Антифишинг. Социальная инженерия.

Антифишинг. Социальная инженерия.

Она красивая, одинокая, и ее сообщения столь же захватывающие, как и ее красота. После того, как вы подтвердили ее запрос о дружбе на Facebook, она каждый день писала короткие соблазнительные сообщения. В некоторые дни это были длинные, очень интимные письма. Это безумие, как много общего у вас и вашей случайной онлайн-знакомой. Впервые за многие годы вы чувствуете себя понятым, несмотря на то что вы с вашей новой знакомой еще никогда не встречались лично. Некоторые люди с помощью интернета сводят судьбу вместе, а другие попадают в лапы мошенников. Это – социальная инженерия.

Даже не задумываясь об этом, жертва раскрывает конфиденциальную информацию о своей работе или переводит деньги человеку, который на самом деле полностью им незнаком. Социальная инженерия заставляет людей делать то, что они никогда не собирались делать. Вопреки тому, какие ассоциации у вас возникли, социальная инженерия – это не мотивационная техника, а особенно изощренная форма мошенничества. Мы объясняем, что такое социальная инженерия, кто находится в группе риска и как вы можете защитить себя от нее.

Как появилась социальная инженерия?

Идея социальной инженерии изначально возникла из философии. Карл Поппер создал этот термин в 1945 году и первоначально использовал его для описания социологических и психологических элементов для улучшения социальных структур. Принцип Поппера по существу основан на том факте, что люди могут быть оптимизированы как машина. В 1970-х годах преемник Поппера дополнил свою теорию несколькими психологическими уловками. Однако их целью было не украсть данные – они были приурочены к тому, чтобы люди заботились о своем здоровье и были больше связаны между собой. В новых реалиях от философского концепта остались одни лишь манипуляции – только цель другая. Теперь мы понимаем социальную инженерию как мошенническую форму подсознательного влияния. 

Как работает социальная инженерия?

Некоторые хакеры сосредотачиваются на целенаправленных манипуляциях с психикой - вместо того, чтобы полагаться на чисто технические методы.

Даже если метод остается верным своим философским корням, мотивы социальных инженеров значительно изменились. Любой, кто понимает, что вызывает у людей определенные эмоции, может манипулировать ими с криминальными целями. Часто мошенники играют роль друга, надежного мастера или притворяются, что они из банка или даже из пожарной части. Именно так злоумышленники получают доверие и зачастую конфиденциальные данные.

Короче говоря: социальные инженеры пытаются использовать людей в своих целях. Одним из самых известных социальных инженеров является хакер Кевин Митник. Из-за большого количества вторжений в другие компьютеры Митник вскоре стал одним из самых разыскиваемых людей в Соединенных Штатах. Говорят, что он сотни раз проник в сотни самых защищенных сетей в Соединенных Штатах; Ходят слухи, что он шпионил за Министерством обороны и даже за АНБ. Митник пишет в своей книге «Искусство обмана», что социальная инженерия приводит к желаемой информации гораздо быстрее, чем чисто технические методы. Вместо разработки шпионского программного обеспечения Митник программирует волю своих жертв.

Как выглядит социальная инженерия в Интернете?

В цифровую эпоху мошенники также используют эту тактику в Интернете: она часто начинается с электронной почты, иногда с сообщения через социальную сеть. Классика – фишинговая электронная почта, которая завлекает на фальшивый сайт. Если вы вводите свои данные там, вы передаете их непосредственно преступникам. Иногда киберпреступники также играют с любопытством своих жертв и отправляют электронные письма со ссылкой, которая, как сказано в ней, ведет к приветствию от друга. Однако, кликнув по ссылке, вместо приятного сообщения пользователь может ожидать только лишь загрузки вредоносного ПО.

Что значит «человеческий взлом»?

Поскольку социальные инженеры осознали, что на людей можно повлиять как на пробел в безопасности, ИТ-специалисты также говорят о взломе людей. Вместо компьютера взламывается психика человека и из нее извлекается информация, которую он на самом деле не хотел раскрывать. Кроме того, манипуляции могут также привести его к действиям, которые он не должен был выполнять. Говоря прямо, люди представляют серьезную угрозу безопасности: хотя антивирусные сканеры и брандмауэры могут очень хорошо защищать ИТ-систему, пользователи продолжают манипулировать ими. Поэтому Федеральное управление уголовной полиции также говорит о «уязвимости человека». Хотя компьютер работает исключительно рационально, люди также руководствуются своими эмоциями. Некоторые исследователи предполагают, что почти 80 процентов наших решений принимаются на основе чувств. Это именно то, на чем основывается «человеческий взлом».

Почему люди влюбляются в мошенников?

В связи с иногда ужасающими суммами, которые выуживают у жертвы мошенники, возникает вопрос: что заставляет человека так себя обманывать? Прежде всего: вам не обязательно быть наивным, чтобы стать жертвой социальной инженерии. В 2015 году американский студент начал общение с некоторыми сотрудниками ЦРУ, сделав вид, что является экспертом в области ИТ, и таким образом получил важные данные доступа. Это дало ему доступ к электронной почте директора ЦРУ на три дня. Ирония в этом: в отличие от Агентства национальной безопасности (АНБ), одним из приоритетов ЦРУ является получение информации от людей. Соответственно сотрудники ЦРУ очень знакомы с принципом социальной инженерии.

Какие психологические механизмы стоят за этим?

Социальная инженерия настолько успешна из-за относительной предсказуемости человеческого мышления и поведения. По сути, социальная инженерия использует некоторые основные характеристики: в исследовании психологи Майлз Джордан и Хизер Гуди отфильтровали 12 факторов, на которых основывались наиболее успешные случаи социальной инженерии в период с 2001 по 2004 год. К ним относятся: неопытность, любопытство, жадность или стремление к любви. Таким образом, существуют очень простые эмоции и личностные качества, которые иногда могут даже усиливать друг друга. Это дает преступникам большое поле для манипуляций. Важной основой социальной инженерии является то, что люди охвачены своими эмоциями и что разум не участвует в принятии решения.

Что злоумышленники знают о потенциальных жертвах?

Чтобы сделать кого-то невежественным соучастником, мошенники действуют совсем по-другому. Знания о будущей жертве также различны. С методом классического спама мошенники ничего не знают о своих жертвах. Этот метод основан на огромной массе писем, которые работают как огромная сеть. Из-за большого количества адресатов преступники, скорее всего, смогут найти жертв в сети. Другие методы, больше напоминают лов рыбы определенного вида: со знанием того, на какую приманку рыба будет клевать и когда лучше всего рыбачить. Такие специализированные фишинговые кампании также называют фишингом, поскольку злоумышленники выбирают свою жертву очень целенаправленно, как в подводной охоте. Когда рыба немного крупнее, например, старший сотрудник международной компании, эксперты также ассоциируют это с охотой на кита. Таким образом, знание жертв в основном зависит от желанной добычи.

Как преступники получают предварительную информацию о своих жертвах?

Социальные инженеры могут получить многую информацию… Копаясь в вашем мусоре. Сочетание оффлайн и онлайн-усилий – это так называемое погружение в мусорную корзину: мошенники ищут выброшенные вещи человека, на которого нацелены. Это делается, чтобы узнать как можно больше об их поведении, интересах и жизненной ситуации. Детские подгузники, аптечки или коробки от поставщика пиццы? Отличная зацепка чтобы узнать о вас побольше, притворившись другом, который замечает даже мельчайшие подробности вашей жизни. Также есть еще один безотказный способ от любителей постов в социальных сетях, который гораздо удобнее, чем копание в мусорных баках. В публикациях в социальных сетях, лайках или фотографиях бездумные пользователи представляют свою личность злоумышленникам как на блюдечке , позволяя мошенникам заискивать с притворным сходством интересов.

Как я могу защитить себя от социальной инженерии?

Социальные сети. Первый и самый легкий шаг к большей безопасности - это критически переосмыслить, с кем вы хотите поделиться частным контентом в социальных сетях.

Электронная почта: Если вы осторожны, вы можете, по крайней мере, защитить себя от очень очевидных манипуляций. Например, если отправитель письма неизвестен, у вас должно появиться подозрение. Или свяжитесь с отправителем по телефону и уточните, о содержании подозрительного сообщения.

Телефон: То же самое относится и к абонентам: если вы не знаете звонящего, вы не должны доверять ему конфиденциальные данные.

Ссылки: не открывайте никаких ссылок, которые должны привести вас к ссылке входа. В идеале вы должны сохранять важные страницы, такие как стартовая страница портала онлайн-банкинга или ваши любимые страницы покупок, в качестве закладок и использовать их для входа. Таким образом, вы можете быстро определить, является ли это реальным письмом или попыткой обмана.

Обещания прибыли: И даже если кто-то обещает вам прибыль или большие деньги, включайте здравый смысл. Ни при каких обстоятельствах вы не должны отвечать на такие SMS, электронные письма или звонки.

Программное обеспечение для обеспечения безопасности: предотвращая спам и обеспечивая надежную защиту от фишинга, риск может быть значительно снижен.