Социальной инженерии: Что такое социальная инженерия: история, методы, примеры

В данной сфере я буду выступать лишь как исследователь, никаких вредоносных сайтов и файлов я не создавал. Если кому-то приходило письмо от меня со ссылкой на сайт, то этот сайт был безопасен. Самое страшное, что там могло быть, — это отслеживание пользователя счетчиком «Яндекс.Метрики».

Еще по теме: Социальная инженерия с точки зрения психологии

Примеры социальной инженерии

Наверняка вы слышали про спам с «актами выполненных работ» или договорами, в которые вшиты трояны. Такой рассылкой бухгалтеров уже не удивишь. Или всплывающие окна с «рекомендациями» скачать плагин для просмотра видео — это уже скучно. Я разработал несколько менее очевидных сценариев и представляю их здесь в качестве пищи для размышлений. Надеюсь, что они не станут руководством к действию, а, наоборот, помогут сделать Рунет безопаснее.

Верифицированный отправитель

Иногда администраторы сайтов по недосмотру не включают фильтрацию поля «Имя» в форме регистрации (скажем, при подписке на рассылку или при отправке какой-нибудь заявки). Вместо имени можно вставить текст (иногда килобайты текста) и ссылку на вредоносный сайт. В поле email вставляем адрес жертвы. После регистрации этому человеку придет письмо от сервиса: «Здравствуйте, уважаемый…», а дальше — наш текст и ссылка. Сообщение от сервиса будет в самом низу.

Как это превратить в оружие массового поражения?

Элементарно. Вот один случай из моей практики. В одном из поисковиков в декабре 2017 года была обнаружена возможность отправки сообщений через форму привязки запасного email. До того как я выслал отчет по программе bug bounty, имелась возможность отправлять 150 тысяч сообщений в сутки — нужно было только немного автоматизировать заполнение формы.

Этот трюк позволяет отправлять мошеннические письма с настоящего адреса техподдержки сайта, со всеми цифровыми подписями, шифрованием и так далее. Вот только вся верхняя часть оказывается написанной злоумышленником. Такие письма приходили и мне, причем не только от крупных компаний вроде booking.com или paypal.com, но и от менее именитых сайтов.

В моем тесте по ссылке перешло около 10% получателей. Комментарии излишни.

А вот «тренд» апреля 2018-го.

Письма с Google Analytics

Расскажу о совсем новом случае — за апрель 2018 года. С почты Google Analytics [email protected] на несколько моих адресов начал приходить спам. Немного разобравшись, я нашел способ, которым его отправляют.

«Как это применить?» — подумал я. И вот что пришло на ум: мошенник может сделать, например, такой текст.

При переходе по ссылке пользователь попадал бы на поддельный сайт и оставлял бы свой пароль.

Такой сбор паролей можно провести не только адресно, но и массово, нужно лишь немного автоматизировать процесс сбора доменов с Google Analytics и парсинга email с этих сайтов.

Любопытство

Этот метод заставить человека перейти по ссылке требует некоторой подготовки. Создается сайт фейковой компании с уникальным названием, которое сразу привлекает внимание. Ну, например, ООО «ЗагибалиВыгибали». Ждем, пока поисковики его проиндексируют.

Теперь придумываем какой-нибудь повод разослать поздравления от имени этой компании. Получатели тут же начнут его гуглить и найдут наш сайт. Конечно, лучше и само поздравление сделать необычным, чтобы получатели не смахнули письмо в папку со спамом. Проведя небольшой тест, я легко заработал более тысячи переходов.

Фейковая подписка на рассылку

О фишинге путем заманивания на фейк-страницу вы уже наверное знаете. Вот совсем легкий способ заставить пользователя перейти на сайт по ссылке в письме. Пишем текст:

«Спасибо, что подписались на нашу рассылку! Ежедневно вы будете получать прайс-лист железобетонной продукции. С уважением, …». Дальше добавляем ссылку «Отписаться от рассылки», которая будет вести на наш сайт. Конечно, никто на эту рассылку не подписывался, но вы удивитесь, узнав число спешно отписывающихся.

Майнинг имейлов

Чтобы составить свою базу, необязательно даже писать собственный краулер и обходить сайты в поисках плохо лежащих адресов. Достаточно списка всех русскоязычных доменов, которых сейчас насчитывается около пяти миллионов. Добавляем к ним info@, проверяем получившиеся адреса и в итоге имеем где-то 500 тысяч рабочих почт.

Точно так же можно приписывать director, dir, admin, buhgalter, bg, hr и так далее. Под каждый из этих отделов готовим письмо, рассылаем и получаем от сотен до тысяч ответов от сотрудников определенной сферы деятельности.

Еще по теме: Техники социальной инженерии

А что это там написано?

Чтобы заманить людей с какого-нибудь форума или сайта с открытыми комментариями, не нужно выдумывать заманчивые тексты — достаточно всего лишь запостить картинку. Просто выберите что-нибудь попривлекательнее (какой-нибудь мем) и ужмите так, чтобы различить текст было невозможно. Любопытство неизменно заставляет пользователей кликать по картинке. Я в своих исследованиях провел эксперимент и получил таким примитивным способом около 10k переходов. Этим же способом злоумышлении когда-то доставляли трояны через ЖЖ (живой журнал).

Как вас зовут?

Заставить пользователя открыть файл или даже документ с макросом не так сложно, даже несмотря на то, что многие слышали о подстерегающих опасностях. При массовой рассылке даже просто знание имени человека серьезно повышает шансы на успех.

Например, мы можем отправить письмо с текстом «Этот email еще активен?» или «Напишите, пожалуйста, адрес вашего сайта». В ответе как минимум в 10–20% случаев придет имя отправителя (чаще это встречается в крупных компаниях). А через какое-то время пишем «Алёна, здравствуйте. Что такое с вашим сайтом (фото приложил)?» Или «Борис, добрый день. Никак не разберусь с прайсом. Мне 24-я позиция нужна. Прайс прикладываю». Ну а в прайсе — банальная фраза «Для просмотра содержимого включите макросы…», со всеми вытекающими последствиями.

В общем, персонально адресованные сообщения открываются и обрабатываются на порядок чаще.

Массовая разведка

Этот сценарий — не столько атака, сколько подготовка к ней. Предположим, мы хотим узнать имя какого-то из важных сотрудников — например, бухгалтера или руководителя службы безопасности. Это несложно сделать, если отправить кому-то из сотрудников, которые могут обладать этой информацией, письмо следующего содержания: «Подскажите, пожалуйста, отчество директора и график работы офиса. Нужно отправить курьера».

Время работы спрашиваем, чтобы замылить глаза, а спрашивать отчество — это трюк, который позволяет не выдавать, что мы не знаем имени и фамилии. И то и другое, скорее всего, будет содержаться в ответе жертвы: ФИО чаще всего пишут целиком. Мне в ходе исследования удалось таким образом собрать ФИО более чем двух тысяч директоров.

Если нужно узнать почту начальства, то можно смело писать секретарю: «Здравствуйте. Давно не общался с Андреем Борисовичем, его адрес [email protected] еще рабочий? А то ответ не получил от него. Роман Геннадьевич». Секретарь видит email, выдуманный на основе настоящих ФИО директора и содержащий сайт компании, и дает настоящий адрес Андрея Борисовича.

Еще по теме: Методы социальной инженерии

Персонализированное зло

Если нужно заставить отреагировать на письмо большое количество организаций, то первым делом надо искать болевые точки. Например, магазинам можно направлять жалобу на товар и грозить разбирательствами: «Если вы не решите мою проблему, буду жаловаться директору! Это что вы мне такое доставили (фото прилагаю)?! Пароль от архива 123». По базе автосервисов точно так же можно рассылать фотографию с поломкой и вопросом, смогут ли отремонтировать. По строителям — «проект дома».

В моем небольшом исследовании на такие письма откликались как минимум 10% получателей.

Сайт не работает

Базу сайтов с почтовыми адресами владельцев легко превратить в переходы на любой другой сайт. Отправляем письма с текстом «Почему-то страница вашего сайта www.site.ru/random.html не работает!» Ну и классический прием: в тексте ссылки жертва видит свой сайт, а сама ссылка ведет на другой URL.

Мультилендинг

К этому способу нужно будет подготовиться. Создаем сайт-одностраничник, оформляем под новостной ресурс. Ставим скрипт, который меняет текст на сайте в зависимости от того, по какой ссылке человек перешел.

Делаем рассылку по базе, состоящей из адресов и названий компаний. В каждом письме — уникальная ссылка на наш новостной ресурс, например news.ru/?1234. Параметр 1234 привязывается к определенному названию компании. Скрипт на сайте определяет, по какой ссылке пришел посетитель, и показывает в тексте название компании, соответствующее почте из базы.

Зайдя на сайт, сотрудник увидит заголовок «Компания … (название компании жертвы) снова бесчинствует». Далее идет короткая новость с какими-нибудь небылицами, а в ней — ссылка на архив с разоблачительными материалами (трояном).

Выводы

Понятно, что в атаках на крупные организации массовая рассылка не поможет, — там нужен индивидуальный подход. А вот малый бизнес, где слыхом не слыхивали ни про какую социальную инженерию, легко может пострадать от таких атак.

Еще по теме: Социальная инженерия метод «Дорожное яблоко».

5 типов атак социальной инженерии

Все мы знаем о злоумышленнике, который использует свой технический опыт для проникновения в защищенные компьютерные системы и взлома конфиденциальных данных. Этот тип злоумышленников постоянно делает новости, побуждая нас противостоять их подвигам, инвестируя в новые технологии, которые укрепят нашу сетевую защиту.

Однако есть еще один тип злоумышленников, которые используют разные тактики, чтобы обойти наши инструменты и решения. Их называют «социальными инженерами», потому что они используют одну слабость, которая есть в каждой организации: человеческая психология. Используя телефонные звонки и другие средства общения с пользователями, эти злоумышленники вынуждают людей передавать доступ к конфиденциальной информации организации.

Социальная инженерия —термин, который охватывает широкий спектр вредоносных действий. Для целей этой статьи давайте сосредоточимся на пяти наиболее распространенных типах атак, которые используют социальные инженеры.

1. Фишинг

Фишинг является наиболее распространенным типом атаки социальной инженерии, которая происходит сегодня. Но что именно? На высоком уровне большинство фишинг-мошенников пытаются выполнить три вещи:

Получить личную информацию, такую как имена, адреса и номера социального страхования.

Использовать сокращенные или вводящие в заблуждение ссылки, которые перенаправляют пользователей на подозрительные веб-сайты, на которых размещаются фишинговые целевые страницы.

Включить угрозы, страх и чувство срочности в попытке заставить пользователя реагировать как можно быстрее.

Нет двух одинаковых фишинговых писем. На самом деле существует как минимум шесть различных подкатегорий фишинговых атак . Кроме того, мы все знаем, что некоторые из них плохо обработаны, поскольку в них сообщения страдают от орфографических и грамматических ошибок. Тем не менее, эти электронные письма обычно имеют одну и ту же цель — использовать поддельные веб-сайты или формы для кражи учетных данных пользователя и других личных данных.

В недавней фишинг кампании используется скомпрометированная учетная запись электронной почты, чтобы отправить атакующее письмо. В этих сообщениях просили получателей просмотреть предложенный документ, щелкнув встроенный URL-адрес. Этот вредоносный URL-адрес, защищенный URL-адресом Symantec для защиты от кликов, перенаправил получателей на взломанную учетную запись SharePoint, которая доставила второй вредоносный URL-адрес, встроенный в документ OneNote. Этот URL, в свою очередь, перенаправляет пользователей на фишинговую страницу, изображающую портал входа в систему Microsoft Office 365.

2. Предлоги

Предлог — это еще одна форма социальной инженерии, где злоумышленники концентрируются на создании хорошего предлога или сфабрикованного сценария, который они используют, чтобы попытаться украсть личную информацию своих жертв. В этих типах атак мошенник обычно говорит, что им нужно определенное количество информации от своей цели, чтобы подтвердить свою личность. На самом деле они крадут эти данные и используют их для совершения кражи личных данных или проведения вторичных атак.

Более продвинутые атаки иногда пытаются обмануть своих целей, делая что-то, что злоупотребляет цифровыми и / или физическими недостатками организации. Например, злоумышленник может выдать себя за внешнего аудитора ИТ-услуг, чтобы он мог убедить группу физической безопасности целевой компании пустить их в здание.

В то время как фишинговые атаки в основном используют страх и срочность в своих интересах, атаки с предлогом основываются на создании ложного чувства доверия к жертве. Это требует от злоумышленника построить достоверную историю, которая оставляет мало места для сомнений со стороны их цели.

Предлог может принимать и принимает различные формы. Несмотря на это, многие субъекты угроз, принимающие этот тип атаки, решают маскироваться под кадры или сотрудников отдела развития финансов. Эта маскировка позволяет им ориентироваться на руководителей уровня С, как Verizon нашел в своем Отчете о расследованиях нарушений данных за 2019 год (DBIR) .

3. Приманка

Приманка во многом похожа на фишинговые атаки. Однако то, что отличает их от других видов социальной инженерии, — это обещание какого-либо предмета или блага, которые злоумышленники используют для соблазнения жертв. Приманки могут использовать предложение бесплатной загрузки музыки или фильмов, например, чтобы обманом заставить пользователей передать свои учетные данные для входа.

Злоумышленники могут также сосредоточиться на использовании человеческого любопытства с помощью физических средств.

Например, еще в июле 2018 года KrebsOnSecurity сообщил о кампании по нападению на государственные учреждения и органы местного самоуправления в Соединенных Штатах. Операция разослала китайские почтовые маркированные конверты, которые содержали запутанное письмо вместе с компакт-диском (CD). Цель состояла в том, чтобы разбудить любопытство получателей, чтобы они загружали компакт-диск и тем самым непреднамеренно заражали свои компьютеры вредоносным ПО.

4. Quid Pro Quo

Подобно травле, нападения quid pro quo обещают выгоду в обмен на информацию. Эта выгода обычно принимает форму услуги, тогда как травля обычно принимает форму пользы.

Один из наиболее распространенных типов атак «quid pro quo», появившихся в последние годы, — это когда мошенники выдают себя за Администрацию социального обеспечения США (SSA) . Эти поддельные сотрудники SSA связываются со случайными лицами, сообщают им, что с их стороны возникла проблема с компьютером, и просят, чтобы эти лица подтвердили свой номер социального страхования, все это направлено на кражу личных данных. В других случаях, обнаруженных Федеральной торговой комиссией (FTC), злоумышленники создают поддельные веб-сайты SSA, которые говорят, что могут помочь пользователям подать заявку на новые карты социального обеспечения, но вместо этого просто воруют их личную информацию.

Тем не менее, важно отметить, что злоумышленники могут использовать предложения quid pro quo, которые гораздо менее изощренны, чем уловки на тему SSA. Как показали предыдущие атаки, офисные работники более чем готовы отдать свои пароли за дешевую ручку или даже плитку шоколада .

5. Tailgating

Наш последний тип социальной атаки на сегодняшний день известен как «Tailgating». В этих типах атак кто-то без надлежащей аутентификации следует за проверенным сотрудником в ограниченную область. Злоумышленник может выдать себя за водителя службы доставки и подождать снаружи здания, чтобы начать работу. Когда сотрудник получает одобрение службы безопасности и открывает дверь, злоумышленник просит сотрудника придержать дверь, тем самым получая доступ в здание.

Tailgating не работает во всех корпоративных условиях, таких как крупные компании, входы в которые требуют использования карты-ключа. Однако на средних предприятиях злоумышленники могут завязать разговор с сотрудниками и использовать эту демонстрацию знакомства, чтобы обойти стойку регистрации.

Фактически, Колин Гринлесс, консультант по безопасности в Siemens Enterprise Communications, использовал эту тактику, чтобы получить доступ к нескольким этажам и комнате данных в финансовой компании, зарегистрированной на бирже FTSE. Он даже смог открыть магазин в зале заседаний на третьем этаже и работать там в течение нескольких дней .

Рекомендации по социальной инженерии

Злоумышленники, которые участвуют в атаках социальной инженерии, охотятся на человеческую психологию и любопытство, чтобы поставить под угрозу информацию. Помня об этом ориентированном на человека фокусе, организации должны помочь своим сотрудникам противостоять атакам такого типа.

Вот несколько советов, которые организации могут включить в свои обучающие программы по безопасности, которые помогут пользователям избежать схем социальной инженерии:

Не открывайте электронные письма из ненадежных источников. Свяжитесь с другом или членом семьи лично или по телефону, если вы получили от них подозрительное электронное сообщение.

Не верьте предложениям от незнакомых людей. Сомневайтесь! Если предложения кажутся слишком хорошими, чтобы быть правдой, они, вероятно, это мошенничество.

Заблокируйте свой ноутбук, когда вы находитесь покидаете рабочее место.

Купить антивирусное программное обеспечение. Ни одно AV-решение не может защитить от любой угрозы, которая ставит под угрозу информацию пользователей, но они могут помочь защитить от некоторых атак.

Прочитайте политику конфиденциальности вашей компании, чтобы понять, при каких обстоятельствах вы можете или должны впустить незнакомца в здание.

, специалисты делают внутренний контроль бизнеса систематизированным,

Социальная инженерия. Психология фишинга

Как правило, говоря об уязвимостях, мы подразумеваем разного рода ошибки программирования или недостатки информационных систем, возникшие на этапе их проектирования. Однако есть целый ряд других уязвимостей, существующих непосредственно в голове у человека.

И дело здесь не о недостаточной осведомленности или небрежном отношении к кибербезопасности – как справляться с этими проблемами, более-менее понятно. Просто мозг пользователя иногда срабатывает не так, как хотелось бы экспертам по информационной безопасности, а так, как его вынуждают специалисты по социальной инженерии.

Социальная инженерия подразумевает манипуляции действиями человека без использования технических средств. В контексте кибербезопасности – незаметное пользователя сделать что-то, что подвергает риску их безопасность или безопасность организации, в которой которую они работают.

Цель – вызвать ответную реакцию у жертвы: открыть зараженное вложение электронной почты, перейти по вредоносной ссылке или ответить на ложное уведомление. Успех в значительной степени зависит от удачной маскировки вредоносных и нежелательных сообщений под легитимные.

По сути, социальная инженерия — это сплав социологии и психологии. Совокупность приемов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату. Благодаря этому злоумышленники, играя на эмоциях, чувствах, страхах и рефлексах людей, получают доступ к интересующей их информации. И именно на этой «науке», по большому счету, базируется большая часть современных целевых атак.

Среди чувств, к которым обычно взывают мошенники, можно выделить четыре основных:

• Любопытство
• Жадность
• Страх
• Жалость

Однако их сложно назвать уязвимостями – все-таки это естественные для человека чувства. Это скорее каналы воздействия, через которые манипуляторы пытаются влиять на жертву. В идеале – так, чтобы мозг сработал автоматически, не применяя критическое мышление. Для этого у злоумышленников припасено немало трюков. Вот несколько самых распространенных.

Подчинение авторитету

Это одно из так называемых когнитивных искажений – систематических отклонений в поведении, восприятии и мышлении. Его суть заключается в склонности людей беспрекословно подчиняться человеку, обладающему опытом или определенной властью, игнорируя свои собственные суждения о целесообразности действия.

На практике это может выглядеть как фишинговое письмо, написанное от имени вашего начальника. Например, если он просит подчиненного ознакомиться с содержащимися в письме материалами для нового проекта, то скорее всего получатель автоматически откроет вложенный файл.

Дефицит времени

Один из наиболее частых приемов в психологии манипуляций – создание ощущения дефицита времени. Часто для того, чтобы принять взвешенное, рациональное решение, требуется изучить информацию подробнее. А на это нужно время. Именно его и пытаются лишить жертву мошенники.

Как правило, манипуляторы в таких случаях взывают к чувству страха («В ваш аккаунт пытались зайти, если вход был произведен не вами, немедленно перейдите по ссылке…») или к жажде легкой наживы («Скидка доступна только первым десяти кликнувшим, не упусти свой шанс…»). Тогда появляется высокая вероятность поддаться чувствам и принять эмоциональное, а не рациональное решение.

Письма, пестрящие словами «срочно» и «важно», как раз из этой категории. Ключевые моменты в них часто любят выделять красным цветом для устрашения или для демонстрации фантастического везения, которое вот-вот можно упустить.

Автоматизмы

Автоматизмы в психологии – это действия, реализуемые без непосредственного участия сознания. Автоматизмы бывают первичные (врожденные, никогда не осознававшиеся) и вторичные (прошедшие через сознание и переставшие осознаваться). А еще автоматизмы делятся на моторные, речевые и интеллектуальные.

Злоумышленники пытаются использовать автоматизмы, присылая письма, реакция на которые могла автоматизироваться. Сообщения типа «не получилось доставить сообщение, нажмите для повторной доставки», безумные рассылки с большой кнопкой «отписаться», фальшивые уведомления о новых комментариях в соцсетях и т.д.

Неожиданные откровения

Это еще один, достаточно часто встречающийся вид манипуляций. Суть его заключается в том, что информация, которая следует после некоего признания, воспринимается гораздо менее критически, чем если бы она была подана независимо.

На практике это может выглядеть, как письмо типа: «У нас случилась утечка паролей, проверьте, нет ли вас в списке потерпевших».

Как не поддаться на уловки мошенников

1. Возьмите за правило тщательно обдумывать все письма, в том числе и от начальства. Зачем руководитель просит вас открыть запароленный архив и присылает ключ к нему в том же письме? Почему он просит именно вас перевести деньги новому партнеру? Почему он ставит вам необычную задачу по почте, а не по телефону, как обычно? Если вы заметите какую-нибудь странность, то лучше лишний раз уточнить задание по другому каналу связи, чем подарить мошенникам корпоративные данные или деньги.
2. Не реагируйте сразу на письма, побуждающие к немедленным действиям. Здесь важно сохранять хладнокровие и спокойствие, даже если содержание письма вызвало у вас желание действовать немедленно. Обязательно перепроверьте, от кого пришло это письмо, соответствует ли ссылка отображаемому адресу, легитимен ли домен, прежде чем переходить по ней. Если все равно сомневаетесь – лучше обратиться к специалистам.
3. Если вы заметите за собой склонность к автоматической реакции на какие-то письма, попробуйте выполнить те же действия, только осознанно. Это может привести к «деавтоматизации», нужно лишь активировать свое сознание в нужный момент.
4. Используйте защитные решения с надежными антифишинговыми технологиями. В таком случае большую часть писем от злоумышленников вы просто не увидите.

По материалам сайта kaspersky.ru

Социальная инженерия: история успешных взломов

Наиболее громкие и успешные взломы были бы невозможны без приемов социальной инженерии. Поиск уязвимостей и штурм главных ворот системы безопасности может принести свои плоды, но потребует серьезных затрат. При этом, хитрый злоумышленник добивается результатов, не прикладывая особых усилий.

Многие руководители до сих пор не смирились с мыслью, что наиболее незащищенным звеном системы безопасности является «человеческий фактор» — работники компании. Именно они открывают опасные фишинговые письма, клюют на уловки социальных инженеров по телефону и в социальных сетях, отправляют важные документы «не в то окно». Без круглосуточного анализа действий персонала среднестатистическая фирма оказывается безоружной перед современными хакерами. Доказать несостоятельность цифровых средств защиты, в которых отсутствуют возможности контроля поведения работников очень просто: достаточно проанализировать наиболее громкие взломы.

Главным социальным инженером был и остается Кевин Митник, наводивший ужас на бизнес в далекие 80 и 90-е годы. Он не искал легкой наживы, все его акции – развлечение, тест на прочность корпоративных систем безопасности, которые обычно проигрывали в неравной борьбе.

Например, в 1979 через знакомых Кевин добыл номера модемов корпорации Digital Equipment Corporation (DEC). Хакеры без малейших колебаний поделились информацией, ведь считали ее бесполезной: логины и пароли к модемам отсутствовали. В свою очередь Митник действовал просто и эффективно: он позвонил системному администратору DEC, представился главным разработчиком — Антоном Черновым и пожаловался на проблемы с входом. В ту же минуту ему был предоставлен полный доступ ко всей системе.

В 2005-2006 руководство Hewlett-Packard решило, что в ТОП-менеджерском составе компании завелся инсайдер, регулярно сливающий данные в СМИ. Чтобы разобраться в ситуации были наняты следователи. Как оказалось, клубок распутывался предельно просто: достаточно знать имена и фамилии работников, а также последние 4 цифры их номеров социального страхования, чтобы одна из крупнейших телекоммуникационных компаний — AT&T предоставила полную распечатку звонков абонента. Обладая таким подспорьем, а также информацией из открытых источников, любой журналист или аналитик легко сможет спрогнозировать дальнейшие планы развития корпорации.
Письма от «Нигерийских принцесс», которым очень нужна помощь, чтобы вывезти деньги из страны, давно стали интернет-шуткой. Однако мало кто задумывался о том, что подобные уловки – хитрый прием социальных инженеров. Например, казначей администрации одного из малонаселённых округов штата Мичиган, клюнул на такую провокацию и украл 1,2 миллиона долларов из казны штата, чтобы оплатить налог за более крупный транш из Нигерии, который должен был прийти в банк Лондона. «Принцесса» естественно свою часть сделки не выполнила, а казначей вскоре был арестован.

Даже специалисты по безопасности не застрахованы от взломов. В 2011 аж два работника компании RSA Digital Risk Management & Cyber Security Solutions получили письма с предложением о работе от неизвестного отправителя и открыли вложение. Вредоносный код, содержащийся в фишинговом послании, позволил хакерам нанести удар по флагманскому продукту — SecurID, и привел к ущербу в 66 миллионов долларов.

В 2015 работники финансового департамента Ubiquiti Networks – компании, занимающейся производством сетевого оборудования, получили письма от нового генерального директора, который запросил крупные финансовые переводы на ряд счетов. Не почувствовав подвоха, ведь письма, на первый взгляд, были оформлены по всем стандартам компании и отправлены с корпоративного домена, работники выполнили запрос и перевели средства прямо в руки злоумышленников.

В 2015 и 2016 британский подросток Кейн Кемпбел умудрился получить доступ к почтовым ящикам главы ЦРУ и ФБР США. Например, чтобы сменить логин и пароль директора ФБР Марка Джулианно, оказалось достаточно позвонить сисадмину и представиться его помощником. Несмотря на то, что работник ИТ-департамента был осведомлен о возможной попытке взлома, он все же предоставил Кейну коды доступа.

Невероятно, но факт: справиться с суперсовременными системами защиты может даже вчерашний школьник, без серьезного бэкграунда технических знаний. И это наглядно подтверждает история успешных взломов. Все дело в умелом манипулировании сознанием, от которого не могут защитить программы, рассчитанные на отражение цифровых атак. Без контроля поведения персонала, переговоров, переписки в почте и мессенджерах бизнес оказывается незащищен перед фишингом и социальной инженерией. Чем с успехом пользуются злоумышленники всех мастей.

Финансовые мошенники стали чаще сочетать методы социальной инженерии и фишинга

Фото: Depositphotos

Каждый седьмой случай атаки на средства клиентов носит «гибридный» характер, когда злоумышленники одновременно используют методы социальной инженерии и фишинга. Об этом заявил заместитель президента — председателя правления ВТБ Анатолий Печатников в ходе пресс-конференции.

Социальная инженерия и фишинг в общей сложности занимают 94% всех атак, уточняется в сообщении. При этом доля социнженерии за последний год снизилась в три раза при угрозах, связанных с карточными операциями, и на треть — при онлайн-переводах. Доля фишинга, наоборот, выросла: в 10 раз — по картам, в четыре раза — в дистанционных каналах. Все чаще мошенники используют комбинированный характер атак: сегодня он применяется уже при каждой седьмой попытке вывода средств клиентов, отмечают эксперты.

Растет активность злоумышленников в социальных сетях и мессенджерах, которые распространяют вредоносный контент за счет большого числа мошеннических аккаунтов и сообществ. Специалисты банка связывают это с более слабой фильтрацией контента этих площадок и менее жестким контролем со стороны модераторов. По сравнению с другими фишинговыми ресурсами в интернете блокировка фишинга в соцсетях и мессенджерах происходит в среднем в четыре раза дольше.

Анатолий Печатников рекомендовал не терять бдительность в борьбе с мошенниками, особенно в период новых ограничений, связанных с распространением COVID-19. «Большинство действий злоумышленников основаны на приемах обмана и манипуляций, которые активно используются в отношении клиентов банка, в том числе во время локдауна и изоляции. Нужно помнить, что ни в коем случае нельзя сообщать третьим лицам свою конфиденциальную информацию. Специалисты ВТБ и любого другого банка никогда не будут запрашивать у вас данные по картам, счетам или пароли. Вне зависимости от новейших технологий защиты, основным инструментом борьбы с мошенниками остается бдительность самого клиента», — подчеркнул зампред ВТБ.

Ранее сообщалось, что эксперты обнаружили масштабную кибератаку на сотрудников госорганов.

Читайте также статью «Скамдемия: причины и способы борьбы».

Что такое социальная инженерия | Методы атак и способы предотвращения

Что такое социальная инженерия

Социальная инженерия — это термин, используемый для обозначения широкого спектра злонамеренных действий, совершаемых посредством взаимодействия с людьми. Он использует психологические манипуляции, чтобы обмануть пользователей, чтобы они совершили ошибки безопасности или разгласили конфиденциальную информацию.

Атаки социальной инженерии происходят в один или несколько этапов. Преступник сначала исследует предполагаемую жертву, чтобы собрать необходимую справочную информацию, такую ​​как потенциальные точки проникновения и слабые протоколы безопасности, необходимые для продолжения атаки.Затем злоумышленник пытается завоевать доверие жертвы и предоставить стимулы для последующих действий, нарушающих методы обеспечения безопасности, таких как раскрытие конфиденциальной информации или предоставление доступа к критически важным ресурсам.

Жизненный цикл атаки социальной инженерии

Что делает социальную инженерию особенно опасной, так это то, что она основана на человеческой ошибке, а не на уязвимостях программного обеспечения и операционных систем. Ошибки, допущенные законными пользователями, гораздо менее предсказуемы, что затрудняет их выявление и предотвращение, чем вторжение, основанное на вредоносном ПО.

Техники атак социальной инженерии

Атаки социальной инженерии принимают множество различных форм и могут выполняться в любом месте, где задействовано человеческое взаимодействие. Ниже приведены пять наиболее распространенных форм атак цифровой социальной инженерии.

Как следует из названия, в атаках с применением травли используется ложное обещание, чтобы разжечь жадность или любопытство жертвы. Они заманивают пользователей в ловушку, которая крадет их личную информацию или заражает их системы вредоносным ПО.

Самая оскорбительная форма травли использует физические носители для распространения вредоносных программ. Например, злоумышленники оставляют приманку — обычно зараженные вредоносным ПО флэш-накопители — в заметных местах, где потенциальные жертвы наверняка их увидят (например, ванные комнаты, лифты, парковка целевой компании). Приманка имеет аутентичный вид, например, этикетку, представляющую ее как ведомость заработной платы компании.

Жертвы из любопытства выбирают наживку и вставляют ее в рабочий или домашний компьютер, в результате чего в системе автоматически устанавливается вредоносное ПО.

Мошенничество с приманкой не обязательно должно осуществляться в физическом мире. Онлайн-формы приманки включают в себя привлекательную рекламу, которая ведет на вредоносные сайты или побуждает пользователей загрузить приложение, зараженное вредоносным ПО.

Scareware включает в себя бомбардировку жертв ложными тревогами и вымышленными угрозами. Пользователи обманываются, думая, что их система заражена вредоносным ПО, предлагая им установить программное обеспечение, которое не приносит реальной пользы (кроме как для злоумышленника) или является вредоносным ПО.Scareware также называют программным обеспечением для обмана, мошенническим программным обеспечением для сканирования и мошенническим программным обеспечением.

Типичный пример пугающего ПО — это нормально выглядящие всплывающие баннеры, которые появляются в вашем браузере во время просмотра веб-страниц и содержат такой текст, как «Ваш компьютер может быть заражен вредоносными программами-шпионами». Он либо предлагает вам установить инструмент (часто зараженный вредоносным ПО), либо перенаправляет вас на вредоносный сайт, где заражается ваш компьютер.

Scareware также распространяется через спам-электронную почту, которая рассылает ложные предупреждения или предлагает пользователям покупать бесполезные / вредные услуги.

Здесь злоумышленник получает информацию с помощью серии искусно созданной лжи. Мошенничество часто инициируется злоумышленником, который притворяется, что ему нужна конфиденциальная информация от жертвы для выполнения важной задачи.

Злоумышленник обычно начинает с установления доверия со своей жертвой, выдавая себя за коллег, сотрудников полиции, банка, налоговых органов или других лиц, обладающих правом знать. Заявитель задает вопросы, которые якобы необходимы для подтверждения личности жертвы, с помощью которых они собирают важные личные данные.

С помощью этого мошенничества собирается всевозможная соответствующая информация и записи, такие как номера социального страхования, личные адреса и номера телефонов, записи телефонных разговоров, даты отпусков сотрудников, банковские записи и даже информация о безопасности, относящаяся к физическому объекту.

Как один из самых популярных типов атак социальной инженерии, фишинговые атаки представляют собой кампании по электронной почте и текстовым сообщениям, направленные на создание у жертв чувства срочности, любопытства или страха.Затем он побуждает их раскрыть конфиденциальную информацию, щелкнуть ссылки на вредоносные веб-сайты или открыть вложения, содержащие вредоносное ПО.

Примером может служить электронное письмо, отправляемое пользователям онлайн-службы, которое предупреждает их о нарушении политики, требующем немедленных действий с их стороны, таких как требуемая смена пароля. Он включает ссылку на незаконный веб-сайт — почти идентичный по внешнему виду его законной версии — предлагая ничего не подозревающему пользователю ввести свои текущие учетные данные и новый пароль.После отправки формы информация отправляется злоумышленнику.

Учитывая, что идентичные или почти идентичные сообщения отправляются всем пользователям в фишинговых кампаниях, их обнаружение и блокировка намного проще для почтовых серверов, имеющих доступ к платформам обмена угрозами.

Это более адресная версия фишингового мошенничества, при котором злоумышленник выбирает конкретных лиц или предприятия. Затем они адаптируют свои сообщения на основе характеристик, должностей и контактов, принадлежащих их жертвам, чтобы сделать их атаку менее заметной.Целевой фишинг требует гораздо больших усилий со стороны злоумышленника и может занять недели и месяцы. Их гораздо труднее обнаружить, и они имеют больше шансов на успех, если делать это умело.

Сценарий целевого фишинга может включать злоумышленника, который, выдавая себя за ИТ-консультанта организации, отправляет электронное письмо одному или нескольким сотрудникам. Он сформулирован и подписан точно так же, как обычно делает консультант, тем самым вводя получателей в заблуждение, заставляя думать, что это подлинное сообщение. В сообщении получателям предлагается сменить пароль и предоставляется ссылка, которая перенаправляет их на вредоносную страницу, где злоумышленник теперь перехватывает их учетные данные.

Узнайте, как Imperva Web Application Firewall может помочь вам в борьбе с атаками социальной инженерии.

Профилактика социальной инженерии

Социальные инженеры манипулируют человеческими чувствами, такими как любопытство или страх, чтобы реализовать планы и заманить жертв в их ловушки. Поэтому будьте осторожны, когда вы чувствуете тревогу из-за электронного письма, вас привлекает предложение, отображаемое на веб-сайте, или когда вы сталкиваетесь с лежащими случайными цифровыми носителями.Бдительность может помочь вам защитить себя от большинства атак социальной инженерии, происходящих в цифровой сфере.

Более того, следующие советы могут помочь вам повысить бдительность в отношении взломов социальной инженерии.

• Не открывайте электронные письма и вложения из подозрительных источников — Если вы не знаете отправителя, о котором идет речь, вам не нужно отвечать на электронное письмо. Даже если вы их знаете и с подозрением относитесь к их сообщениям, перепроверьте и подтвердите новости из других источников, например, по телефону или непосредственно с сайта поставщика услуг.Помните, что адреса электронной почты постоянно подделываются; даже электронное письмо, якобы пришедшее из надежного источника, могло быть фактически инициировано злоумышленником.
• Использовать многофакторную аутентификацию — Одной из наиболее ценных частей информации, которую ищут злоумышленники, являются учетные данные пользователя. Использование многофакторной аутентификации помогает обеспечить защиту вашей учетной записи в случае взлома системы. Imperva Login Protect — это простое в развертывании решение 2FA, которое может повысить безопасность учетных записей для ваших приложений.
• Остерегайтесь соблазнительных предложений. — Если предложение звучит слишком заманчиво, дважды подумайте, прежде чем принимать его как факт. Поиск в Google по теме может помочь вам быстро определить, имеете ли вы дело с законным предложением или ловушкой.
• Регулярно обновляйте антивирусное / антивредоносное программное обеспечение. — Убедитесь, что включены автоматические обновления, или возьмите за привычку загружать последние подписи в первую очередь каждый день. Периодически проверяйте, установлены ли обновления, и проверяйте свою систему на наличие возможных инфекций.

7 часто используемых атак социальной инженерии

Социальная инженерия была наблюдаемым явлением с начала истории. Люди, которым что-то нужно, всегда находили способы манипулировать страхами других или их готовностью доверять. В современном мире атаки социальной инженерии чаще всего происходят по телефону или через Интернет. Потенциальные хакеры выдают себя за известных лиц, чтобы убедить свою цель передать учетные данные, финансовую информацию или компрометирующие данные.

Что нужно знать ИТ-директорам, специалистам по разработке, безопасности и эксплуатации, а также рядовым сотрудникам о социальной инженерии и ее многочисленных формах?

Подробнее: Основные угрозы кибербезопасности для организаций

Что такое социальная инженерия?

Социальная инженерия — это общий термин для методологий взлома, которые пытаются собрать личную информацию и бизнес-данные путем манипулирования одним или несколькими людьми. Хакеры используют комбинацию лжи и методов убеждения, чтобы заставить жертву раскрыть конфиденциальную информацию, которая затем может быть использована для получения доступа к ресурсам системы.

Кибератаки используют тактику социальной инженерии, потому что она работает. Пандемия COVID-19 вызвала взрыв цифрового мошенничества по простой причине: это было запутанное и пугающее время для многих, что привело к естественному снижению защиты.

Даже в обычных обстоятельствах атаки социальной инженерии работают, потому что они подпитываются желанием людей быстро разрешиться и их вероятностью доверять. Кто-то, у кого на работе уже есть проблемы с компьютером, может легко стать жертвой электронного письма, якобы отправленного ИТ-командой.Если кому-то, кто находится в тяжелом финансовом положении, звонят с обещанием неожиданной прибыли, возникает такое же сильное искушение уступить требованиям.

Существует несколько типов атак социальной инженерии, о которых следует знать как отдельным лицам, так и профессионалам.

Фишинг

Фишинг может принимать разные формы. Каждый из них представляет собой вариацию темы: потенциальный хакер отправляет своей цели электронные письма, утверждая, что является доверенным лицом. Это может быть кто-нибудь из их компании или представитель их банка.Фишинг направлен на извлечение учетных данных прямо из источника.

Рыболов Фишинг

Angler phishing видит, что злоумышленник выдает себя за представителя службы поддержки клиентов. Иногда хакер обращается к людям в социальных сетях, которые жаловались на свой опыт работы с компанией. В случае успеха хакер убирается с любой финансовой информацией, какой может.

Spear Phishing

При обычном фишинге злоумышленники обычно отправляют одно и то же электронное письмо нескольким людям.Целевой фишинг преднамеренно нацелен на одного человека и требует предварительных исследований, чтобы выглядеть более убедительно.

Китобойный промысел

Whaling также специально нацелен, но в нем задействованы еще более ценные люди, такие как генеральный директор.

Фарминг (Атака посредника)

Атака посредника или фарминговая атака нацелена на лиц, пытающихся достичь законных цифровых порталов, таких как веб-сайты или приложения. Мошенник даже создает убедительно выглядящие поддельные сайты для манипулирования трафиком.Когда цель попадает в эти интерфейсы, она часто вводит пароли, идентификаторы пользователей или финансовую информацию, потому что считает, что взаимодействует со сторонним веб-сайтом.

После того, как злоумышленник или приложение «фармят» эти учетные данные или идентифицирующую информацию, это обычно заканчивается кражей личных данных. Альтернативная форма фарминга может заключаться в том, что хакер отправляет своей цели код или ссылку, которые вместо этого устанавливают вредоносное ПО в их систему для учетных данных фермы.

Подробнее: Лучшее программное обеспечение для удаления и защиты от вредоносных программ на 2021 год

Атака компрометации деловой электронной почты

При атаке компрометации корпоративной электронной почты злоумышленники используют ранее полученные данные для входа в корпоративную электронную почту и выглядят как владелец учетной записи.Затем они пытаются собрать компрометирующую информацию или учетные данные от цели или совершить прямую кражу.

Многие атаки на электронную почту специально нацелены на сотрудников отделов, занимающихся финансами компании. Если они не знают об угрозе заранее, эти люди иногда отправляют денежные переводы на мошеннические банковские счета.

Предварительный текст

Стандартное определение предтекста аналогично определению социальной инженерии, хотя и с некоторыми уточнениями.Претексинг — это акт проведения разведки цели с последующим выдачей себя за кого-то другого, чтобы завоевать доверие этого человека на основе того, что было изучено.

Наиболее распространенные формы предлога включают создание правдоподобного сценария, такого как семейный или деловой кризис, чтобы привлечь внимание цели и извлечь из нее информацию. Иногда люди переводят деньги, думая, что они платят залог близкому человеку или оплачивают его бизнес-счета. Первоначальная разведка помогает хакеру создать вымышленную личность, которая имеет больше шансов обмануть жертву и заставить ее подчиниться.

Подробнее: VPN, доступ к сети с нулевым доверием и эволюция безопасной удаленной работы

Quid Pro Quo

От латинского слова, означающего «взамен», атака с использованием социальной инженерии quid pro quo предполагает обмен конфиденциальной информацией в обмен на обещанные услуги. Одним из примеров может быть потенциальный хакер, который звонит в компанию, предлагающую ИТ-услуги для кого-то, кто «нуждается в помощи».

После того, как вызывающий абонент переадресован кому-то, у кого есть ИТ-билет, вызывающий запрашивает у цели учетные данные пользователя — будь то онлайн-учетная запись, внутреннее подключение к Интернету или что-то еще, связанное с бизнесом.

Наживка

Атака социальной инженерии, известная как травля, заключается в том, что злоумышленник дает обещание своей жертве в обмен на то, что она хочет, например, банковский перевод денег, номер социального страхования или кредитную карту. Мошенник иногда вступает в прямой контакт, выдавая себя за доверенного лица, например, полицейского или банка. В других случаях электронное письмо может содержать ссылки, которые ведут на мошеннические веб-сайты или устанавливают вредоносное ПО.

В каждом случае человек полагает, что получит что-то в обмен на свою информацию.Во время глобальной пандемии в 2020 году многие мошенники обещали более быструю доставку проверок стимулов и расширенный доступ к вакцинам, эффективно охотясь на отчаявшихся и безработных.

Вишинг и улыбка

К этой паре тактик социальной инженерии нельзя относиться легкомысленно, несмотря на их названия.

Vishing нацелен на людей, использующих сообщения голосовой почты. Звонящий будет утверждать, что он из банка или, возможно, государственного учреждения, такого как IRS, и пытается вымогать информацию.Smishing работает аналогично, но осуществляется через текстовые сообщения.

Обе формы атаки в первую очередь направлены на тех, кто не разбирается в технологиях. Цель либо передает свою информацию напрямую, когда отвечает на звонок, либо щелкает ссылку, которая захватывает их данные на новой странице.

Подробнее: Еще одна головная боль безопасности, на этот раз из приложений для обмена сообщениями

Знайте, как защитить свою организацию

Все атаки социальной инженерии используют относительные слабости человека, такие как готовность доверять или паниковать во время кризиса.Любой, кто представляет организацию на цифровых платформах, должен знать, как обеспечить надежную защиту. Крайне важно использовать фильтрацию электронной почты, регулярно обучать сотрудников, удалять ненужные учетные записи и учетные данные, а также изучать обычный трафик и шаблоны пользователей, чтобы отмечать подозрительную активность.

Вот несколько советов и секретов профессиональных хакеров.

Я, наверное, звучу как зашедший рекорд, когда говорю: «Остерегайтесь мошенников, которые выдают себя за авторитетов».

Или остерегайтесь, если в электронном письме или телефонном звонке содержится информация, которая кажется слишком хорошей, чтобы быть правдой, или в которой есть необходимость срочно помочь кому-то в серьезном затруднительном положении.

Мы все знаем, что во всем мире есть мошенники, чья работа на постоянной основе состоит в том, чтобы «поймать» людей, которые ответят на это электронное письмо или сообщат человеку по телефону некоторую информацию, чтобы разблокировать доступ к его банковскому счету. И что самое печальное, каждый день все еще есть люди, которых ловят на таких мошенничествах, которые становятся все более изощренными.

Но каждый день совершается множество менее изощренных афер и кампаний.

Каждый год моя материнская компания требует, чтобы все сотрудники проходили различные тренинги, в том числе по кибербезопасности.

В этом году я и несколько моих коллег отметили, что обучение было действительно хорошим. (Да ладно, те из вас, кому предстоит пройти тренинг по работе с персоналом, знают, что они часто не первое место в вашем списке вещей, которые вас волнуют).

Обучение, которое мы прошли в этом году, было проведено экспертами по безопасности и профессиональными корпоративными хакерами, которые делились своими секретами об инструментах торговли и о том, как наши знания этой тактики могут защитить нас и нашу компанию.

Многое из того, что я слышал раньше или делился с читателями.Но некоторые из них были новыми или обновленными мошенниками, о которых я не знал.

Вся эта информация полезна для всех потребителей в повседневной цифровой жизни, а также для сотрудников, защищающих системы своей компании.

На самом деле, в текстовом обмене с двумя коллегами после тренинга я сказал им, что тренинг иногда пугал меня некоторыми вещами, на которые мы могли быть нацелены, и я шутил, действительно ли они были моими друзьями и коллегами или они сделали раскрыть их личности, чтобы попытаться заслужить мое доверие и обмануть меня?

Социальная инженерия

То, что я в шутку описал выше, является примером социальной инженерии.Это настоящая вещь.

По определению, социальная инженерия — это: «Искусство манипулировать вами, влиять на вас или обманывать вас, заставляя предпринимать какие-то действия, не отвечающие вашим интересам или интересам вашей организации».

«Большинство людей думают о хакерах, как о людях, которые сидят в подвале своей матери и взламывают компьютер», — сказала Дженни Рэдклифф, профессиональный социальный инженер, на нашем тренинге по кибербезопасности. «На самом деле они могут выглядеть как я или ты».

Они ищут информацию или деньги, которые затем можно продать, — сказала она.Девяносто процентов нарушений кибербезопасности связаны с социальной инженерией.

«Как хакер, я знаю, что люди — самое слабое звено», — сказала она.

Как только она убедится, что кто-то «впустит ее» в системы компании, она может взять на себя личность этого человека и маскироваться под него или установить программу-вымогатель, чтобы захватить систему, пока кто-то ей не заплатит.

Вот несколько примеров:

• Электронное письмо от вашей организации с просьбой ввести пароль для проверки надежности пароля.
• Разносчик еды просит вас придержать дверь офиса, потому что у него заняты руки.
• Текстовое сообщение от вашего банка с просьбой подтвердить некоторые подозрительные платежи.

Самая распространенная социальная инженерия — это фишинг, о котором многие из нас знают. Здесь кажется, что письмо приходит от вашего банка или компании, с которой вы связаны, но оно хочет, чтобы вы подтвердили некоторую важную информацию.

«Для вас может быть почти невозможно узнать, что сообщение является поддельным.Они хотят, чтобы вы предприняли какие-то действия, например, щелкнули ссылку или открыли вложение, зараженное вредоносным ПО », — сказала она. Это действие предоставит хакеру доступ к вашему компьютеру.

«Вишинг» — это голосовой фишинг с телефонным звонком, предлагающий перейти на веб-сайт и ввести свое имя пользователя и пароль, предоставляя хакеру вашу информацию.

Обычно в сообщении присутствует ощущение срочности, сказал Рэдклифф, что заставляет вас предпринять действия, прежде чем вы «остановитесь, посмотрите и подумайте».

Один из примеров, который они привели, — это то, на что, я думаю, поддастся множество рабочих: электронное письмо, отправленное поздно вечером в пятницу, о том, что компания переживает увольнения, и в приложении есть подробности увольнения.

Будьте осторожны с тем, чем делитесь

Социальные сети — мечта хакера, — сказал Рэдклифф.

Социальный инженер может собирать информацию специально для одного человека. Социальный инженер просматривает ваши сообщения в социальных сетях, которые доступны широкой публике, и использует эту информацию, чтобы отправить вам электронное письмо, в котором создается впечатление, что вы их знаете, потому что они знают о вас «достаточно».

Это напоминание о том, что нужно внимательно следить за тем, сколько личной информации вы публикуете в социальных сетях, или чтобы ваши сообщения были закрытыми или только для друзей, особенно на Facebook. Другие платформы, такие как Twitter или Instagram (если вы не настроили конфиденциальность), являются общедоступными по своей природе, поэтому также будьте осторожны, не передавая слишком много личной информации.

Социальный инженер может также установить «поддельный» профессиональный контакт, найти что-то общее и попытаться установить с вами контакт.

Социальный инженер может также захотеть попасть на ваше рабочее место, поэтому может стоять за пределами офиса и «болтаться» с другими, болтающимися снаружи, выглядя как коллега, которого вы не знаете, или, может быть, кто-то, кто работает в другом офисе и просто забыл свою карточку-ключ.

После этого социальный инженер может сесть на чье-то рабочее место и попытаться получить доступ к компьютерной системе компании.

Советы по выявлению мошеннических электронных писем

Вот несколько советов, на которые следует обратить внимание при просмотре электронных писем:

• Просмотрите все части электронного письма. Кажется, что-то не так? Даже если кажется, что письмо пришло «от» кого-то или организации, которой вы доверяете, наведите указатель мыши на адрес, чтобы увидеть, не соответствует ли адрес электронной почты. Также проверьте адрес для ответа.Он может не совпадать с адресом «от». Ищите орфографические ошибки в гиперссылках или вложениях, которые вас просят открыть. Также ищите ощущение срочности.
• Если что-то кажется неправильным, самостоятельно найдите контактную информацию реального человека или компании, которые, кажется, связываются с вами. Не отвечайте напрямую на это письмо или контакт.

Реальный жизненный опыт

Интересно, что на следующее утро после окончания тренинга по кибербезопасности я получил электронное письмо от читателя.Я узнал имя читательницы, потому что раньше обменивался с ней электронными письмами.

Но это письмо показалось странным. В теме письма было написано «быстрое одолжение» с ее именем. В электронном письме меня поприветствовали, в нем говорилось, что она надеется, что у меня все хорошо, и может, если я немедленно отправлю ей ответное письмо.

Я был почти уверен, что это могло быть мошенничество, но это также могло быть законное письмо от читателя. Я знала, что читателем была 90-летняя женщина из Западного Акрона. (Я не сообщаю ее имя из соображений конфиденциальности.)

Я ответил очень коротким и прямым письмом, в котором спрашивал, чем я могу ей помочь.

Конечно, в «своем» ответе она попросила меня купить подарочные карты для друга, и она вернет мне деньги.

Конечно, я не ответил. Я также более внимательно посмотрел на адрес электронной почты. Исходное электронное письмо действительно было ее адресом электронной почты. Но когда я нажал «Ответить», на адресе электронной почты был лишний дубликат «l», который было бы трудно заметить.

Я нашел реальную цепочку писем от читателя и позвонил ей, потому что хотел, чтобы она знала, что ее электронная почта взломана.

Она это прекрасно понимала. Ей звонили родственники и друзья.

«Весь день мне постоянно звонили люди. Лучшее, что из этого вышло, — это то, что я поговорила со своим другом в Сент-Луисе, с которым не разговаривала долгое время, и с кем-то в Калифорнии, с которым я не разговаривала, и с моим двоюродным братом в Колумбусе », — сказала она. .

«Мне позвонили и сказали, что просто знают, что это не я», — продолжила она. «Всякий раз, когда я отправляю что-нибудь своим детям, я всегда подписываю это« Любовь »тремя крестиками и тремя крестиками.Моя дочь из Чикаго знала, что это не от меня, потому что в нем не было трех и трех крестиков ».

Ее сын попросил кого-то из своего офиса, который работает с компьютерами, прийти в дом его мамы, чтобы очистить ее компьютер и сделать его безопасным, и она изменила свой пароль электронной почты.

Насколько ей известно, никого из ее друзей не обманули.

«Я думаю, что кто-то думал об этом вчера, но она передумала».

С корреспондентом Beacon Journal Бетти Лин-Фишер можно связаться по телефону 330-996-3724 или blinfisher @ thebeaconjournal.com. Подпишитесь на ее @blinfisherABJ в Twitter или www.facebook.com/BettyLinFisherABJ Чтобы увидеть ее последние истории и колонки, перейдите на www.tinyurl.com/bettylinfisher

Превращение призраков в людей: наблюдение как инструмент социальной инженерии в Синьцзяне

Запястья и лодыжки привязаны к ограничивающему «стулу тигра , », и мужчина используется в качестве объекта, с помощью которого он «тренирует» технологию распознавания лиц на основе искусственного интеллекта для определения состояний эмоций.Мельчайшие изменения в выражении лица анализируются технологией распознавания лиц, чтобы определить, обладает ли испытуемый «негативным мышлением» или повышенным состоянием беспокойства, предположительно указывающим на возможность антисоциального поведения. Это не видение из антиутопического телесериала.

Напротив, это живая реальность в Синьцзян-Уйгурском автономном районе на крайнем северо-западе Китая, где китайское государство в сотрудничестве с рядом крупных китайских компаний, занимающихся технологиями наблюдения, стремилось усовершенствовать новые средства мониторинга. уйгурское население региона.По оценкам исследователей, с 2016 по 2019 год до одного миллиона человек в регионе содержались без суда и следствия в системе лагерей «перевоспитания». Кроме того, в период с 2017 по 2020 год 533 000 человек были официально привлечены к уголовной ответственности за различные «преступления» в соответствии с широкими определениями «экстремизма» и «терроризма».

За пределами лагерей тюркское мусульманское население региона также подвергается густой сети высокотехнологичных систем наблюдения, контрольно-пропускных пунктов и межличностного мониторинга, которые серьезно ограничивают все формы личной свободы и усиливают влияние государства над обществом.Это интенсивное наблюдение заставило некоторых описать Синьцзян как полицейское государство 21-го века.

Почему Китай начал репрессивную кампанию?

Контроль над уйгурским населением региона — это только часть цели. То, как система повсеместного наблюдения пересекается с практикой идеологического перевоспитания коммунистической партии Китая в Синьцзяне, демонстрирует, что Китай приступил к программе массового социального реинжиниринга, чтобы «переделать» уйгуров и других тюркских мусульман в податливых граждан.Сюй Гуйсян, представитель правительства Синьцзян-Уйгурского автономного района, заявил 25 мая 2021 года, что система перевоспитания необходима для того, чтобы «удалить экстремистские мысли» из уйгурских умов и «превратить» их из «призраков» в «людей». . »

Это заявление служит напоминанием о том, что наблюдение — это всего лишь средство для достижения цели — защиты или управления либо населением в целом, либо его отдельным сегментом. В самом деле, как утверждал Джеймс С. Скотт, характерной целью современного государства было «свести к минимуму хаотичную, беспорядочно, постоянно меняющуюся социальную реальность, находящуюся под ним, до чего-то более похожего на административную сетку его наблюдений», делая граждан и пространства, в которых они обитают, более прозрачны для «взора» государства и, следовательно, более восприимчивы к центральным манипуляциям и контролю.

Таким образом, слежка играет центральную роль в способности государства «сортировать по социальным вопросам». Проще говоря, социальная сортировка включает в себя «идентификацию и упорядочение людей с целью« поставить их на свое место »в рамках местных, национальных и глобальных« институциональных порядков »». Такой процесс также позволяет государству приписывать отдельным лицам или сообществам особые наказания, ограничения или санкции в соответствии с их категоризацией.

Аппарат наблюдения, созданный в Синьцзяне, сыграл именно такую ​​роль, усилив контроль государства над уйгурским населением и другими тюркскими мусульманами, а также его способность выявлять подозреваемых в аномальном поведении и направлять их в систему перевоспитания для «преобразования».«От использования устройств распознавания лиц и сканеров радужной оболочки глаза на контрольно-пропускных пунктах, вокзалах и мечетях до сбора биометрических данных для паспортов и обязательных приложений для« очистки »смартфонов от« подрывных »материалов — устройство наблюдения собирает огромные объемы данных об обычных граждане. Собранные данные затем агрегируются службой безопасности приложений, интегрированной платформой совместных операций, чтобы сообщить «о действиях или обстоятельствах, которые считаются подозрительными» и побудить «расследовать действия людей, которых система помечает как проблемные.”

Как партия говорит о своем аппарате наблюдения

Более пристальное изучение законодательной и дискурсивной архитектуры, которая была построена вокруг аппарата слежки, показывает, насколько точно власти Китая решают, кто проблематичен или, чаще всего, «ненадежен».

Во-первых, в декабре 2015 года Всекитайское собрание народных представителей приняло первый в Китае национальный «антитеррористический» закон, в котором дается обширное и двусмысленное определение терроризма:

Любая пропаганда или деятельность, которая посредством насилия, саботажа или угроз направлена ​​на создание социальной паники, подрыв общественной безопасности, нарушение личных и имущественных прав или принуждение государственного органа или международной организации с целью достижения политических целей. , идеологические или иные цели.

Во-вторых, правительство Синьцзян-Уйгурского автономного района объявило в марте 2017 года о своих так называемых правилах «деэкстремификации», раскрывающих цель государства классифицировать и наказывать тех, кого оно определяет как «отклоняющихся от нормы» и «ненормальных». Эти правила не только определяют «экстремификацию» как «слова и действия под влиянием экстремизма, которые пропитывают радикальную религиозную идеологию, отвергают и препятствуют нормальному производству и жизнеобеспечению», но также прямо определяют пятнадцать «основных проявлений» «экстремистского мышления».К ним относятся «ношение или принуждение других к ношению платьев с закрывающими масками или символами экстремизма», «распространение религиозного фанатизма посредством неправильной бороды или выбора имени» и «невыполнение юридических формальностей при заключении брака или разводе через религиозные методы ». Впоследствии в 2017 году региональное правительство расширило список, включив в него еще 60 признаков «экстремизма», включая «внезапный отказ от курения или употребления алкоголя, ненормальное общение с соседями и мужчин с длинной бородой или в коротконогих штанах».”

В совокупности эти меры составляют то, что Джоан Смит Финли называет криминализацией «всего религиозного поведения, а не только насильственного», что ведет к «очень навязчивым формам религиозной полиции», которые оскорбляют и унижают уйгуров. Такое законодательство демонстрирует, что для коммунистической партии Китая повседневные признаки и обычаи уйгурской идентичности, такие как религия и язык, являются экстремистскими по своей сути. Между тем, информационное бюро Государственного совета Китайской Народной Республики опубликовало «Белую книгу» от августа 2009 г.16 февраля 2019 года в разделе «Профессиональное образование и обучение в Синьцзяне» была подчеркнута основная цель Коммунистической партии Китая — определение и регулирование уйгурских ценностей, убеждений и лояльности, чтобы они стали «полезными» предметами для поддержания политической безопасности режима.

Экстремизм и перевоспитание

Определяя «терроризм и экстремизм» как «общих врагов человеческого общества», а Синьцзян — как «главное поле битвы Китая против терроризма и деэкстремизации», Белая книга также утверждала, что государство должно иметь дело не только с «террористическими актами». преступления в соответствии с законом », но также« просвещать и спасать »тех, кто заражен религиозным экстремизмом, чтобы лечить« как симптомы, так и коренные причины »религиозного экстремизма.В документе утверждается, что посредством образования и профессиональной подготовки «учебные центры» будут способствовать развитию и увеличению общего дохода людей, а также помогут Синьцзяну «достичь социальной стабильности и прочного мира».

Тем не менее, это 52-гигабайтный набор внутренних полицейских данных из Управления общественной безопасности Урумчи в столице региона, полученный с помощью перехватчика Intercept и подробно проанализированный Дарреном Байлером, который, возможно, лучше всего демонстрирует как гранулярный характер повседневного наблюдения в Синьцзяне. и как он пересекается с определенными государством понятиями идеологического отклонения и экстремизма, которые помечают людей для перевоспитания.

Начиная с 2013 года Бюро общественной безопасности Урумчи начало эксперименты с мобильными сканирующими устройствами, в которых интегрированы мобильные технологии 3G, смартфоны и базы данных с поддержкой виртуальной частной сети, «чтобы обеспечить быструю индивидуальную аутентификацию». К 2017 году эта технология была модернизирована, чтобы позволить полиции в Урумчи сканировать и считывать удостоверения личности, «мгновенно связывая идентификационные номера, эмитентов и фотографии» проверяемого лица с интегрированной платформой совместных операций.В этих «отчетах о социальных происшествиях» — около 250 миллионов строк данных в файлах, полученных с помощью перехватчика Intercept — «указаны геолокация, дата и время встречи, участок, имя, идентификационный номер, пол, этническая принадлежность и номер телефона. подозреваемого. Они описывают причину, по которой человек был помечен, и требуют ли они дальнейшего расследования ». Бюро общественной безопасности использовало эти данные для мониторинга уйгурского (и казахского) населения Урумчи, подвергая его регулярным проверкам безопасности, домашним обыскам, мониторингу семейных и общественных отношений и посещения мечетей.

Важно отметить, что данные из файлов Бюро общественной безопасности Урумчи также демонстрируют, что власти обучили эту технологию выявлять и собирать действенные разведывательные данные на основе идеологически определенных критериев. Портативные мобильные сканирующие устройства Бюро общественной безопасности Урумчи были оснащены инструментом «цифровой криминалистики», называемым «антитеррористическим мечом», который позволял сотрудникам Бюро общественной безопасности получать доступ к «частным социальным сетям, электронной почте и приложениям для обмена мгновенными сообщениями. для оценки цифровой истории владельца телефона и социальной сети.”

Все эти данные использовались, чтобы пометить человека для дальнейшего расследования или задержания. В еженедельном отчете одного из участков Бюро общественной безопасности в Урумчи за февраль 2018 года отмечается, что на таком основании было задержано 669 человек, а 184 впоследствии отправлены на перевоспитание. Это проясняет, что мониторинг повседневной жизни в уйгурских кварталах направлен на выявление и реагирование на то, что коммунистическая партия Китая определила как ключевые маркеры идеологического отклонения.Таким образом, аппарат слежки и сопутствующие ему процессы «социальной сортировки» являются фундаментальными для проекта Коммунистической партии Китая не только по контролю, но и по превращению уйгурского населения Синьцзяна в «продуктивных» и сговорчивых граждан.

Тенденция, имеющая глобальное происхождение и глобальные последствия

Тем не менее, важно также признать, что реализация Коммунистической партией Китая этой формы наблюдения, которую она называет контртерроризмом, не происходила в вакууме.Скорее, это часть глобализации стратегий и дискурсов «противодействия насильственному экстремизму», которые «направлены на сокращение насильственного экстремизма за счет использования методов, выходящих за рамки использования военной силы и принуждения, предусмотренных уголовным законодательством», чтобы «предотвратить возникновение насильственного экстремизма раньше. он полностью проявился в регионе, сообществе или отдельном человеке благодаря устранению основных факторов, которые его порождают ».

Что уникально в китайском проявлении этой мании противодействия насильственному экстремизму, так это то, что технологии наблюдения, упомянутые выше, позволили Коммунистической партии Китая провести массовую социальную сортировку для достижения идеологической цели разрушения того, что, по ее мнению, является неотъемлемой связью между маркерами. религиозной и культурной идентичности тюркских мусульман, с одной стороны, и экстремизма, с другой.

Использование Пекином этого высокотехнологичного аппарата наблюдения влечет за собой ряд важных последствий не только для управления Синьцзяном, но и для Китая в целом, а также для глобального распространения и нормализации такого наблюдения. Что касается управления Синьцзяном и Китайской Народной Республикой, то система, созданная в Синьцзяне, потенциально ставит Китай на путь превращения в то, что Сяо Цян называет «тиранией реагирования», в которой цифровые технологии позволяют государству действовать упреждающе и выявлять и заранее подавить оппозицию на основе улик, почерпнутых из многочисленных каналов сбора массовой информации.

Эта технологически оснащенная система наблюдения и контроля также пересекается с глобальной динамикой по ряду ключевых аспектов. Во-первых, государства по всему миру все чаще внедряют конкретные технологические инновации , , такие как секвенирование ДНК, анализ метаданных, технология распознавания лиц, машинное обучение и «автоматическое распознавание походки» во имя общественной безопасности и, особенно, борьбы с терроризмом. Как задокументировала Шина Грейтенс, распространение китайских платформ наблюдения и технологий на более чем 100 стран — с разными режимами — «не только движет Китай или китайские компании, но и спрос со стороны получателя».Эта тенденция, вероятно, облегчает китайскому государству создание оправдывающего нарратива вокруг своей системы контроля, а также позволяет различным государственным органам безопасности и бюрократии взаимодействовать с международными партнерами и учиться у них.

Во-вторых, взаимодействие китайского государства с технологиями наблюдения и установление приоритетов в отношении них привело к более активному прямому участию ряда китайских технологических компаний в предоставлении как технологий, так и компонентов государству безопасности в Синьцзяне.Китайские компании по видеонаблюдению Dahua, Hikvision, Yitu, Megvii, SenseTime, Yixin Science and Technology Co. Ltd. и фирма по распознаванию голоса iFlytek, например, активно участвовали не только в поставке оборудования для устройств наблюдения, но и в разработке и маркетинге. новые инструменты слежки за государством, такие как программное обеспечение для анализа этнической принадлежности, которое отличает уйгуров от других.

Система повсеместного наблюдения в сочетании с практикой перевоспитания в Синьцзяне представляет собой яркий пример глубоко антиутопических возможностей современных идеологий и технологий социального контроля.Международное сообщество должно принять меры против распространения и нормализации такого производственно-слежения комплекса посредством призывов к императивам борьбы с терроризмом, потому что, как показывает случай Синьцзяна, это представляет собой коварное нападение на основные нормы прав человека.

Могут ли Соединенные Штаты что-нибудь сделать?

Один из способов, которым администрация Байдена может противодействовать нормализации слежки для социального контроля, — это предпринять согласованные усилия по отслеживанию взаимосвязей между аппаратом слежки в Синьцзяне и китайскими и иностранными технологическими компаниями.Правительство США может использовать здесь два возможных типа давления: (1) ограничение возможности китайских компаний и организаций получать доступ к компонентам американских компаний и (2) публичное сообщение о связях в цепочке поставок между китайскими и американскими компаниями.

В октябре 2019 года администрация Трампа через Министерство торговли США приступила к осуществлению первого из них, добавив ряд крупных китайских технологических компаний, задействованных в аппаратуре наблюдения в Синьцзяне, таких как компании видеонаблюдения Dahua, Hikvision, Megvii. , Yitu, Sensetime и фирмы iFlytek, занимающейся распознаванием голоса, — в Список организаций Бюро промышленности и безопасности.Это было средством ограничения их возможности получать компоненты от американских технологических гигантов, таких как Intel и Nvidia, которые сыграли решающую роль в развитии системы слежки в Китае.

Однако ограничение доступа китайских компаний к американским технологиям является несовершенным решением, поскольку такие компании просто закупили альтернативные источники цепочки поставок или вкладывают значительные средства в развитие своих собственных исследовательских и опытно-конструкторских возможностей, чтобы заполнить пробелы. Администрация Байдена должна систематически отслеживать и сообщать о связях цепочек поставок между китайскими компаниями, включенными в Список организаций по промышленности и безопасности и U.S. технологические компании. Публикация этой информации увеличит вероятность репутационного риска для американских компаний, сделав публичным их сознательное или неосознанное соучастие в слежке за государством Синьцзяна.

Одно из центральных споров относительно систематических репрессий Коммунистической партией Китая в отношении уйгуров и других тюркских мусульман касается вопроса о намерениях. Цинично манипулировал ли он глобальным приоритетом борьбы с терроризмом в качестве прикрытия, чтобы исключить саму возможность будущего сопротивления партийному государству в Синьцзяне? Или он стремится к окончательному растворению другого тюркского мусульманина?

Ученые будут продолжать анализировать доказательства, касающиеся конечных намерений Коммунистической партии Китая, в течение некоторого времени, но теперь не подлежит сомнению, что слежка с помощью технологий сделала возможной массовую социальную сортировку — идентификацию, категоризацию и наложение санкций на людей, что является центральным элементом системы «перевоспитания и трансформации».По сути, он выступает не только как пример масштабов стремления коммунистической партии Китая к социальному контролю, но и как предупреждение другим обществам о глубоко антиутопических возможностях комплекса слежки и промышленности.

Майкл Кларк, доктор философии, старший научный сотрудник Центра оборонных исследований Австралийского оборонного колледжа и приглашенный научный сотрудник Австралийско-китайского института отношений при Сиднейском технологическом университете. Он является автором книги Синьцзян и подъем Китая в Центральной Азии: история (Routledge, 2011) и редактором книги Terrorism and Counterterrorism in China: Internal and Foreign Policy Dimensions (Oxford University Press, 2018) и The Чрезвычайная ситуация в Синьцзяне: изучение причин и последствий массовых задержаний уйгуров в Китае (Manchester University Press, февраль 2022 г.).

Фото Майкла Вонга

Объяснение социальной инженерии: как преступники используют человеческое поведение

Определение социальной инженерии

Социальная инженерия — это искусство использования психологии человека, а не технических приемов взлома, для получения доступа к зданиям, системам или данным.

Например, вместо того, чтобы пытаться найти уязвимость программного обеспечения, социальный инженер может позвонить сотруднику и выдать себя за сотрудника службы поддержки ИТ, пытаясь обманом заставить сотрудника раскрыть свой пароль.

Известный хакер Кевин Митник помог популяризировать термин «социальная инженерия» в 90-х годах, хотя идея и многие методы существуют с тех пор, как появились мошенники.

Даже если у вас есть все навороты, когда дело доходит до безопасности вашего центра обработки данных, ваших облачных развертываний, физической безопасности вашего здания, и вы вложили средства в защитные технологии, у вас есть правильные политики и процессы безопасности, и измерять их эффективность и постоянно улучшать, но хитрый социальный инженер может проложить себе путь насквозь (или обойти).

Методы социальной инженерии

Социальная инженерия оказалась очень успешным способом для преступников «проникнуть внутрь» вашей организации. Получив пароль доверенного сотрудника, социальный инженер может просто войти в систему и поискать конфиденциальные данные. Имея карту доступа или код для физического проникновения внутрь объекта, преступник может получить доступ к данным, украсть активы или даже причинить вред людям.

В статье «Анатомия взлома» тестер проникновения рассказывает, как он использовал текущие события, общедоступную информацию, доступную на сайтах социальных сетей, и рубашку Cisco за 4 доллара, которую он купил в благотворительном магазине, чтобы подготовиться к незаконному проникновению.Рубашка помогла ему убедить сотрудников стойки регистрации и других сотрудников в том, что он был сотрудником Cisco, находившимся на визите в службу технической поддержки. Оказавшись внутри, он также смог дать незаконный доступ другим членам своей команды. Ему также удалось сбросить несколько зараженных вредоносным ПО USB-накопителей и взломать сеть компании, причем все это было в поле зрения других сотрудников.

Тем не менее, вам не нужно ходить в благотворительные магазины, чтобы провести атаку социальной инженерии. Они также хорошо работают по электронной почте, телефону или в социальных сетях.Общим для всех атак является то, что они используют человеческую природу в своих интересах, подпитывая нашу жадность, страх, любопытство и даже наше желание помочь другим.

Примеры социальной инженерии

Преступникам часто требуются недели и месяцы, чтобы узнать место, прежде чем даже войти в дверь или позвонить. Их подготовка может включать поиск телефонного списка компании или организационной структуры, а также поиск сотрудников в социальных сетях, таких как LinkedIn или Facebook.

1.По телефону
Социальный инженер может позвонить и притвориться коллегой по работе или сторонним авторитетом, которому доверяют (например, правоохранительными органами или аудитором).

2. В офисе
«Можете ли вы подержать мне дверь? У меня нет при себе ключа / карты доступа». Как часто вы слышали это в своем доме? Хотя спрашивающий может не показаться подозрительным, это очень распространенная тактика, используемая социальными инженерами.

3. Интернет
Сайты социальных сетей упростили проведение атак социальной инженерии.Сегодняшние злоумышленники могут зайти на такие сайты, как LinkedIn, найти всех пользователей, работающих в компании, и собрать много подробной информации, которая может быть использована для дальнейшей атаки.

Социальные инженеры также пользуются преимуществами последних новостей, праздников, поп-культуры и других устройств, чтобы заманить жертв. В фильме «Женщина» теряет 1825 долларов из-за мошенничества с тайным покупателем, выдавая себя за BestMark, Inc., вы видите, как преступники использовали имя известной компании, занимающейся тайным покупателем, для проведения своей аферы. Мошенники часто используют поддельные благотворительные фонды для достижения своих преступных целей в праздничные дни.

Злоумышленники также настроят фишинговые атаки на известные интересы (например, любимых артистов, актеров, музыку, политику, благотворительность), которые могут быть использованы для побуждения пользователей нажимать на вложения, содержащие вредоносное ПО.

Известные атаки социальной инженерии

Хороший способ понять, на какую тактику социальной инженерии следует обратить внимание, — это узнать, что использовалось в прошлом. У нас есть все подробности в обширной статье по этому вопросу, но пока давайте сосредоточимся на трех методах социальной инженерии — независимо от технологических платформ — которые оказались очень успешными для мошенников.

Предложите что-нибудь сладкое. Любой мошенник скажет вам, что самый простой способ обмануть знак — это использовать собственную жадность. Это основа классической нигерийской аферы 419, в которой мошенник пытается убедить жертву помочь вывести якобы незаконно полученные деньги из своей страны в безопасный банк, предлагая взамен часть средств. Эти электронные письма о «нигерийском принце» были шуткой на протяжении десятилетий, но они по-прежнему являются эффективным методом социальной инженерии, на который люди попадают: в 2007 году казначей в малонаселенном округе Мичиган дал 1 доллар.2 миллиона государственных средств такому мошеннику в надежде лично обналичиться. Еще одна распространенная приманка — это перспектива новой, лучшей работы, чего, очевидно, слишком многие из нас хотят: в чрезвычайно досадном взломе 2011 года безопасность Компания RSA была скомпрометирована, когда по крайней мере два сотрудника нижнего уровня открыли прикрепленный к фишинговому письму файл вредоносной программы с именем «2011 recruitment plan.xls».

Подделывайте, пока не сделаете. Один из простейших и, на удивление, самых успешных методов социальной инженерии — это просто притвориться своей жертвой.В одном из легендарных первых случаев мошенничества Кевина Митника он получил доступ к серверам разработки ОС Digital Equipment Corporation, просто позвонив в компанию, назвавшись одним из их ведущих разработчиков и сказав, что у него проблемы со входом в систему; он был немедленно вознагражден новым логином и паролем. Все это произошло в 1979 году, и можно было бы подумать, что с тех пор ситуация улучшится, но вы ошибаетесь: в 2016 году хакер получил контроль над адресом электронной почты Министерства юстиции США и использовал его, чтобы выдать себя за сотрудника, уговаривая службу поддержки, чтобы передать токен доступа к внутренней сети Министерства юстиции, сказав, что это была его первая неделя на работе, и он не знал, как что-то работает.

Во многих организациях есть барьеры, предназначенные для предотвращения такого наглого выдвижения себя за другое лицо, но их часто довольно легко обойти. Когда Hewlett-Packard наняла частных детективов, чтобы выяснить, какие члены совета директоров HP сливали информацию в прессу в 2005 году, они смогли предоставить PI последние четыре цифры номера социального страхования своих жертв, что служба технической поддержки AT&T приняла как подтверждение личности перед передачей подробных журналов вызовов.

Действуйте так, как будто вы главный. Большинство из нас настроено уважать авторитет — или, как оказывается, уважать людей, которые действуют так, будто у них есть полномочия делать то, что они делают. Вы можете использовать разную степень осведомленности о внутренних процессах компании, чтобы убедить людей, что вы имеете право находиться в местах или видеть то, чего не должны, или что сообщение, исходящее от вас, действительно исходит от кого-то, кого они уважают. Например, в 2015 году финансовые сотрудники Ubiquiti Networks переводили миллионы долларов деньгами компании мошенникам, которые выдавали себя за руководителей компании, вероятно, используя похожий URL-адрес в своем адресе электронной почты.Что касается технических проблем, то следователи, работавшие на британские таблоиды в конце 00-х — начале 10-х годов, часто находили способы получить доступ к учетным записям голосовой почты жертв, притворяясь другими сотрудниками телефонной компании с помощью явного блефа; например, один из частных лиц убедил Vodafone сбросить PIN-код голосовой почты актрисы Сиенны Миллер, позвонив и назвавшись «Джоном из отдела кредитного контроля».

Иногда мы выполняем требования внешних властей, не задумываясь об этом. Босс кампании Хиллари Клинтон Джон Подеста был взломан российскими шпионами в 2016 году, когда они отправили ему фишинговое письмо, замаскированное под записку от Google с просьбой сбросить пароль.Предприняв действия, которые, по его мнению, обезопасили его учетную запись, он фактически отдал свои учетные данные.

Последний отчет ISACA State of Security 2021, Part 2 (опрос почти 3700 специалистов по глобальной кибербезопасности) обнаружил, что социальная инженерия является основной причиной компрометации, с которой сталкиваются организации, в то время как ежеквартальная угроза PhishLabs Отчет «Тенденции и аналитика» показал, что в первой половине этого года объем фишинговых атак увеличился на 22% по сравнению с тем же периодом 2020 года.Аналогичным образом, результаты отчета Verizon о расследовании утечки данных за 2021 год выделили социальную инженерию как наиболее распространенный метод атак, связанных с утечкой данных, и отметили, что 85% атак тем или иным образом основываются на человеческом элементе кибербезопасности. Недавнее исследование Gemini также продемонстрировало, как киберпреступники используют методы социальной инженерии для обхода определенных протоколов безопасности, таких как 3D Secure, для совершения мошенничества с платежами.

Тенденции атак социальной инженерии часто носят циклический характер, как правило, появляются и исчезают с регулярностью.По мнению Надера Хенейна, вице-президента по исследованиям Gartner, важной тенденцией является то, что социальная инженерия стала стандартным элементом более крупных наборов инструментов для атак, которые развертываются в сочетании с другими инструментами против организаций и отдельных лиц в соответствии с профессиональным и повторяемым подходом. «Многие из этих возможностей, будь то фишинг или использование дипфейков для убеждения или принуждения целей, предоставляются в сочетании как услуга, с соглашениями об уровне обслуживания и поддержкой». В результате, знания в области социальной инженерии и последующее тестирование становятся все более необходимыми и присутствуют в тренингах по безопасности в большинстве организаций, добавляет он.

Джек Чапман, вице-президент Egress по анализу угроз, указывает на недавний рост атак с использованием социальной инженерии с использованием пропущенных сообщений. «Это включает в себя подделку учетной записи старшего сотрудника; злоумышленник отправит более младшему коллеге электронное письмо с просьбой прислать часть выполненной работы, например отчет », — сказал он CSO.

Чтобы создать дополнительное давление, злоумышленник упомянет, что отчет был сначала запрошен в вымышленном предыдущем электронном письме, что заставит получателя поверить в то, что он пропустил письмо и не выполнил важную задачу.«Это очень эффективный способ вызвать срочное реагирование, особенно в удаленной рабочей среде», — говорит Чепмен. Кроме того, злоумышленники все чаще используют лесть, чтобы побудить получателей щелкнуть их вредоносные ссылки. «Удивительная тенденция, которую мы наблюдаем, — это рассылка хакерами поздравительных открыток. Злоумышленники могут использовать OSINT, чтобы узнать, когда у их жертвы день рождения, и отправить ссылку «просмотреть электронную открытку с днем ​​рождения», которая на самом деле является фишинговой ссылкой в ​​качестве оружия. Часто получатель не подозревает о фишинг-атаке, потому что слишком занят, чтобы его польстили, чтобы получить открытку в свой день рождения.”

По словам директора по информационной безопасности компании Neosec Ренана Фельдмана, в большинстве современных атак с помощью социальной инженерии используются открытые API-интерфейсы. «Большинство злоумышленников ищут доступ к этим API, а не к устройству или сети, потому что в современном мире бизнес работает на платформах приложений. Более того, взломать API намного проще, чем проникнуть в корпоративную сеть и продвинуться в сторону, чтобы захватить большую часть или все ключевые активы в ней. Таким образом, в ближайшие пару лет, вероятно, мы увидим рост разового вымогательства через API.Поскольку все больше и больше бизнес-данных перемещается в API-интерфейсы, организации ужесточают меры защиты от программ-вымогателей ».

Профилактика социальной инженерии

Тренинг по вопросам безопасности — это лучший способ предотвратить социальную инженерию. Сотрудники должны знать, что социальная инженерия существует, и знать наиболее часто используемые тактики.

К счастью, понимание социальной инженерии поддается повествованию. А рассказы намного проще для понимания и намного интереснее, чем объяснения технических недостатков.Викторины, привлекающие внимание или юмористические плакаты также служат эффективным напоминанием о том, что нельзя предполагать, что все являются теми, кем они себя называют.

Но не только рядовой сотрудник должен знать о социальной инженерии. Высшее руководство и руководители являются основными целями предприятия.

5 советов по защите от социальной инженерии

Сотрудник CSO Дэн Лорманн предлагает следующие советы:

1. Тренируйтесь и тренируйтесь снова, когда дело касается осведомленности о безопасности.
Убедитесь, что у вас есть комплексная программа обучения по вопросам безопасности, которая регулярно обновляется для устранения как общих фишинговых угроз, так и новых целевых киберугроз. Помните, что речь идет не только о переходе по ссылкам.

2. Предоставьте ключевым сотрудникам подробный инструктаж по новейшим методам онлайн-мошенничества.
Да, включая руководителей высшего звена, но не забывайте о тех, кто имеет право осуществлять электронные переводы или другие финансовые операции.Помните, что многие правдивые истории, связанные с мошенничеством, происходят с сотрудниками более низкого уровня, которых обманывают, полагая, что руководитель просит их принять срочные меры — обычно в обход обычных процедур и / или средств контроля.

3. Изучите существующие процессы, процедуры и разделение обязанностей для финансовых переводов и других важных транзакций.
При необходимости добавьте дополнительные элементы управления. Помните, что разделение обязанностей и другие меры защиты могут быть скомпрометированы в какой-то момент внутренними угрозами, поэтому может потребоваться повторный анализ анализа рисков с учетом возросших угроз.

4. Рассмотрите новые политики, связанные с «внешними» транзакциями или срочными запросами руководства.
Электронное письмо из аккаунта Gmail генерального директора должно автоматически поднимать тревогу для сотрудников, но они должны понимать новейшие методы, применяемые темной стороной. Вам нужны санкционированные действия в чрезвычайных ситуациях, которые всем хорошо известны.

5. Изучите, доработайте и протестируйте свои системы управления инцидентами и сообщениями о фишинге.
Регулярно проводите настольные учения с руководством и ключевым персоналом.Тестируйте средства управления и перепроектируйте потенциальные области уязвимости.

Набор инструментов социальной инженерии

Ряд поставщиков предлагают инструменты или услуги, помогающие проводить упражнения по социальной инженерии и / или повышать осведомленность сотрудников с помощью таких средств, как плакаты и информационные бюллетени.

Также стоит обратить внимание на набор инструментов социальной инженерии social-engineering.org, который можно загрузить бесплатно. Этот инструментарий помогает автоматизировать тестирование на проникновение с помощью социальной инженерии, включая целевые фишинговые атаки, создание легитимно выглядящих веб-сайтов, атаки с использованием USB-накопителей и многое другое.

Еще один хороший ресурс — Концепция социальной инженерии.

В настоящее время лучшая защита от атак социальной инженерии — это обучение пользователей и уровни технологической защиты, позволяющие лучше обнаруживать атаки и реагировать на них. Обнаружение ключевых слов в электронных письмах или телефонных звонках можно использовать для отсеивания потенциальных атак, но даже эти технологии, вероятно, будут неэффективными в остановке квалифицированных социальных инженеров.

Авторские права © 2021 IDG Communications, Inc.

Социальная инженерия | KnowBe4

Примеры из реальной жизни

Фишинг

Классическим примером является афера с техподдержкой, которая бывает разных видов и уровней сложности.

За последние несколько лет поставщики онлайн-услуг активно обменивались сообщениями с клиентами, когда они обнаруживали необычную активность в учетных записях своих пользователей. Неудивительно, что плохие парни использовали эту тенденцию в своих интересах. Многие электронные письма плохо спроектированы из-за плохой грамматики и т. Д., Но другие выглядят достаточно законными, чтобы кто-то нажал на них, если бы не обратил на них пристального внимания.

Считайте это поддельным уведомлением о безопасности Paypal, предупреждающим о потенциальных отметках «необычной активности при входе в систему» ​​на их счетах:

Наведение указателя мыши на ссылки было бы явным признаком того, что это фишинговое письмо, но достаточное количество целевых пользователей щелкают, не задумываясь, и подобные мошенничества продолжаются.

Spear Phishing

При целевой фишинг-атаке злоумышленники используют глубокие знания потенциальных жертв для нацеливания на них, и этот подход позволяет им адаптировать атаку. Эти электронные письма более убедительны и их труднее обнаружить, чем обычные фишинговые письма. Злоумышленник точно знает, на кого и что он нацелен.

В отличие от массовых фишинговых писем, которые могут пытаться распространять программы-вымогатели или собирать индивидуальные учетные данные для быстрого заработка, целевые фишеры обычно ищут конфиденциальную информацию, коммерческие секреты и т. Д.

Мошенничество с генеральным директором

Вот пример попытки мошенничества генерального директора, нацеленной на клиента KnowBe4. Она получила электронное письмо от человека, который якобы был президентом компании. Сотрудница сначала ответила, затем вспомнила о своем обучении и отправила электронное письмо с помощью кнопки Phish Alert, уведомив свой ИТ-отдел о попытке мошенничества.

Когда сотрудница не смогла осуществить банковский перевод, она получила еще одно электронное письмо от плохих парней, которые, вероятно, думали, что они ее обманули:

Благодаря тому, что эта служащая прошла надлежащую подготовку по вопросам безопасности, она смогла уберечь свою компанию от заголовков газет.Однако это был близкий вызов, и не всем так повезло!

Социальные сети

Киберпреступники создают поддельные профили в социальных сетях и пытаются вас обмануть. Они будут изображать знаменитость, одного из ваших друзей или коллег. Эти профили очень похожи на настоящие, и их легко обмануть. Они пытаются изобразить знаменитость, которую плохие парни уже знают, что вам очень нравится.

Допустим, вас обманом заставили поверить в поддельный профиль в социальной сети.Следующим шагом является то, что они пытаются заставить вас щелкнуть ссылку или установить вредоносное программное обеспечение, часто что-то для просмотра видео или просмотра фотографий. Если вы нажмете кнопку или выполните эту установку, весьма вероятно, что вы заразите свой компьютер вредоносным ПО, которое позволит злоумышленнику захватить ваш компьютер.

Определение социальной инженерии

Что такое социальная инженерия?

Социальная инженерия — это акт использования человеческих слабостей для получения доступа к личной информации и защищенным системам.Социальная инженерия полагается на манипулирование людьми, а не на взлом компьютерных систем с целью проникновения в аккаунт цели.

Ключевые выводы

• Социальная инженерия незаконна.
• Атаки социальной инженерии могут происходить с человеком онлайн или лично.
• Кража личных данных — это атака социальной инженерии.
• Есть много мер предосторожности, которые вы можете предпринять, от создания двухэтапной системы аутентификации для ваших учетных записей до использования разных паролей для каждой учетной записи.
• Существует множество форм атак социальной инженерии, но наиболее распространенной является фишинг.

Понимание социальной инженерии

Под социальной инженерией понимается манипуляция целью так, чтобы она выдавала ключевую информацию. Помимо кражи личности или взлома кредитной карты или банковского счета, социальная инженерия может применяться для получения коммерческой тайны компании или использования национальной безопасности.

Например, женщина может позвонить в банк жертвы-мужчины, притвориться его женой, потребовать экстренной помощи и запросить доступ к его счету.Если женщина сможет успешно организовать представителя службы поддержки клиентов банка, обратившись к склонности представителя к сочувствию, она сможет получить доступ к счету мужчины и украсть его деньги.

Точно так же злоумышленник может связаться с отделом обслуживания клиентов поставщика услуг электронной почты, чтобы получить сброс пароля, что позволяет злоумышленнику контролировать учетную запись электронной почты цели, а не взламывать эту учетную запись.

Предотвращение социальной инженерии

Социальную инженерию сложно предотвратить потенциальными целями.Могут использоваться такие меры предосторожности, как надежные пароли и двухфакторная аутентификация для учетных записей, но учетные записи могут быть скомпрометированы третьими сторонами, имеющими доступ к учетным записям, например сотрудниками банка.

Однако люди могут снизить свой риск разными способами. К ним относятся: избегать разглашения конфиденциальной информации, быть осторожным при обмене информацией в социальных сетях и не повторять пароли к своим учетным записям. Дополнительные способы уменьшить количество взломов — это использование двухфакторной аутентификации, использование поддельных или трудно угадываемых ответов на вопросы безопасности учетной записи и пристальное наблюдение за учетными записями, особенно финансовыми.

Установите высокий уровень спам-фильтров, чтобы не допустить нежелательных сообщений, и никогда не открывайте вложения без тщательного изучения того, что они содержат. И всегда будет мудрым решением обращать пристальное внимание на любые электронные письма, которые кажутся подозрительными или необычными, даже если они, кажется, исходят от кого-то или компании, которую вы знаете.

Тактика социальной инженерии

Злоумышленники часто используют удивительно простые приемы в схемах социальной инженерии, например обращаются за помощью к людям.Другая тактика — использовать жертв стихийных бедствий, прося их предоставить личную информацию, такую ​​как девичьи имена, адреса, даты рождения и номера социального страхования пропавших без вести или умерших близких. Почему? Потому что эти фрагменты информации впоследствии могут быть использованы для кражи личных данных.

Представившись специалистом по технической поддержке или доставщиком, легко получить несанкционированный доступ к учетной записи, равно как и отправка, казалось бы, законного электронного письма с вредоносным вложением. Такие электронные письма часто отправляются на рабочий адрес электронной почты, где люди с меньшей вероятностью будут подозревать неизвестного отправителя.

Электронные письма можно замаскировать так, чтобы они выглядели так, как будто они исходят от известного отправителя, когда они отправляются хакером. Более продуманная тактика, нацеленная на конкретных людей, может включать изучение их интересов и последующую отправку адресату ссылки, связанной с этим интересом. Ссылка может содержать вредоносный код, который может украсть личную информацию с их компьютеров. К популярным методам социальной инженерии относятся фишинг, ловля кошек, ловля на хвосте и травля.

Если вы не ожидаете ссылки или вложения от друга или коллеги, возможно, им даже стоит позвонить или написать текстовое сообщение, чтобы узнать, отправили ли они его, чтобы исключить мошенников.

Типы атак социальной инженерии

Есть много способов, которыми хакеры создают атаки с помощью социальной инженерии: от выдачи себя за специалиста службы технической поддержки, предлагающего «исправить» ошибку на вашем компьютере, до отправки вам запроса «друга» в вашу учетную запись в социальной сети. Вот три популярных атаки социальной инженерии.

Онлайн-приманка

Онлайновая травля происходит, когда хакеры рассылают объявления со ссылками, которые похожи на возможности найти работу, заработать побочные деньги или, кажется, предоставляют полезную информацию.Когда ничего не подозревающий человек нажимает на приманку, вредоносное ПО заражает его компьютер.

Фишинг

Эти мошенничества осуществляются в виде текстовых сообщений или электронных писем, которые выдают себя за банк или другое финансовое учреждение или даже правительственное учреждение, утверждая, что вы нарушили политику, забыли заплатить налоги или просят вас сменить пароль. Эти мошенничества предназначены для того, чтобы вызвать у получателя страх или беспокойство и заставить его выдать конфиденциальную информацию.

Эти типы атак побуждают ничего не подозревающих лиц предоставить личную информацию, такую ​​как номера банковских счетов, номера социального страхования и другую конфиденциальную информацию, с целью хакера взломать ваши финансовые счета.

Физические взаимодействия

Атаки социальной инженерии происходят не только в Интернете. Могут происходить физические взаимодействия, например, человек притворяется, что работает в вашем офисе, и просит вас впустить его, потому что он «забыл код двери или ключ-карту» и нуждается в помощи.

Часто задаваемые вопросы о социальной инженерии

Какая наиболее распространенная форма социальной инженерии?

Фишинг, используемый для получения номеров социального страхования, адресов и других форм личной информации, является наиболее распространенной формой социальной инженерии.

Насколько распространена социальная инженерия?

Социальная инженерия чрезвычайно распространена, и хакеры и мошенники становятся все более изощренными в своих методах.

Является ли социальная инженерия незаконной?

да. Атаки социальной инженерии являются незаконными, а некоторые формы, такие как кража личных данных или проникновение в правительственное учреждение, считаются серьезными преступлениями.