Антифішинг. Соціальна інженерія.
Вона красива, самотня, і її повідомлення настільки ж захоплюючі, як і її краса. Після того, як ви підтвердили її запит про дружбу у Facebook, вона щодня написала короткі спокусливі повідомлення. У деяких дні це були довгі, дуже інтимні листи. Це божевілля, як багато спільного у вас і вашої випадкової онлайн-знайомої. Вперше за багато років ви почуваєтеся зрозумілим, незважаючи на те, що ви з вашою новою знайомою ще ніколи не зустрічалися особисто. Деякі люди за допомогою інтернету зводять долю разом, а інші пропускають у лапи шахраїв. Це - соціальна інженерія.
Крім того, не замислюючись про це, жертва розкриває конфіденційну інформацію про свою роботу або переказує гроші людині, яка насправді повністю їм незнайома. Соціальна інженерія змушує людей робити те, що вони ніколи не збиралися робити. Всупереч тому, які асоціації у вас виникли, соціальна інженерія - це не мотиваційна техніка, а особливо витончена форма шахрайства. Розповідаємо, що така соціальна інженерія, яка перебуває в групі ризику і як ви можете захистити себе від неї.
Як з'явилася соціальна інженерія?
Ідея соціальної інженерії спочатку виникла з філософії. Карл Поппер створив цей термін 1945 року і спочатку використав його для опису соціологічних і психологічних елементів для покращення соціальної структури. Принцип Поппера по суті обґрунтовується на тому факті, що людей можна оптимізувати як машину. У 1970-х роках наступник Поппера доповнив свою теорію ключових психологічних прийомів. Однак їхньою метою було не вкрасити дані - вони були присвячені тому, люди дбали про своє здоров'я і були більш згуртовані між собою. У нових реаліях від філософського концепту залишилися самі лише маніпуляції - тільки мета інше. Зараз ми розуміємо соціальну інженерію як шахрайську форму підсвідомого впливу.
Як працює соціальна інженерія?
Деякі хакери зосереджуються на цілеспрямованих маніпуляціях із психікою - замість того, щоб покластися на сутотехнічні методи.
Навіть якщо метод залишається вірним своєму філософському корінню, мотиви соціальних інженерів суттєво змінилися. Будь-хто, хто розуміє, що викликає у людей певні емоції, може маніпулювати ними з кримінальними цілями. Часто шахраї грають роль друга, надійного спеціаліста або прикидаються, що вони з банку чи навіть із пожежної служби. Саме такі зловмисники підтримують довіру і часто конфіденційну інформацію.
Коротше кажучи: соціальні інженери намагаються використовувати людей у своїх цілях. Одним із найвідоміших соціальних інженерів є хакер Кевін Митник. Через велику кількість вторгнень в інші комп'ютери Митник незабаром став одним із найбільше розшукуваних людей у Сполучених Штатах. Кажуть, що він другий разів проникав у другій найбільш захищених мереж у Сполучених Штатах; Ходять чутки, що він шпигував за Міністерство оборони і навіть за АНБ. Митник пише у своїй книжці "Мистецтво обману", що соціальна інженерія приводить до бажаної інформації швидше, ніж суто технічні методи. Замість розробки шпигунського програмного забезпечення Митник програмує волю своїх жертв.
Який вигляд має соціальна інженерія в Інтернеті?
У цифрову епоху шахраї також виберіть цю тактику в Інтернеті: вона часто починається з електронної пошти, іноді з повідомлення через соціальну мережу. Класика - фішингова електронна пошта, яка заманює на фальшивий сайт. Якщо ви вводите свої дані там, ви передаєте їх помилковим злочинцям. Іноді кіберзлочинці також грають із цікавістю своїх жертв і надсилають електронні листи з посиланням, яке, як сказано в ньому, веде до привітання від друга. Однак, натиснувши на посилання, замість приємного повідомлення, користувач може очікувати лише на завантаження шкідливого ПЗ.
Що означає "людський взлом"?
Оскільки соціальні інженери усвідомили, що на людей можна вплинути як на прогалину в безпеці, ІТ-фахівці також говорять про злам людей. Замість комп'ютера зламується психіка людини і з неї витягується інформація, яку вона насправді не хоче розкривати. Крім того, маніпуляції також можуть призвести її до дій, які вона не повинна була виконувати. Говорячи прямо, люди становлять серйозну загрозу безпеки, хоча антивірусні сканери та брандмауери можуть дуже добре захистити ІТ-систему, користувачі продовжують маніпулювати ними. Тому управління кримінальної поліції також говорить про "вразливість людини". Хоча комп'ютер працює раціонально, люди також керуються своїми емоціями. Деякі дослідники приймають, що майже 80 відсотків наших рішень приймаються на основі почуттів. Це саме те,
Чому люди закохуються в шахраїв?
У зв'язку з подекуди шокуючими сумами, які здобуваються у жертви шахраї, ставиться запитання: що змушує людину так себе обманювати? Перш за все: вам не обов'язково бути наївним, щоб стати жертвою соціальної інженерії. У 2015 році американський студент почав спілкування з деякими співробітниками ЦРУ, вдавши, що є експертом у галузі ІТ, і таким чином отримав значення доступу. Це дало йому доступ до електронної пошти директора ЦРУ на три дні. Іронія в цьому: на вимогу від Агентства національної безпеки (АНБ), одним із пріоритетів ЦРУ є отримання інформації від людей. також співробітники ЦРУ дуже знайомі з принципом соціальної інженерії.
Які психологічні механізми стоять за цим?
Соціальна інженерія досить успішна через відносну передбачуваність людського мислення і поведінки. По суті, соціальна інженерія використовує деякі основні характеристики: у дослідницькій психології Майлз Джордан і Гізер Гуді відфільтрували 12 чинників, на яких були обґрунтовані найуспішніші випадки соціальної інженерії в період з 2001 по 2004 рік. До них належать: недосвідченість, цікавість, жадібність або прагнення до любові. Таким чином, дуже прості емоції та особистісні якості, які іноді навіть можуть посилювати одну. Це дає злочинцям велике поле для маніпуляцій. Важливою основою соціальної інженерії є те, що люди охоплені своїми емоціями і що розум не бере участі в ухваленні рішення.
Що зловмисники знають про ваших жертв?
Щоб зробити когось неосвіченим учасником, шахраї діють зовсім по-іншому. Знання про майбутню жертву також відрізняються. З методу класичного спаму шахраї нічого не знають про свої жертви. Цей метод заснований на величезній масі листів, яка працює як величезна мережа адресів. інші методи більше нагадують вилов риби певного виду: зі знанням того, на яку приманку риба буде клювати і коли найкраще рибалити.Такі спеціалізовані рибальські кампанії також називаються фішингом, друга зломовники обирають свою жертву дуже цілеспрямовано, як у підводному полюванні.Коли риба трохи більше, наприклад, старший співробітник міжнародної компанії, також експерти асоціюють це з полюванням на Китай. Таким чином, знання жертв в основному відрізняються від бажаної здобичі.
Як злочинці підтримують попередню інформацію про своїх жертв?
Соціальні інженери можуть отримати максимум інформації... Копаючись у вашій смітті. Поєднання офлайн та онлайн-зусиль - це так зване занурення у сміттєвий кошик: шахраї шукають викинуті речі людини, на яку націлені. Це робиться, щоб дізнатися якомога більше про їхню поведінку, інтереси та життєву ситуацію. Дитячі підгузки, аптечки або коробки від постачальника піці? Чудова можливість знати про вас більше, прикинувшись до іншого, який помічає навіть найменші подробиці вашого життя. Також є ще один безвідмовний спосіб від любителів постів у соціальних мережах, який легше зручніше, ніж копання у сміттєвих баках. У публікаціях у соціальних мережах, лайках або фотографіях бездумні користувачі презентують свою особистість зловмисникам як на блюдо, дозволяючи шахраям підходити з удаваною схожістю інтересів.
Як я можу захистити себе від соціальної інженерії?
Соціальні мережі. Перший і найлегший крок до більшої безпеки - це критично переосмислити, з ким ви хочете поділитися приватним контентом у соціальних мережах.
Електронна пошта: Якщо ви обережні, ви можете, принаймні, захистити себе від дуже очевидних маніпуляцій. Наприклад, якщо відправник листа невідомий, у вас має з'явитися враження. Або зв'яжіться з відправником телефоном і уточнюйте, про зміст повідомлення.
Телефон: Те ж саме оплачується і абонентам: якщо ви не знаєте абонента, який телефонує, ви не повинні довіряти йому конфіденційні дані.
Посилання: не відкривайте жодних посилань, які мають привести вас до посилання входу. В ідеалі ви маєте зберегти важливі сторінки, як-от стартова сторінка порталу онлайн-банкінгу або ваші улюблені сторінки-покупок, як закладки і використовувати їх для входу. Таким чином, ви можете швидко змінити, чи є це реальним листом або спробою обману.
Обіцянки прибутку: І якщо навіть хтось обіцяє вам прибуток або великі гроші, включайте здоровий глузд. За жодних обставин ви не повинні відповідати на такі SMS, електронні листи або дзвінки.
Програмне забезпечення для забезпечення безпеки: запобігаючи спаму і забезпечуючи надійний захист від рибальства, ризик може бути значно знижений.