«Неужели ты сразу не понял, что тебе звонят мошенники? Я вот сразу догадался» — слышали ли вы подобные фразы? В эру цифровых технологий мы часто сталкиваемся с тем, что наши персональные данные «утекают». И часто бывает, что даже самые бдительные и образованные люди поддаются на уловки. А все потому, что методы социальной инженерии становятся искуснее, прицельнее, а технологии — совершеннее. Звонок от сына, попавшего в аварию, или письмо от работодателя с просьбой заполнить данные для получения премии — злоумышленники знают наши слабые места и активно используют психологические приемы для получения желаемого.

В этой статье, предназначенной для широкого круга читателей, доступно рассказываем об основных принципах и методах социальной инженерии, ее видах, а также о способах защиты от мошеннических схем.  

Что такое социальная инженерия

Социальная инженерия — это метод манипуляции и обмана, используемый злоумышленниками для получения конфиденциальной информации или доступа к защищенным системам.

Ее истоки уходят к временам Древнего Рима и Древней Греции — тогда были популярны специально подготовленные ораторы, которые участвовали в дипломатических переговорах и были способны убедить собеседника в том, что он не прав. Социальная инженерия как метод атаки на информационные системы появилась в середине XX века. Одним из первых известных случаев была история Фрэнка Абангалса, который в 1960-х годах выдавал себя за пилота авиакомпании Pan Am и летал бесплатно по всему миру, обманывая персонал аэропортов. Его история послужила основой для фильма «Поймай меня, если сможешь» с Леонардо Ди Каприо в главной роли.

В 1980-х годах социальная инженерия стала широко использоваться хакерами для получения доступа к компьютерным системам. Они применяли методы манипуляции и обмана, чтобы убедить сотрудников компаний предоставить им доступ к защищенным данным. Такие методы обмана не всегда связаны с техническими навыками взлома — часто для успешной реализации достаточно хорошего понимания психологии и умения манипулировать людьми.

С течением времени социотехнический фактор стал все более распространенным и разнообразным. С развитием интернета и социальных сетей злоумышленники нашли новые способы манипулировать людьми для получения конфиденциальной информации.

Рассмотрим популярные техники и методы социальной инженерии:

  • Фишинг (от fishing — рыбалка) — это одна из наиболее распространенных и эффективных техник. Злоумышленники отправляют поддельные электронные письма или сообщения, которые выглядят как официальные запросы от банков, компаний или госучреждений. Цель фишинга — обмануть пользователей и заставить их предоставить личные данные, такие как пароли, три цифры на обороте карты и другую конфиденциальную информацию.

  • Фейковые звонки (вишинг, от voice fishing — голосовой фишинг) — эта техника включает в себя использование телефонных звонков для манипуляции людьми. Злоумышленники могут представляться сотрудниками банков, правоохранительных органов или других организаций и убеждать жертв предоставить им личные данные или совершить финансовые операции.

  • Перехват информации, или «плечевой серфинг» — это метод, при котором злоумышленник наблюдает за действиями жертвы, чтобы получить доступ к ее конфиденциальной информации. Например, злоумышленник может следить за вводом пароля или пин‑кода на клавиатуре или экране устройства.

  • Физический доступ — эта техника включает в себя использование доверия или дружелюбного обмана для проникновения в ограниченные зоны или помещения. Злоумышленник может проскользнуть за спиной сотрудника в здание или офис.

  • Квид про кво (от лат. quid pro quo — то за это) — обращение злоумышленника в компанию, например, с предложением помочь в решении технических проблем. В процессе «решения» злоумышленник вынуждает сотрудника совершать определенные действия на рабочем компьютере, позволяющие атакующему получить доступ к системе. Иногда сотрудники готовы поделиться конфиденциальной информацией за какую‑либо услугу или вознаграждение.

  • Инженерия общения — этот метод социального инжиниринга основан на создании вымышленной истории или правдоподобного предлога для получения доступа к конфиденциальной информации. Злоумышленники могут выдавать себя за сотрудников компании или других лиц и убеждать жертв предоставить им доступ к данным.

  • Подбрасывание носителей информации («дорожное яблоко»)  — метод, при котором злоумышленник подбрасывает цифровой носитель информации в место, где его может найти потенциальная жертва. Жертва, обнаружив носитель, может подключить его к своему устройству и автоматически предоставить злоумышленнику доступ к системе.

Последствия успешных атак

Последствия успешной атаки могут быть катастрофическими как для компании, так и для частного лица. В случае успешной атаки на компанию последствиями могут быть утечка конфиденциальных данных, финансовые потери, повреждение репутации и даже закрытие бизнеса.

Для частного лица последствия могут быть также серьезными. Возможна кража персональных данных, денежных средств, доступа к личным аккаунтам и даже «кража личности». Злоумышленники могут использовать номера телефонов, даты рождения, адреса и другие личные сведения, чтобы получить доступ к финансовым счетам, оформить кредиты или даже совершить преступления от имени пострадавшего лица.

Осведомленность о методах и практиках социальной инженерии поможет компаниям и частным лицам укрепить кибербезопасность и предотвратить подобные атаки в будущем.

Тенденции социальной инженерии — к чему готовиться

С увеличением числа онлайн-платформ, социальных сетей и цифровых технологий можно ожидать, что методы злоумышленников будут развиваться в будущем.

Вот несколько тенденций, которые можно ожидать в области социального инжиниринга:

  1. Использование искусственного интеллекта (ИИ). Атакующие используют ИИ для создания более реалистичных и персонализированных атак. ИИ может помочь в анализе данных о потенциальных жертвах, создании поддельных профилей и генерации более убедительных сообщений.

  2. Мультиплатформенные атаки. С развитием технологий для мобильных устройств и интернета вещей можно ожидать, что атаки будут охватывать не только компьютеры, но и мобильные устройства, умные дома, автомобили и другие устройства, подключенные к интернету.

  3. Фишинг через социальные сети. С увеличением популярности социальных сетей можно ожидать роста атак фишинга через эти платформы. Атакующие могут использовать ложные аккаунты или скомпрометированные аккаунты для обмана пользователей.

  4. Социальная инженерия в облаке. С ростом облачных технологий и хранения данных в облаке можно ожидать, что атакующие будут использовать социальный инжиниринг для получения доступа к конфиденциальным данным, хранящимся в облаке.

Практические советы — как не попасть в ловушку социальных инженеров

Начнем с бытового списка, который может пригодится многим:

  1. Будьте бдительны и не доверяйте непроверенным источникам информации.

  2. Не разглашайте личные данные, пароли или информацию о финансах по телефону или по электронной почте.

  3. Проверяйте подлинность запросов на предоставление информации, особенно если они поступают от неожиданных или неизвестных источников.

  4. Используйте сложные пароли и двухфакторную аутентификацию для защиты своих аккаунтов.

  5. Будьте осторожны в социальных сетях: не разглашайте слишком много личной информации и не приглашайте незнакомцев в свой круг общения.

  6. Следите за своими финансовыми операциями и быстро реагируйте на подозрительную активность на своих счетах.

  7. Если у вас возникли подозрения на атаку мошенников, сообщите об этом своему банку или компетентным службам безопасности.

  8. Воспользуйтесь услугой у мобильных операторов блокировкой спам-звонков или определителем номера с функцией отслеживание нежелательных звонков.

А вот  ряд рекомендаций для корпоративного применения — то, о чем стоит позаботиться в компаниях:

  1. Организуйте обучение сотрудников основам кибербезопасности и способам распознавания фишинговых писем и сайтов.

  2. Обязательно используйте  антивирусное программное обеспечение и регулярно обновляйте его.

  3. Обеспечьте проверку и защиту корпоративной электронной почты — используйте средства защиты, фильтрации спама и проверки вложений и ссылок перед их открытием.

  4. Применяйте двухфакторную  аутентификацию: для повышения безопасности при входе в системы и аккаунты.

  5. Проводите регулярный мониторинг и обновление систем защиты, включая брандмауэры, обновления операционных систем и программного обеспечения.

  6. Разработайте и внедрите политики безопасности информации, которые будут включать процедуры реагирования на инциденты безопасности и обучение сотрудников.

  7. Ограничьте доступ к чувствительным данным и регулярно проверяйте права доступа.

  8. Проводите аудиты и проверки наличия уязвимостей в системах для выявления возможных слабых мест.

Обучение сотрудников — как сформировать корпоративную осознанность

Использование платформ по обучению навыкам безопасного поведения в сети Интернет становится важным элементом цифровой грамотности. Из проверенных нами платформ можем рекомендовать решения от компаний Start X и Phishman.

Такие платформы предлагают обширный набор материалов и уроков, которые помогают пользователям разобраться в основных принципах безопасности в сети, узнать о типичных угрозах и способах их предотвращения. Они также дают рекомендации по созданию надежных паролей, защите личной информации и обеспечению безопасности при использовании публичных Wi-Fi сетей.

Использование такой платформы поможет слушателям осознать важность безопасности в сети Интернет, приобрести необходимые знания и навыки для защиты себя и своей личной информации в онлайн-среде.

Обучение сотрудников организовано через проведение тренировок навыков безопасной работы в онлайн-среде и контроль уровня полученных знаний. Кроме того, платформы предоставляет возможность отслеживать наличие уязвимостей в клиентских приложениях и реализует другие функции, направленные на повышение уровня безопасности в организации. Все это помогает укрепить защиту данных и информации, обеспечивая более надежное функционирование бизнес-процессов и защиту конфиденциальности информации.

Среди основных курсов, которые есть на платформах, можно отметить обучение по безопасной работе с электронной почтой, обучение основам информационной безопасности для пользователей, мобильной безопасности, физической безопасности, безопасности удаленной работы, правилам безопасной работы с паролями, защите информации, использованию электронной подписи, безопасной работе с сайтами (веб-сервисами). Платформы предоставляют возможность загружать собственные курсы, специально разработанные для обучения сотрудников в соответствии с уникальными потребностями организации. Это позволяет создавать персонализированные образовательные программы и обеспечивать максимальную адаптацию курсов к конкретным задачам и требованиям компании.

Некоторые платформы предоставляют функционал для имитации фишинговых атак на сотрудников компании. Эти имитированные атаки создаются с учетом потребностей Заказчика и могут быть уникальными для каждой компании. После каждой имитированной фишинговой атаки доступен отчет или статистика, которые помогают анализировать результаты и корректировать программы обучения для различных групп сотрудников. Также есть возможность создавать новые шаблоны атак и редактировать.

Благодаря применению специальной образовательной платформы автоматизируются многие повседневные задачи. Например, можно устанавливать расписание для обучения сотрудников или для проведения определенных событий. Кроме того, можно планировать имитированные фишинговые атаки, устанавливая параметры и время их проведения. Автоматизация этих процессов помогает оптимизировать ресурсы на управление безопасностью и обучение персонала в организации.

Выводы

Методы социальной инженерии остаются распространенными методами киберпреступности. Важно понимать, что защита от злоумышленников требует не только технических мер безопасности, но также информирования и обучения сотрудников и пользователей, постоянного мониторинга угроз.

Для предотвращения атак необходимо проводить аудиты безопасности, применять передовые технологии защиты и следить за последними тенденциями в области кибербезопасности. Только комплексный подход к защите информации может обеспечить надежную защиту от атак методами социальной инженерии и сохранность конфиденциальных данных.

Автор: Евгений Новоселов, старший инженер направления «Автоматизация ИБ», УЦСБ

Комментарии (2)


  1. Lekksar
    22.07.2024 13:34

    Чем социальней человек(чем более зависим от мнения социума(стада)) тем легче его обмануть используя паттерны социального поведения, так же и наоборот.


  1. Skipy
    22.07.2024 13:34

    Мне вот это очень понравилось:

    Обязательно используйте  антивирусное программное обеспечение и регулярно обновляйте его.

    Проводите регулярный мониторинг и обновление систем защиты, включая брандмауэры, обновления операционных систем и программного обеспечения.

    Компания CrowdStrike вместе с обновлениями передает вам горячий привет!

    Всё не так однозначно и не так радужно