Что такое социальная инженерия и чем она опасна
. Методы мошенников и способы защиты от них
В сферу IT термин перекочевал по мере развития цифровых технологий и киберугроз
Социальная инженерия всегда направлена на пользователя, а ее цель — убедить человека раскрыть информацию или перечислить деньги. Сценариев и способов подобных атак множество, но все они рассчитаны на слабости и психологию людей. Рассказываем, что такое социальная инженерия, какие схемы наиболее популярны у хакеров и как защититься.
Что такое социальная инженерия
Социальная инженерия нацелена на самое слабое звено в системе защиты данных — человека
Социальная инженерия — это совокупность методов и тактик воздействия, основанных на психологическом манипулировании, с целью контроля поведения человека и доступа к конфиденциальной информации. В контексте кибербезопасности термин описывает атаки, которые нацелены не на компьютер, а его оператора. Например, мошенники получают доступ к счетам жертвы, не взламывая при этом банковский онлайн-кабинет. Путем последовательных манипуляций преступники уговаривают человека добровольно передать пароли или перевести деньги на нужный счет.
Атака социальной инженерии строится вокруг правдоподобного сценария или ситуации, в которую погружают пользователя, с опорой на сильные триггеры — испуг, жалость, любопытство, жадность. Находясь в волнении человек с большей вероятностью совершит ошибку, выдаст информацию или выполнит нехарактерное для себя действие [1]. Например, кликнет на «зараженную» ссылку или скачает файл.
Еще одно значение социальной инженерии — метод совершенствования общества путем постепенных социальных преобразований с рациональным подходом [2]. Эта идея получила широкое распространение в середине ХХ века, главным образом как альтернатива тоталитарным и коммунистическим доктринам [3]. Она нашла отражение в философии и других социальных науках.
В сферу IT термин перекочевал по мере развития цифровых технологий и киберугроз. Одним из популяризаторов социальной инженерии часто называют американского хакера Кевина Митника [4]. В 1990-х годах он входил в число самых разыскиваемых ФБР США преступников за корпоративные атаки: нужные данные Митник получал, сочетая методы психологического манипулирования и классических взломов. После нескольких лет бегства Митника арестовали и приговорили к тюремному сроку. В 2000-х годах экс-хакер вышел на свободу, основал собственную компанию по кибербезопасности, вел консультации по защите от социоинженерных атак и выпустил несколько книг.
Обратная социальная инженерия
Это техника манипулирования, противоположная классической схеме, когда преступник первым инициирует контакт. При обратной социальной инженерии человека обманом вынуждают самостоятельно связаться со злоумышленником. В результате между жертвой и хакером возникает высокая степень доверия, так как пользователь начал общение сам [5]. Сценарии такой социальной инженерии разные. Например, мошенник сперва саботирует работу сети, а затем выдает себя за технического специалиста, чтобы помочь жертве решить проблему. Причем информацию об услугах такого «профессионала» пользователь замечает как бы случайно: в рекламе всплывающего окна или рассылке.
Методы социальной инженерии
Принципы социальной инженерии строятся вокруг того, как люди думают и действуют. Главная задача — сыграть на чувствах и слабостях человека, вывести его из психологического равновесия, а после заставить сделать определенные действия. Для этого киберпреступники используют широкий арсенал приемов, а подготовка жертвы к обману иногда занимает несколько месяцев. Социоинженерных сценариев для кражи данных много. Но, как правило, подобные атаки проходят в несколько этапов [1]:
- Подготовка. Мошенники предварительно изучают конкретного человека либо группу людей, например сотрудников определенной компании. Большинство информации, как правило, есть в открытом доступе: корпоративные сайты, фото и посты в социальных сетях.
- Установление контакта. Инициировав взаимодействие, преступник строит доверительные отношения. Для этого мошенники апеллирует к каким-то фактам, событиям и информации, имеющим отношение к человеку или группе. Это имена и фамилии друзей, начальника или сведения о сделке, которую недавно провела компания.
- Начало атаки. Как только доверие установлено, жертву атакуют. Например, просят перейти по ссылке, переслать письмо, открыть зараженный файл или перевести деньги.
- Отключение. Сразу после того как пользователь выполняет требования, все контакты прекращаются. Через некоторое время пострадавший осознает, что его обманули. Но иногда атака может оставаться незамеченной длительно. Вплоть до момента, пока хакер сам не разоблачит себя.
Фишинг
Кибератака с сообщениями, которые выглядят или звучат так, будто их отправила заслуживающая доверия организации или даже знакомый лично человек [1]. Это может быть замаскированное письмо от банка, госструктуры, начальника или кого-то из коллег, родственников. В нем жертву просят перейти по ссылке, чтобы скачать приложение, открыть файл. Например, сообщение с подписью «Это ты на фото?». Наиболее распространен фишинг в е-mail-рассылках (массовые или целевые), соцсетях, смс или даже голосовых сообщениях. Последние мошенники генерируют при помощи ИИ на основе аудиосообщений владельцев взломанных в мессенджерах аккаунтов. В итоге человек получает голосовое, в котором его знакомый своим голосом, например, просит деньги в долг.
Страшилка (Scareware)
Начинается с фишингового письма или всплывающего окна браузера, которое должно запугать пользователя и заставить немедленно выполнить что-то. Для этого в тексте чаще содержится угроза [6]. Например, предупреждение, что обнаружены вирусы. Для правдоподобности мошенники используют логотипы реальных компаний, URL-адреса и названия продуктов, которые кажутся законными. Напугав жертву, в сообщении сразу предлагают «решение» — загрузить ПО (поддельное) и оплатить услугу. Пользователь переходит на мошеннический сайт, где вводит сведения о банковской карте. В этот момент мошенники крадут личные данные. Хакеры также могут использовать тактику «запугивания» для распространения программ-вымогателей, которые удерживают файлы с устройства в заложниках и требуют выкуп.
Претекстинг (pretexting)
Это социоинженерная схема по заранее отработанному сценарию (от англ. слова предлог). Мошенник звонит или пишет жертве, представляясь начальником, сотрудником банка, полиции или госструктуры. В беседе он обязательно упоминает какие-то личные факты или сведения, имеющие отношение к работе. Жертве сообщают, что возникла некая проблема (взломали данные сотрудников фирмы, совершена атака на счета в банке) и для ее решения нужна помощь. Чтобы усыпить бдительность хакеры, используют поддельные аккаунты, почтовые адреса и номера телефонов, а также сгенерированные ИИ видео. Целью атаки чаще бывают финансовые данные: номера карт, PIN и СVV-коды либо средства на счете [7].
Дорожное яблоко
Этот вид мошенничества строится на обычном любопытстве. Схема предельно проста: в офис компании подбрасывают флешку, на которой написано что-то завлекающее. Например, «Данные о зарплатах начальства» или «Списки сотрудников на увольнение». Далее преступникам остается только ждать, когда кто-то из сотрудников найдет ее и из любопытства вставит в свой компьютер. После этого на рабоче ПО проникает вредоносная программа, которая шпионит или крадет персональные данные [8].
Quid pro quo (услуга за услугу)
Это форма социальной инженерии, когда злоумышленники предлагают услугу или выгоду в обмен на конфиденциальную информацию или доступ. Например, участие в опросе за вознаграждение. Однако в процессе общения мошенник постарается выяснить важную для себя информацию. Еще один сценарий — звонок из службы поддержки компании. Подставной сотрудник интересуется у жертвы о каких-либо проблемах с компьютером и доступом к системе, уверяя, что сбой затронул многих работников офиса. После он просит помочь разобраться в проблеме и, например, подробно описать процесс входа в систему. В конечном счете хакер может уговорить сотрудника загрузить на свой компьютер «обновление системы», которое по факту окажется вредоносным ПО [9].
Примеры социальной инженерии
Доля успешных атак социальной инженерии, по оценке экспертов, достигла максимума за последние несколько лет [10]. Этот вид мошенничества, считают в ЦБ РФ, остается главной угрозой для финансовой кибербезопасности [11]. Например, только в начале 2024 года мошенники украли, в том числе методами социальной инженерии, почти 5 млрд руб. у граждан и компаний. То, что подобный вид атак довольно прибыльное дело, говорит и мировой опыт. Вот несколько примеров крупных краж данных и средств методами социальной инженерии:
- Взлом блогов Маска, Обамы, Байдена и Гейтса: 15 июля 2020 года Twitter заполонили фейковые сообщения о раздаче биткоинов в удвоенном размере. Подобные посты появились в том числе в официальных аккаунтах политиков, бизнесменов и финансистов. Среди них оказались Илон Маск, Барак Обама, Джо Байден, Уоррен Баффет, звезды Канье Уэст и Ким Кардашьян. Всего мошенникам за несколько часов удалось собрать более $100 тыс. Как позже выяснило расследование, автором атаки был 17-летний школьник. Его группа изучила публичные профили сотрудников соцсети, отобрав тех, кто, вероятно, имел доступ к системе управления учетными записями. Затем они позвонили им, выдавая себя за коллег, и уговорили посетить фишинговый сайт. Он имитировал внутреннюю страницу входа Twitter. В итоге хакеры получили доступ к системе управления учетными записями, а после завладели десятками аккаунтов [12].
- Кража с помощью поддельной веб-конференции: в 2023 году хакеры уговорили сотрудника финансовой компании из Гонконга перевести более $25 млн на поддельные счета, используя дипфейки. Сперва сотрудник получил фишинговое письмо от «финансового директора» головного офиса в Великобритании. В нем было приглашение на встречу онлайн. Конференция длилась несколько часов, и все ее участники, за исключением жертвы, были поддельными цифровыми копиями. В конце встречи «директор» распорядился о секретной транзакции, которую выполнил ничего не подозревающий менеджер [13].
В 2017 году в США арестовали 67-летнего мужчину, который, по версии следствия, отправил несколько сотен писем от имени «нигерийского принца» [14]. Эта фишинговая афера уже стала именем нарицательным и обходится жертвам в среднем в $2 тыс. [15]. Суть схемы: человек получает e-mail от нигерийского чиновника, который утверждает, что получатель указан в завещании и унаследует не менее $1 млн. Затем жертву просят отправить личную информацию. У «нигерийского принца» есть разные сценарии. Например, пользователю пишет вдова погибшего генерала (чаще из стран, где идут вооруженные конфликты) и просит помочь вывести деньги со счетов. Взамен «вдова» обещает хорошую комиссию.
Способы защиты от социальной инженерии
Если подозрительное сообщение пришло от человека, которого вы знаете, свяжитесь с ним другим способом
Будьте подозрительны к любым нежелательным телефонным звонкам, сообщениям e-mail или в соцсетях, которые запрашивают личные данные и внутреннюю корпоративную информацию. То же касается всевозможных звонков от «главного следователя», «руководителя отдела ЦБ» и прочих «мнимых начальников». Лучше сразу прекратить общение и самостоятельно связаться с тем человеком или компанией, от которой был запрос. Вот еще несколько советов, как не стать жертвой социальной инженерии [16].
- Не предоставляйте личную информацию или информацию о вашей организации, включая ее структуру, если вы не уверены в том, кто ее запрашивает.
- Не раскрывайте личную или финансовую информацию в электронной почте, не отвечайте на подобные письма и не переходите по ссылкам из них.
- Не отправляйте конфиденциальную информацию через Интернет, не проверив безопасность веб-сайта.
- Не используйте контактную информацию, указанную на веб-сайте, связанном с запросом; вместо этого проверьте предыдущие заявления на предмет контактной информации.
На что еще обращать внимание: Киберпреступники часто используют электронные адреса, очень похожие на оригинальные. Для этого достаточно изменить или опустить несколько символов. Не поленитесь и проверьте, как на самом деле выглядит адрес. Вредоносные веб-сайты также могут использовать иной домен или сокращенный URL. Электронные письма с просьбой открыть вложение — распространенный способ доставки вредоносного ПО. Перед тем как кликнуть на ссылку или загрузку, еще раз перепроверьте все.
Социальная инженерия в информационной безопасности
Несмотря на то что хакеры постоянно совершенствуют свои методы, обезопасить себя можно. Поставщики цифровых решений предлагают большой набор программ, способных выявить и предотвратить угрозу. Дополнительно обезопасить поможет чуть большая бдительность [16].
- Обращайте внимание на протоколы безопасности веб-сайтов. Ищите URL-адреса, начинающиеся с «https» — они используют шифрование для защиты передаваемой информации. Страницы «http» более уязвимы, так как передают данные в открытом виде.
- Ищите в адресной строке значок закрытого замка. Он говорит о том, что соединение защищено и безопасно, а ваша информация будет зашифрована.
- Установите и поддерживайте обновление антивирусов, брандмауэры и фильтры электронной почты, чтобы сократить часть «вредного» трафика.
- Воспользуйтесь всеми функциями защиты от фишинга, которые предлагает ваш почтовый клиент и веб-браузер.
- Используйте многофакторную аутентификацию (MFA) при доступе к почте, соцсетям и банковским приложениям.
