про драконов Юмористическое фэнтези Ироническое фэнтези Историческое фэнтези Городское фэнтези Любовное фэнтези Боевое фэнтези Зарубежное фэнтези Русское фэнтези Фэнтези: прочее LitRPG Детективы Классический детектив Полицейский детектив Боевик Иронический детектив Исторический детектив Шпионский детектив Криминальный детектив Политический детектив Маньяки Крутой детектив Детектив Триллер Детективная фантастика Остросюжетные любовные романы Детские остросюжетные Проза Современная русская литература Современная зарубежная литература Историческая проза Классическая проза Современная проза Контркультура Русская классическая проза Советская классическая проза Юмористическая проза О войне Детская проза Повесть Проза Любовные романы Современные любовные романы Исторические любовные романы Остросюжетные любовные романы Короткие любовные романы Эротика Дамский детективный роман Любовно-фантастические романы Роман О любви Приключения Вестерн Исторические приключения Приключения про индейцев Морские приключения Путешествия и география Природа и животные Приключения Детские приключения Детское Cказки Детские стихи Детская проза Детская фантастика Детские остросюжетные Детские приключения Детская литература Детская образовательная литература Комиксы, манга Поэзия, Драматургия Драматургия Поэзия Драма Юмористические стихи Детские стихи Старинная литература Античная литература Европейская старинная литература Древнерусская литература Древневосточная литература Мифы. Легенды. Эпос Старинная литература Наука, Образование История Психология Педагогика Культурология Религиоведение Философия Политика Юриспруденция Языкознание Медицина Физика Математика Химия Биология Технические науки Научная литература Природа и животные Воспитание детей Компьютеры и Интернет Интернет Программирование Компьютерное «железо» Программы Базы данных ОС и Сети Околокомпьютерная литература Справочная литература Энциклопедии Словари Справочники Справочная литература Искусство и Дизайн Статьи Документальное Биографии и Мемуары Публицистика Критика Документальная литература Природа и животные Религия и духовность Религия Эзотерика Самосовершенствование Религиозная литература Религиоведение Юмор Анекдоты Юмористическая проза Юмористические стихи Юмористическая фантастика Иронический детектив Юмор: прочее Дом и семья Воспитание детей Секс и семейная психология Кулинария Домашние животные Хобби и ремесла Развлечения Здоровье Сад и огород Сделай сам Спорт Эротика, Секс Домоводство КНИГИ ПО ГОДАМ 2023 2022 2021 2020 2019 2018 2017 2016 2015 2014 2013 2012 2011 2010 2009 КНИГИ ПО ИЗДАТЕЛЯМ Эксмо АСТ Азбука-Аттикус Альфа-книга Альпина Паблишер Издательство Стрельбицкого Центрполиграф РИПОЛ классик Яуза Питер Литсовет Манн, Иванов и Фербер CORPUS Призрачные миры

Социальная инженерия: как хакеры манипулируют людьми и воруют информацию

Bubble

7 октября 2022, 10:23

Что такое социальная инженерия, как хакеры манипулируют людьми и можно ли от этого защититься, объясняет Александр Дубина — руководитель направления информационной безопасности компании Softline в Беларуси.

Александр Дубина — руководитель направления информационной безопасности компании Softline в Беларуси.

Содержание

Социальная инженерия: как это работает

Когда хакеры пытаются взломать Пентагон или чей-то биткоин-кошелек, они ищут уязвимости в системе, разрабатывают сложные вирусы или программы, которые могут обойти все стадии защиты. Чтобы украсть деньги с карты или завладеть секретной информацией, можно воспользоваться социальной инженерией — методом, который позволяет воровать данные по телефону или с помощью email-сообщений. 

Социальная инженерия — способ получить конфиденциальную информацию с помощью психологического воздействия на человека. Потом украденную информацию используют для того, чтобы снять деньги с банковской карты, завладеть аккаунтами жертвы или просто навредить ее репутации.

По статистике PurpleSec — ветерана в сфере кибербезопасности, в 98% хакерских атак используются методы социальной инженерии.

Один из свежих примеров: восемнадцатилетний хакер взломал Uber с помощью социальной инженерии. Он сам рассказал, что получил доступ к системам компании с помощью одного из сотрудников. Для этого постоянно отправлял ему уведомления о входе в систему с многофакторной аутентификацией. А потом связался в WhatsApp, притворился IT-специалистом и заявил, что уведомления MFA прекратятся, когда жертва подтвердит вход в систему.

Uber, what you need to know, the thread.

1) pic.twitter.com/CXU75bqrZU

— Kevin Beaumont (@GossiTheDog) September 16, 2022

Основные приемы и методы социальной инженерии

Основные приемы социальной инженерии описаны в книге Джо Грея «Социальная инженерия и этичный хакинг на практике». Автор работает старшим специалистом по OSINT в Qomplx, Inc., ведет свой блог и подкаст под названием Advanced Persistent Security. Он публиковал материалы по кибербезопасности в изданиях TripWire, AlienVault, ITSP Magazine и отлично знает, о чем говорит.

Фишинг

В 2020 году мошенники рассылали email-сообщения пользователям Facebook с сообщением о том, что их аккаунт заблокировали. В письме говорилось, что человек не сможет постить видео, а в дальнейшем его аккаунт вовсе будет удален.

Фишинговое письмо, отправленное с аккаунта Facebook. Источник: abnormalsecurity

Это и есть фишинг (англ. phishing от fishing — рыбная ловля, выуживание) — вид мошенничества, с помощью которого хакеры пытаются узнать конфиденциальную информацию жертвы. 

Обычно преступники рассылают фишинговые письма пользователям с просьбой предоставить какую-то информацию, открыть файл или перейти по какой-то ссылке. Согласно отчета Symantec Internet Security Threat Report (ISTR) за 2021 год, примерно 0,5% всего URL-трафика являются фишинговыми, а 5,8% этого трафика — вредоносными.

У фишинга есть две разновидности: вейлинг и вишинг.

Вейлинг (от whaling, «китобойный промысел») — фишинг, направленный на людей с крупными должностями. Например, топ-менеджеров компаний.

В 2015 году компания The Ubiquiti Networks потеряла 40 миллионов долларов по вине хакеров. Им не пришлось вообще ничего взламывать, они просто прислали электронное письмо от имени топ-менеджера компании и попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт. В итоге сотрудники не проверили подлинность письма и отправили деньги.

Вишинг (голосовой фишинг, voice + phishing = vishing) — фишинг по телефону. В этом случае жертве звонят и просят сделать какое-то действие.

В сентябре 2020 года о вишинг-атаке рассказала медицинская организация Spectrum Health System. Мошенники маскировались под работников клиники и звонили пациентам. Целью злоумышленников было — получить персональные данные и украсть деньги у пациентов и работников клиники.

Spectrum Health сообщила, что злоумышленники льстили и даже угрожали жертвам, чтобы заставить тех передать свои данные, деньги или доступ к личным устройствам.

Трояны

В декабре 2021 года хакеры разослали людям письмо с оповещением, что их уволили с работы или, наоборот, выплачивали им новогодний бонус. Также в письмо вкладывали Excel-файл с вирусом Dridex, который ворует банковские данные с компьютера.

Письмо c вирусом, которое рассылали мошенники. Источник: proofpoint Еще один вариант письма с вирусом Dridex. Источник: proofpoint

Сколько денег удалось украсть хакерам, неизвестно. Но общий ущерб, который принес вирус за время своего существования, оценивают в 31 млн. долларов.

Так работает социальная инженерия через трояны. Мошенники распространяют вирус в почтовых сообщениях или соцсетях. В письме они рассказывают о возможности, которая помогает получить быструю прибыль, подарок и так далее. Для этого нужно просто перейти по какой-то ссылке или установить какое-то приложение. В результате жертва получает вирус, с помощью которого злоумышленники крадут данные. 

Quid pro quo (услуга за услугу)

Представьте ситуацию: к работнику компании обратился IT-сотрудник, который предлагает провести аудит компьютера и удалить потенциальные вирусы, снижающие производительность его ПК.  

Чтобы это сделать, айтишник просит пользователя установить программу удаленного доступа, чтобы помочь ему из офиса. Жертва устанавливает программу, а она оказывается вирусом, который ворует с компьютера всю информацию, связанную с банковскими данными.

Такой вид мошенничества называется Quid pro Quo или «услуга за услугу». В общем виде атаки работают так: хакер звонит жертве, у которой якобы что-то сломалось в компьютере и предлагает помощь в решении проблемы. 

В процессе работы над проблемами, мошенник вынуждает жертву сказать какие-нибудь данные, например, логин и пароль. Либо вынуждает установить вредоносное ПО, а вирус делает все остальное.

Претекстинг

В США часто используют претекстинг для мошенничества от лица сотрудника социального страхования. Злоумышленники заранее записывают обращение к жертве, в котором говорят о том, что номер социального страхования жертвы был или будет заблокирован из-за отмывания денег, торговли наркотиками и мошенничества. Чтобы «избежать наказания», нужно перевести деньги на счет мошенников. В большинстве случаев люди паникуют и отправляют деньги.

В ходе атаки, основанной на претекстинге, хакер представляется другим человеком, и по заранее подготовленному сценарию узнает конфиденциальную информацию. Для претекстинга мошенники используют данные паспорта или последние 4 цифры банковского счета жертвы, чтобы втереться в доверие. Атаку обычно проводят по телефону или через электронную почту.

Обратная социальная инженерия

О случаях обратной социальной инженерии рассказывала поддержка Microsoft в 2021 году. Они утверждают, что трое из пяти людей сталкивались с мошенничеством под видом технической поддержки, а каждый шестой пользователь — взаимодействовал с хакерами по несколько раз. Жертвы сами сообщали мошенникам пароли от аккаунтов или данные банковских карт. Каждый пострадавший от атаки терял, в среднем, от 200 $. 

Работает это так: хакер обращается к жертве от имени человека, обладающего каким-то авторитетом в технической или социальной сфере.

Из-за того, что к мошеннику изначально возникает доверие, жертва сама передает важную личную информацию, не сомневаясь в его порядочности.

Сотрудники службы поддержки никогда не спрашивают у пользователей пароли от аккаунтов. Но было замечено, что некоторые сами пытаются сообщить конфиденциальную информацию, чтобы их проблему решили быстрее.

Манипуляции, которые мошенники используют чаще всего

Не всегда нужно писать вредоносный софт, заморачиваться над текстом сообщений или пытаться скопировать голос. Человека можно обмануть и в самой обычной переписке. Делают это несколькими способами.

Вызывают доверие жертвы

У парня по имени Майк украли 300 000 $ через сайт знакомств. Он познакомился в Tinder с девушкой, которая предложила подзаработать на криптовалюте и подсунула ему адрес фейковой криптобиржи. Майк перевел туда деньги, но вывести обратно уже не смог.

Мошенники часто играют на нашем доверии. Они представляются теми, от кого не ждешь обмана: работниками банков, полиции, родственниками и так далее. Злоумышленник может прикинуться кем угодно, просто взломав его аккаунт в соцсети. С потенциальными жертвами знакомятся, общаются несколько дней, а потом обычно просят перевести деньги — по какой-то срочной причине, либо предлагают подзаработать. 

Чтобы вызвать доверие, мошенники стараются узнать побольше о потенциальной жертве. Для этого покупают базы с украденными данными пользователей или собирают информацию из соцсетей, где люди сами охотно делятся фактами о себе. Но настоящий рай для жулика, если человек где-то случайно засветил номер банковской карты или скрин паспорта — по ним можно легко придумать легенду и втереться в доверие.

Преступники с успехом подделывают номера телефонов, документы и даже голос. В марте 2019 сотруднику энергетической компании позвонил человек, который говорил голосом CEO. Жулик использовал AI, но звонок был настолько убедительным, что обманутый сотрудник перевел 243 000 $ на неизвестный счет.

Поддельные сайты — частое явление. Например, страницы маркетплейса или банка.

Когда человек введет логин, пароль или платежные данные, специальный скрипт их запомнит и передаст злоумышленникам. 

В июне 2022 была создана копия сайта BAYC — платформы по продаже NFT. Затем хакер взломал Discord одного из сотрудников и разослал от его имени ссылку на этот поддельный сайт. В результате люди, которые не ожидали подвоха, покупали NFT и теряли деньги. Всего было украдено 142 ETH — эквивалент 250 000$.

Our Discord servers were briefly exploited today. The team caught and addressed it quickly. About 200 ETH worth of NFTs appear to have been impacted. We are still investigating, but if you were impacted, email us at [email protected].

— Bored Ape Yacht Club (@BoredApeYC) June 4, 2022

Акцентируют внимание на срочности

Мошенник может позвонить жертве и уверять, что случайно перевел деньги на номер телефона или карту. И требовать вернуть деньги как можно скорее. В итоге кто-то может не проверить счет и отправить деньги обратно, лишь бы отделаться от надоедливых звонков.

Злоумышленники давят на срочность, чтобы люди быстрее совершили какое-то действие. Так у жертвы не будет времени, чтобы обдумать ситуацию, а мошеннику проще обмануть.

Пугают потерей денег

Типичный сценарий: человек звонит вам по Viber или WhatsApp и представился сотрудником банка. Он начинает рассказывать, что с вашего счета прямо сейчас пытаются перевести деньги на другой. А если инициатор перевода не вы, нужно срочно его отменить — просто назвать для этого CVC-код с обратной стороны карты.

Мошенники играют на страхе, потому что он заставляет жертву совершать необдуманные поступки.

Заманивают выигрышем или легкими деньгами

Об такой схеме мы рассказывали в материале «Как не потерять деньги: 9 схем, которые используют криптовалютные мошенники». Если коротко, преступники вели трансляцию на YouTube от имени Илона Маска и предлагали всем желающим отправить Dogecoin на блокчейн-адрес, чтобы получить взамен в два раза больше монет.   Это был обман, в результате которого жертвы потеряли почти 5 000 000 $.

Велось несколько одинаковых трансляций на 6 тысяч зрителей. Хрошо, что не все решили подзаработать. Изображение: Trmlabs

Кстати, этот метод до сих пор работает, потому что люди любят выигрывать или получать денежные вознаграждения за какие-то простые действия. Обычно используют громкие инфоповоды.

В пандемию COVID-19 мошенники рассылали письма с zip-архивами, в которых якобы были собраны рекомендации ВОЗ по борьбе с вирусом. На самом деле файл содержал вредоносное ПО, которое воровало информацию с компьютера.

Пример файла якобы от ВОЗ, который рассылали во время пандемии. Источник:malwarebytes

Как защититься от методов социальной инженерии

Особенность социальной инженерии в том, что жертва самостоятельно пересылает деньги или информацию, переходит по вредоносным ссылкам или скачивает зараженное ПО. Обманут человека или нет, зависит от только от  него самого. Чтобы снизить риск, нужно соблюдать несколько простых правил поведения в интернете.

1. Не доверяйте незнакомцам

Если пишет или звонит незнакомец — спросите, кто он и почему вы должны ему верить. Если начинает давить на вас или уклоняться от ответа — просто блокируйте.

Не общайтесь с неизвестными людьми, которые звонят или пишут первыми и предлагают решить какую-то проблему. Лучше связаться с компанией или банком самостоятельно, взяв контакты на официальном сайте.

Вот детали, которые могут выдать мошенника в письме или разговоре:

• Привлекает ваше внимание. Например, сообщает об ошибочных денежных переводах, обещает денежную компенсацию за что-то. Либо говорит, что вашу учетную запись заблокировали и взломали, а чтобы вернуть доступ, нужно перевести деньги на такой-то счет.
• Нагнетает обстановку. Заставляет торопиться, чтобы вы не успели оценить ситуацию. Для этого в письмах пишет что-то вроде «срочно!» или «у вас остался один час». А в телефонном разговоре начинает кричать в трубку или давить.
• Пишет с ошибками или опечатками в тексте. Например, вместо английской «l» (маленькая буква L) — «I» (большая буква «ай»). В тексте легко не заметить различий, если там используется шрифт подобный Arial, в котором обе буквы выглядят практически одинаково. Еще пример: пишет «знаеш» или «розыгрышь». Таким способом мошенники часто пытаются обойти спам-фильтры.

От опечаток в тексте можно защититься, если изменить шрифт сообщений в почте. Например, в шрифтах Tahoma и Verdana нет букв со сходным написанием, поэтому обмануть вас будет сложнее.

• Пишет со странного адреса или звонит с подозрительного номера. Адрес отправителя вроде «[email protected]» или какой-то несуразный домен в адресе крупной организации — верный признак подделки. С номерами телефонов так же: Если вы живете в Латвии, а звонят из вашего банка, но почему-то с номера в Казахстане — скорее всего, это обман.

Мошенники используют две слабости человеческой натуры — страх и любопытство. Поэтому в своих письмах они обещают «эксклюзивные» предложения, «срочные» контракты, «экстренные» новости и так далее. Любое письмо или звонок с такими посылами должны вызывать подозрение и недоверие. И, конечно же, такую информацию необходимо перепроверить.

Иногда злоумышленники пишут или звонят от имени настоящих компаний, организаций, представляются сотрудниками государственных органов, друзьями и родными. И первое, что мы должны сделать, если сообщение вызывает подозрения — проверить личность.

Перезвоните своему клиенту, родственнику или в компанию, от чьего имени действует отправитель и уточните, он ли отправил вам письмо. Если звонят по телефону — попробуйте скинуть и перезвоните настоящему родственнику или другу сами.

Также помните — ни одна солидная компания или госорганизация не будет вам звонить с помощью Viber или других мессенджеров.

2. Защитите компьютер и аккаунты

• Установите антивирус. Это убережет от вредоносных программ и перехода по фишинговым ссылкам. Если мошенники пришлют свою ссылку, а вы попытаетесь по ней перейти — антивирус предотвратит переход или заблокирует вредоносное ПО.
• Разделите почту на личную и рабочую. Создайте разные email-адреса для работы и личной жизни. Если придет рассылка от Facebook, связанная с вашей личной жизнью на рабочую почту, вы сразу поймете, что пишут мошенники.
• Придумайте сложные и уникальные пароли. Сложный пароль труднее разгадать, если вы сами не выдадите его хакеру. А несколько разных нужно использовать для того, чтобы хакер не получил доступ ко всем аккаунтам, если узнает данные для входа в один из них.
• Используйте двухфакторную аутентификацию. 2FA — метод идентификации пользователя с помощью специальных кодов, которые приходят по SMS или на почту. Даже, если ваши пароли украдут, хакерам понадобится подобрать пароль к почте или украсть телефон, чтобы пройти 2FA.

Двухфакторная аутентификация — хороший сопосб защиты, но не идеальный. Например, если жертва попадет на фальшивый сайт интернет-банкинга и введет там данные своей карточки, то получит СМС с проверочным кодом для перевода денег. В этом случае никакая защита не спасет — человек сам отправит деньги.

Идеального рецепта не существует. Главное, постоянно повышать уровень информационной грамотности, учить этому своих родных и близких. И изначально относится ко всему так, будто вас пытаются обмануть.

3. Проверяйте источники ссылок

Не переходите по ссылкам, которые присылают незнакомцы. Если ссылку прислал друг, коллега или родственник, но не написал сопроводительный текст — не переходите по ней. Возможно, его аккаунт взломали и рассылают спам.

Если вам прислали ссылку на сайт или загрузку какого-то файла, не спешите кликать по ним. Особенно, если на компьютере на установлено никаких антивирусов. Первым делом позвоните отправителю и уточните, что конкретно он прислал. Ведь его могли взломать и рассылать сообщения от его имени.

Другой вариант — проверить ссылку через специальный сервис. Например, AVG Threatlabs или Kaspersky VirusDesk.

Как обезопасить данные сотрудников компании 

Для корпоративной защиты есть много инструментов, которые позволяют компаниям защитить своих сотрудников и данные. Например,

Data Leak Prevention — технологии, программные и аппаратные средства, которые предотвращают утечку конфиденциальной информации из системы. Они анализируют исходящие и входящие данные, которые сотрудники, либо вредоносные программы, пытаются передать за пределы корпоративной сети компании.

» data-bs-trigger=»focus» data-bs-custom-class=»popover_footnote» data-footnote=»{«content»:»Data Leak Prevention — технологии, программные и аппаратные средства, которые предотвращают утечку конфиденциальной информации из системы. Они анализируют исходящие и входящие данные, которые сотрудники, либо вредоносные программы, пытаются передать за пределы корпоративной сети компании.»,»linkContent»:»»,»linkUrl»:{«value»:»»,»meta»:{}}}»>DLP или

Sandbox, «Песочница» — изолированная среда для безопасного исполнения компьютерных программ. Также песочницей часто называют решения для выявления неизвестных угроз. Они могут обнаружить даже новые типы вирусов, которых пока нет в антивирусных базах и защитить ПК от заражения.

» data-bs-trigger=»focus» data-bs-custom-class=»popover_footnote» data-footnote=»{«content»:»Sandbox, «Песочница» — изолированная среда для безопасного исполнения компьютерных программ. Также песочницей часто называют решения для выявления неизвестных угроз. Они могут обнаружить даже новые типы вирусов, которых пока нет в антивирусных базах и защитить ПК от заражения.»,»linkContent»:»»,»linkUrl»:{«value»:»»,»meta»:{}}}»>Sandbox.

Грубо говоря, DLP выстраивает своеобразный защитный периметр вокруг компании — по приципу таможни. Когда информация пытается пересечь этот периметр, она анализируется на наличие конфиденциальных сведений. В случае их обнаружения, передача данных во внешний мир запрещается, а специалист по инфобезопасности получает уведомление.

Если сотрудник сфотографировал свою банковскую карточку, паспорт или секретный документ и пытается отправить его по электронной почте, система DLP анализирует эти файлы. И если видит секретную информацию — подает сигнал.

Песочницы спасут даже в том случае, если кто-то из офиса попробует скачать хакерское ПО или нажать не на ту ссылку. Например, на почту сотрудника компании отправили зараженный файл. До того, как письмо дойдет до получателя, оно автоматически открывается в песочнице, а файл запускается. Вирус «думает» что он оказался на компьютере и начинает заражать другие файлы, либо массово размножаться. Система видит эту подозрительную активность, файл блокируется — до настоящего пользователя и его компьютера он уже не доходит.

«‎‎Главная ошибка собеса — подгонять ответы»‎. Рекрутеры рассказали о найме в IT

Откуда берутся IT-рекрутеры, с какими трудностями они сталкиваются в попытках закрыть позиции и какие ошибки сами совершают на интервью — полезно знать перед тем, как искать работу.

Что такое социальная инженерия? | 1Password

Для обычного человека «традиционный взлом» на самом деле не является постоянной угрозой. Маловероятно, что хакер когда-либо попытается выследить вас, украсть одно из ваших устройств и обойти все, что вы настроили для защиты своих личных данных. Социальная инженерия, с другой стороны, становится все более распространенной угрозой безопасности, с которой вы, вероятно, уже сталкивались много-много раз.

Вы когда-нибудь получали подозрительное электронное письмо, якобы от известной компании? Роботизированная голосовая почта, запрашивающая вашу информацию? У большинства из нас есть. Хотя это может показаться неприятностью, которую можно игнорировать, социальная инженерия — это вполне реальная угроза, к которой нужно быть готовым.

Мы все были там. Вы получаете нелепо выглядящее электронное письмо, полное опечаток, якобы от службы, которой вы даже не пользуетесь, с просьбой войти в систему и поделиться своей информацией. Может показаться невероятным, что кто-то может попасться на такую ​​вопиющую аферу, но не позволяйте очевидным уловкам усыпить вас ложным чувством безопасности. Методы социальной инженерии постоянно развиваются, и, поскольку они включают в себя человеческий фактор, мы все подвержены ошибкам.

Социальная инженерия манипулирует людьми, заставляя их делиться конфиденциальными данными, такими как логины и платежная информация, обычно с помощью какой-либо технологии. Этот метод не требует суперкомпьютера или причудливых алгоритмов для взлома пароля человека. Вместо этого злоумышленник сосредотачивается на том, чтобы обмануть цель — обычно выдавая себя за кого-то, заслуживающего доверия, — чтобы передать свою личную информацию. Используя человеческую психологию и поведение, злоумышленник может извлечь выгоду из таких эмоций, как страх, доверие и тревога, и использовать человеческие ошибки для обмана жертв.

Очень важно знать наиболее распространенные методы и явные признаки атак социальной инженерии. Когда вы знаете, чего ожидать, легче заметить эти распространенные методы и сделать паузу на мгновение, прежде чем предпринимать какие-либо действия, которые могут поставить под угрозу ваши данные.

• Фишинг: Фишинг — это атака методом социальной инженерии, которая включает в себя отправку мошеннических сообщений, обычно электронных писем, с целью обманом заставить получателя поделиться конфиденциальными данными или информацией. Этот метод настолько распространен, что теперь у нас есть термины для различных типов фишинга:

  • Вишинг: Голосовой фишинг через телефонные звонки, часто с запросом личной информации.
  • Смишинг: Фишинговые SMS или текстовые сообщения, содержащие вредоносные ссылки.
  • Целевой фишинг: Целевой фишинг нацелен и адаптирует атаку к конкретному человеку или компании.
  • Whale-фишинг: Whale-фишинг специально нацелен на высокопоставленных сотрудников или «крупную рыбу», например руководителей, для получения конфиденциальных данных.
  • Фишинг рыболова: Фишинг Angler — это новая форма социальной инженерии, нацеленная на пользователей социальных сетей. Злоумышленник притворяется агентом службы поддержки клиентов, который обращается к клиентам, чтобы получить доступ к данным, таким как учетные данные.

• Претекстинг: Претекстинг — это тип атаки социальной инженерии, при которой хакер создает ситуацию или предлог, например, притворяется представителем службы поддержки клиентов банка, чтобы обманом заставить жертву поделиться конфиденциальной информацией.

• Приманка: Приманка происходит, когда злоумышленник оставляет устройство, например USB-накопитель, чтобы его где-то нашли. Он предназначен для установки вредоносных программ и других вредоносных файлов, когда цель вставляет их в свой компьютер.

• Прячущиеся пути: Этот метод социальной инженерии применяется, когда злоумышленник физически следует за кем-то, имеющим доступ, в место, где он не должен находиться. Это может быть так же просто, как держать дверь открытой для кого-то в офисе.

• Услуга «услуга за услугу»: При атаке «услуга за услугу» социальный инженер делает вид, что предоставляет что-то, обычно услугу, в обмен на помощь или данные цели. Например, злоумышленник может позвонить жертве, представившейся сотрудником ИТ-отдела, чтобы получить доступ к ее компьютеру.

• Scareware: Scareware — это тип вредоносного ПО, предназначенный для того, чтобы напугать вас и заставить предпринять какое-либо быстрое действие, например, немедленно загрузить программное обеспечение для удаления поддельного вируса с вашего компьютера.

• Медовая ловушка: В медовой ловушке злоумышленник будет действовать так, как будто он испытывает сексуальный или романтический интерес к жертве, чтобы получить доступ к данным или деньгам.

• Water Holing: Water Holing использует доверие, которое мы оказываем сайтам, которые мы регулярно посещаем. Злоумышленник может искать уязвимости и заражать сайт вредоносными программами или воссоздавать невероятно похожие версии законного веб-сайта, чтобы перенаправить на них жертв. Это может привести к тому, что цели непреднамеренно загрузят вредоносные программы или программы-вымогатели, передадут личную информацию или станут мишенью для последующих фишинговых атак. Атаки типа Water Holing распространены в случаях крупномасштабных утечек данных известных организаций.

Возможно, в последнее время вы заметили появление термина «обратная социальная инженерия». Обратная социальная инженерия — прекрасный пример того, как хакеры могут адаптировать и развивать свои методы, чтобы закинуть более широкую сеть и охватить больше жертв.

В то время как во многих традиционных атаках с использованием социальной инженерии атакующий приближается к цели, при использовании обратной социальной инженерии жертва неосознанно обращается к злоумышленнику, обычно за помощью. Например, злоумышленник может выдать себя за агента службы поддержки коммунальной компании или банка в социальных сетях. Когда жертва обращается к «агенту поддержки» по поводу обслуживания клиентов, злоумышленник может получить доступ к данным учетной записи, платежной информации и паролям под видом предоставления поддержки клиентов.

Осведомленность и осведомленность о различных методах социальной инженерии является важной частью предотвращения атак, но вы можете дополнительно укрепить свою безопасность, выполнив еще несколько шагов:

1. Будьте в курсе событий. Хакеры всегда придумывают разные способы использования существующих методов социальной инженерии или изобретают новые атаки. Будьте в курсе распространенных методов и того, как они могут развиваться. Подпишитесь на информационные бюллетени или подкасты, следите за своими любимыми источниками в социальных сетях или настройте оповещения Google, которые будут держать вас в курсе онлайн-безопасности.
2. Притормози и оцени. Если вас преследуют, независимо от используемой техники социальной инженерии, ничто не мешает вам остановиться на мгновение, чтобы оценить ситуацию. Узнаете ли вы отправителя текстового сообщения? Будет ли ваш банк запрашивать у вас личную информацию по электронной почте? Звучит слишком хорошо, чтобы быть правдой? Нет ничего плохого в том, чтобы провести небольшое исследование источника, например, позвонить в компанию, чтобы подтвердить детали, или ввести номер телефона в предпочитаемую вами поисковую систему. Следуйте своей интуиции — если она окажется законной, вы потратили всего несколько дополнительных минут на безопасность.
3. Держите все в курсе. Делайте все возможное, чтобы поддерживать все в актуальном состоянии — от ваших устройств до программного обеспечения. Если доступны автоматические обновления, включите их.
4. Включите двухфакторную аутентификацию. Если у вас есть возможность, включите двухфакторную аутентификацию (2FA), чтобы добавить второй уровень безопасности к своим учетным записям поверх ваших обычных данных для входа. Этот дополнительный метод проверки означает, что даже в худшем случае, если атака социальной инженерии успешна и кто-то еще знает ваш пароль, ему будет намного сложнее получить доступ к вашим конфиденциальным данным.

Последний шаг — использовать менеджер паролей, например 1Password. Наряду с удобством создания надежных паролей и возможностью входа на сайты одним щелчком мыши менеджер паролей добавит еще один уровень безопасности, чтобы защитить вас от социальной инженерии и других киберпреступлений.

Например, большинство менеджеров паролей сохраняют URL-адрес веб-сайта вместе с вашим именем пользователя и паролем, чтобы знать, когда следует автоматически вводить ваши учетные данные. Если вы непреднамеренно посетили веб-сайт, на который направлена ​​атака с использованием водяных дыр, вы сразу же заметите, что ваш менеджер паролей не предлагает автозаполнение вашего имени пользователя и пароля. Присмотревшись к URL-адресу веб-сайта, вы поймете, что находитесь на поддельном сайте, что предотвращает компрометацию ваших данных.

Кроме того, использование менеджера паролей, такого как 1Password, поможет вам узнать, где можно включить двухфакторную аутентификацию, уведомит вас, если какой-либо из ваших паролей появился при утечке данных, и предупредит вас о слабых или повторно используемых паролях. 1Password Watchtower также предупреждает вас о проблемах безопасности на веб-сайтах, которые вы используете, чтобы вы могли защитить все свои учетные записи.

Помните, что любой может стать жертвой атаки социальной инженерии. Человеческий мозг всегда будет подвержен манипуляциям, независимо от того, насколько вы умны или технически подкованы. Но если вы будете бдительны, изучите общие тактики и используете правильные инструменты, вы сможете обнаружить мошенничество и обезопасить себя в Интернете.

Готов защитить себя?

Защитите все свои учетные записи с помощью 1Password, самого надежного в мире менеджера паролей. Начните сегодня с бесплатной 14-дневной пробной версии.

Попробуйте бесплатно в течение 14 дней

Эмили Чиокони

Менеджер по контент-маркетингу

4 способа, которыми хакеры используют социальную инженерию, чтобы обмануть ваших сотрудников (и вас!)

Компании всех размеров регулярно становятся жертвами ловких хакеров. Компрометация деловой электронной почты (BEC) часто происходит просто потому, что хитрый преступник выдавал себя за надежный источник.

Возможно, вы уже слышали термин «социальная инженерия», и это, по сути, то, чем он является: злонамеренные «социальные инженеры», использующие манипуляции, обман и влияние, чтобы убедить сотрудника или подрядчика невольно раскрыть секретную информацию или выполнить действие который предоставляет несанкционированный доступ к вашим информационным системам.

И социальная инженерия встречается чаще, чем вы думаете, поскольку это один из двух основных методов, используемых преступниками для кражи у таких организаций, как ваша. Расскажите своим сотрудникам о реальных опасностях социальной инженерии, показав им несколько примеров того, как хакер может нанести удар:

1. Хакеры используют фишинговые электронные письма или телефонные звонки.

Одной из наиболее распространенных форм социальной инженерии является фишинг, когда хакер пытается заставить вашего сотрудника щелкнуть или загрузить вложение с внедренным вредоносным ПО, чтобы заразить устройство компании, открывая злоумышленникам дверь. Эти хитрые отправители электронной почты часто маскируются. как важные лидеры, притворяясь менеджером или поставщиком, которому ваш сотрудник может доверять. Они также часто внушают чувство срочности, чтобы открыть файл или выполнить определенную задачу, или даже используют страх, чтобы подтолкнуть получателей к необдуманным решениям.

Но фишинговые письма — не единственная практика; некоторые хакеры используют предлоговые телефонные звонки, также известные как голосовой фишинг (вишинг) — звонят в бизнес-экспорты и выдают себя за авторитетных лиц, чтобы заставить ваших сотрудников поделиться секретами или инсайдерской информацией, которая также поможет хакерам украсть информацию. Мы все получали голосовые сообщения с угрозами от людей, говорящих, что вы опоздали с платежом или нарушающих правила, и стремящихся заставить вас перезвонить в панике и поделиться своей личной информацией (PI).

Всякий раз, когда ваши сотрудники находят в своем почтовом ящике электронное письмо с вложением, напомните им подумать, прежде чем щелкнуть. Если они получат подозрительное голосовое сообщение, найдите информацию и позвоните в компанию, чтобы подтвердить, что звонок был законным.

2. Хакеры могут имитировать контакт в вашем телефоне и отправлять вам текстовые сообщения.

В течение многих лет вокруг хитрых текстовых сообщений ходил ажиотаж: в то время как хакеры спамили телефонные номера пугающими сообщениями, в которых говорилось что-то вроде: «500 долларов только что сняли с вашего банковского счета, вы это сделали? Если нет, позвоните по этому номеру телефона», NBC News проиллюстрировано в качестве примера .

Но хакеры освоили новую тактику, теперь используя программное обеспечение, чтобы выдать себя за доверенное лицо — , чтобы вы никогда не знали, кому вы отправляете сообщения за экраном. В одном из выступлений в прямом эфире , например, Кевин Митник показывает, как легко подделать текст от вашего партнера или друга, незаметно попросив вас что-то сделать (около 50 минут).

Преступник может легко использовать эту тактику, выдавая себя за вас перед вашими сотрудниками. Они просто запрашивают действие и указывают «не отвечайте прямо сейчас, я на совещании» или другое оправдание, которое даст им достаточно времени, чтобы получить то, что они хотят, прежде чем цель заметит что-нибудь подозрительное. Из-за этого всегда лучше попросить своих сотрудников позвонить и проверить любой запрос, выходящий за рамки нормы, прежде чем выполнять его. Прививайте это чувство своим сотрудникам или, что еще лучше, создайте протокол для двойной проверки любого запроса от авторитетного лица в тексте или по электронной почте.

3. Хакеры могут легко проникнуть внутрь, если знают девичью фамилию матери.

Вас когда-нибудь просили назвать девичью фамилию матери во время досмотра? Этот ответ когда-то считался большой ошибкой для плохих парней, которые украли имена и информацию о кредитных картах, остановив их на своем пути.

Но современные элитные хакеры могут получить доступ к базе данных с функцией простого поиска по девичьим фамилиям. Все, что нужно знать плохому актеру, — это имя и фамилию, а также примерный возраст, чтобы найти его. А с огромным количеством личной информации в общедоступных профилях в социальных сетях не так уж сложно заполнить пробелы с помощью PI, которые обычно задают в запросах безопасности.

Как всегда, предпочтительнее требовать многофакторную аутентификацию, чтобы избежать ложной авторизации в вашей учетной записи. Некоторые специалисты даже рекомендуют давать неправильные ответы PI при заполнении контрольных вопросов и хранить ваши ответы где-нибудь для безопасного обращения, чтобы избежать угадывания ваших вопросов. Будьте очень осторожны с теми, с кем вы делитесь девичьей фамилией вашей матери или другой личной информацией, как в Интернете, так и лично, поскольку эта, казалось бы, невинная информация может быть использована для входа на частные порталы.

4. Хакеры могут использовать тактику социальной инженерии лично, получая ложный вход или запрашивая подключение зараженного диска или кабеля.

Хакеры — не только кибер-хищники: они также могут предпринимать физические действия, чтобы получить доступ к вашим системам. Помимо очевидного взлома, когда злоумышленник крадет файлы или устройства прямо из вашего офиса, другие могут пройти прямо через вашу дверь и украсть информацию прямо у вас перед носом.

Злоумышленники могут использовать устройство для кражи учетных данных сотрудников с бесконтактных карт доступа. В зависимости от силы их набора инструментов, определите идентификатор карты и сайта вашего отдельного сотрудника, просто встав в нескольких футах или дюймах от человека, несущего брелок. Эти умные кибер-воры могут затем получить доступ к зданию в нерабочее время и подключиться к серверу для кражи информации.

Или, в других более публичных условиях, преступники могут создать проход через вашу систему безопасности, просто подключив зараженный вредоносным ПО USB-накопитель или кабель к компьютеру вашего сотрудника. Все, что для этого нужно, — это простой вопрос: «Эй, могу я подключить это, чтобы напечатать что-нибудь?» или «Вы не возражаете, если я буду заряжать свой телефон на этом ноутбуке?» чтобы быстро предоставить им удаленный доступ к рабочему столу вашего сотрудника и серверам компании за его пределами. Чтобы избежать подобных схем социальной инженерии, всегда напоминайте своим сотрудникам подумать, прежде чем подключать неизвестное устройство к своему компьютеру, и будьте строги в отношении того, чтобы не допускать подключения неизвестных дисков или кабелей к устройствам компании.

Демонстрация реальных примеров угроз социальной инженерии

Хакеры всегда разрабатывают новые способы обмана невинных людей, чтобы они раскрывали конфиденциальную информацию для получения денежной выгоды.