Социальная инженерия, или как «взломать человека»?

Социальная инженерия – это набор психологических и социологических методов, техник манипуляции людьми с целью получить конфиденциальную информацию. Ты много раз слышала фразу о том, что мы живём в век информации. Да, сейчас как никогда актуальна поговорка «знание – сила».

Имея информацию, можно получить очень многое. Этим и пользуются современные мошенники, или социальные инженеры. Какое самое уязвимое место в любой системе? Человек! Техника работает по чётко заданным принципам и шаблонам. Чтобы обойти технические защиты, социальные инженеры используют человеческий фактор.

Любой механизм даст сбой, если его подведёт человеческий фактор.

Новости СМИ2

На что направлена социальная инженерия?

Эта «рыбная ловля» происходит в интернете. Основная цель – конфиденциальные логин и пароль. Сначала ты получаешь какую-либо рассылку, переходишь на внешне надёжный интернет-ресурс. Например, это красивая подделка какой-то платёжной системы или банка, клиентом которого ты являешься.

Письмо выглядит убедительно и официально и просит обновить данные, а для этого ввести логин и пароль. А ещё лучше все реквизиты карты. Иногда даже могут успокоить твою тревогу сообщением о том, что это защита от злоумышленников и взлома. А ведь как приятно, когда о тебе заботятся!

Сайты подделываются очень профессионально, если только не присматриваться к мелким деталям.

Почему социальную инженерию называют «взломом человека»?

Потому, что нарушаются, в первую очередь, границы отдельного человека. Оказывается воздействие через простые человеческие качества: наивность, доверчивость, тревожность и страх, неспособность отказать, отсутствие подозрительности.

Так же, людей подводит элементарный недостаток знаний и нарушение правил.

Там, где информация, даже самая секретная, – всегда есть люди. Полученные данные используют для получения ценной информации или денег.

Перетекстинг

Ещё один вид социальной инженерии. Создаётся определённая схема действий и сообщений. Вы общаетесь по телефону якобы с сотрудником банка, например. Чтобы схема сработала хорошо, социальный инженер воспользуется личной информацией, которую насобирает из разных источников.

Он может представиться полностью – фамилию, имя и отчество, должность. Может ловко назвать  последнюю причину твоего обращения в банк или уточнить твои контактные данные. После этого у тебя появится к нему доверие.

После этого следует несколько простых вопросов, всё, конечно же, с целью обезопасить тебя или улучшить услуги твоего любимого банка. И ты не заметишь, как сама откроешь доступ к своему счёту.

Плечевой серфинг

Самый простой и ненавязчивый способ выудить личную информацию. Пока ты в каком-нибудь общественном месте снимаешь деньги с карты или оплачиваешь интернет покупку, рядышком может подглядывать ничем не приметный социальный инженер. Мошенник – «острый глаз» увидит и запомнит то, что нужно. А ты и не заметишь.

Открытые источники твоей информации

Информацию можно получить и не беспокоя тебя. Сейчас много различных социальных сетей, почтовых сервисов. Люди с удовольствием выкладывают контактные данные, личную информацию о себе и фотографии.

Можно с лёгкостью узнать, как человек живёт, чем занимается, даже выследить его! И даже если твои странички в вк и инстаграме закрыты от посторонних глаз, это можно обойти. Интернет – это большая паутинка, где связаны много людей. Через друзей друзей можно постепенно выйти на нужного человека. У профессионалов это выходит довольно быстро.

Это так же пример, когда человеческие чувства подводят: тебе хотелось поделиться радостью и рассказать что-то о себе. Всегда приятно похвалиться, это свойственно людям. Но социальные инженеры видят в этом свою выгоду.

Один из примеров – мошенничество под видом знакомства. Сначала прекрасный мужчина заводит ненавязчивый разговор в эпистолярном жанре. Оценивает твои фото, ставит «лайки». Это срабатывает как психологическое поглаживание. Ты расслабляешься и понемногу теряешь бдительность. Потихоньку общение может перейти на более близкое. А далее прекрасный поклонник просит твои фото. Личные и желательно не для общего обозрения.

Социальный инженер может манипулировать любой твоей личной информацией и фото, которые ты бы хотела скрыть. Выставляются условия – денежное вознаграждение за конфиденциальность. Вот и вся любовь.

Так же, информация о тебе может оставаться в поисковой системе. Или твои контакты могут «засветиться» на каких-то массовых мероприятиях: на конференции или семинаре, а может быть, ты заполняла анкету где-то и не придала этому значения.

Услуга за услугу или кви про кво. Тебе предлагают устранить какие-то неполадки или улучшить что-то на рабочем месте. Предлагается это онлайн или по телефону. И ты соглашаешься, при условии предоставления личных данных. «Технической поддержке» ведь нужен вход в онлайн систему или твой какой-то аккаунт. А дальше уже под видом помощи социальный инженер реализует свои корыстные цели.

Есть ещё вариант передачи некоего вируса в твой компьютер или гаджет. Очень опосредованно. Этот способ называется «дорожное яблоко». Любым случайным способом тебе подбрасывают флэшку, СD диск или карту памяти для телефона. Здесь ставка делается на любопытство. Особенно, если внешний вид носителя привлекает тебя. Стоит тебе воспользоваться приманкой, – вирус проникает в систему и делает то, на что запрограммирован.

Или ты можешь получить сообщение с электронной ссылкой внутри. Обычно эти ссылки выглядят безобидно. Но твой переход по ней обеспечит мошеннику доступ к личным данным. 

Есть ещё один способ, самый хитрый – обратная социальная инженерия. Она вынуждает тебя самостоятельно обратиться за «помощью». Подстраивается поломка компьютера или работы какой-то системы, или банкомата. Всё устроено так, что ты сама обратишься за помощью к социальному инженеру и попросишь вмешаться.

Как защититься?

Можно защититься от подобных атак. Чтобы защитить свои личные границы, будь осторожна с информацией в социальных сетях и вообще в интернете. Будь бдительна при общении по телефону, помни, всегда надёжнее личный контакт. Вооружись сомнением и не доверяй без проверки.

Чтобы защитить бизнес и компанию, можно воспользоваться тем же методом! Практически, клин клином. Существуют специалисты, которые занимаются этим. Они проведут так называемый тест на проникновение, выявят слабые места в работе системы и подскажут пути и способы защиты. В век информационных технологий это крайне важно.

Но, конечно же, самым слабым звеном остаётся человеческий фактор. Поэтому помни о важных качествах современной женщины: ответственность, внимательность и бдительность. Доверчивость и наивность оставь для лёгкого близкого общения. И изучай мир вокруг, его скрытые опасности. Уверенность и безопасность – это результат знаний и осведомлённости. 

Социальная инженерия

В современном мире информация стала самым дорогим продуктом человеческих действий – ценой тому может стать не только благополучие компании или конкретного человека, но и право на их существование. Именно поэтому хакеры всех времён и народов искали возможность эту информацию похищать, и как можно более безопасно для себя.

Находясь в поиске удобных решений, злоумышленники решили обратиться к психологии человека – ведь именно человеческий фактор является самым слабым звеном в любой сетевой инфраструктуре. Однако не стоит смешивать социальную инженерию в психологии и компьютерной безопасности – несмотря на общую основу, это в корне различные понятия.

Под понятием «человеческий фактор» следует понимать совокупность психоэмоциональных поведенческих маркеров, которыми принято объяснять истоки проблем сохранения информации в цифровом мире. Под термином «социальная инженерия» в цифровом мире понимают совокупность методов информационных атак, обеспечивающих доступ к цели любой ценой.

Не стоит думать, что объектом атаки может стать любой человек – на самом деле, выбор цели для атаки происходит после долгого и тщательного анализа ситуации. Основных методов воздействия на жертву существует не меньше шести:

• Фишинг – метод используют, чтобы получить доступ к конфиденциальной информации, финансам или файлам на компьютере или сервере компании. Преступник «подламывает» сеть, имитируя один из легально находящихся в ней компьютеров, перехватывает исходящий трафик и мониторит частоту поисковых запросов конкретного пользователя. Таким образом, хакер выясняет, каким образом можно занести программное обеспечение на ПК жертвы.
• Троянский конь – метод пользователи могут видеть при установке пиратских программ – инсталлятор предлагает установить ещё и какой-нибудь браузер, игру или пульт управления РВСН Намибии. Очень часто под маской программы (или «прицепившись» к ним) на компьютер попадает вирусное ПО.
• Претекстинг – с ним сталкиваются, как правило, пользователи, которые хотят заработать в сети, или те, кто продают свои вещи на различных интернет-площадках. Очень часто на таких площадках «пасутся стада» злоумышленников, главная цель которых не добыча информации, а получение финансовой выгоды. И, как правило, такие злоумышленники маскируются под инвестиционные фонды.
• «Посылка на дороге»  – способ атаки в виде разбрасывания инфицированных вирусами носителей, которые в дальнейшем поведут себя максимально выгодно для злоумышленника.
• Quiproquo (непонимание) – применяется не только в сети: звонки со службы поддержки банка, СМС от сына, который сбил человека насмерть…
• Обратная социальная инженерия. Цель данного метода – заставить пользователя самому обратиться к злоумышленнику. Иными словами, хакер должен изначально вызвать на компьютере пользователя неполадку, а потом ненавязчиво продемонстрировать услуги, скажем, компьютерного мастера.

На самом деле, все эти случаи можно оставить как нелепую попытку, если соблюдать одно-единственное условие – осторожность и понимать значение конфиденциальности. Осторожность здесь подразумевается лишь в одном значении – не сообщать никому своих персональных данных (номера карт в том числе), не подключать к своему компьютеру никаких флешек.

Следует использовать качественный антивирус с фильтрацией интернет-трафика и не подпускать к компьютеру посторонних.