Что такое социальная инженерия

28 марта 2022 Социальная инженерия (social engineering) — это метод получения доступа к конфиденциальным данным с помощью психологического воздействия на человека, который обладает информацией или доступом к защищенным системам, где она хранится.

Киберпреступник манипулирует чувствами и мыслями атакуемого человека и заставляет его выполнить действия, приводящие к утечке ценной информации, которой могут быть как персональные, так и корпоративные данные. О том, какие технологии и приемы используются в социальной инженерии и как защитить себя и свою компанию от подобных атак, рассказываем простыми словами в данной статье.

Примеры социальной инженерии

Социальная инженерия возникла в качестве одного из приемов ораторского искусства и применялась, например, в дипломатических переговорах и дебатах. С появлением современных технологий social engineering нашла новые сферы применения: от бизнеса до киберпреступности.

Пользователи различных сервисов часто сталкиваются с данным методом, когда оставляют на официальном сайте бренда или в приложении личные данные в обмен на бонус: скидку при покупке продукта за подписку на email-рассылку, подбор персонализированного контента за регистрацию на веб-ресурсе и т. д. Таким образом бизнес стимулирует пользователей к покупке, используя естественное желание человека — получить товар по более низкой цене, и расширяет клиентскую базу. При этом компания использует полученные данные в маркетинговых целях и для улучшения качества обслуживания, и социальная инженерия в этом случае используется совершенно легально.

Что такое социальная инженерия простыми словами.

Если информацию можно использовать для кражи денежных средств или для приобретения любой другой выгоды, она вызывает интерес у злоумышленников. Компании защищают свою IT-инфраструктуру от взлома и хакерских атак с помощью современного программного и аппаратного обеспечения, поэтому мошенники нашли другой способ получить доступ к устройствам, на которых хранятся ценные данные. Киберпреступники совершают атаку на человека (как на частное лицо, так и на представителя организации) для получения несанкционированного доступа к коммерческим тайнам, паролям, почтовым сервисам, банковским счетам и другой конфиденциальной информации. Они проникают в компании, обманывая их сотрудников и используя их слабости.

Злоумышленник может представиться сотрудником технической поддержки и сообщить о неполадках в работе ПО, предложить помощь в их устранении и выманить авторизационные данные работника. Уполномоченные лица не вызывают подозрения у людей, поэтому им часто доверяют логины и пароли. Если преступнику стали известны данные бухгалтера для входа в корпоративную систему, он получит доступ к финансовым операциям компании и может украсть деньги со счета фирмы. Под угрозой окажется не только скомпрометированная организация, но и ее партнеры, которым преступник может отравить письмо с уведомлением о смене реквизитов для оплаты услуг, где будут указаны его личные счета. Получив письмо со знакомого email-адреса, партнеры могут не проверить личность отправителя и оплатить поддельные счета. Кроме доверия, социальные инженеры используют невнимательность жертв, их страхи, тщеславие, желания, сопереживание, недостаточную осведомленность в вопросах информационной безопасности и халатное отношение к должностным инструкциям, — личные и профессиональные качества человека.

Атаки с использованием социальной инженерии

Атака на человека с помощью методов социальной инженерии предполагает несколько этапов подготовки:

сбор информации о жертве и о внутренней структуре компании (большинство данных можно получить из открытых источников, например, имя сотрудника, его должность, адрес электронной почты и номер телефона могут быть указаны на сайте);
планирование (выбор метода атаки, создание легенды, изучение профессиональной лексики, подготовка необходимых инструментов, например, вредоносного ПО);
контакт с жертвой (задействуются слабые места) и получение необходимой информации.

Получив данные, киберпреступник может войти в систему и совершить любое необходимое ему действие. Разберем несколько видов атак.

Плечевой серфинг

Людям, рабочий процесс которых проходит вне офиса (командировки, фриланс), стоит проявлять осторожность в общественных местах. Каждый раз, когда они вводят пин-код, авторизуются в личном кабинете и делают записи, находясь в кафе или на вокзале, за ними могут наблюдать. Плечевой серфинг — подглядывание из-за спины.

Претекстинг

Мошенник заранее ищет предлог, чтобы обратиться к жертве, и прописывает сценарий разговора с ней — претекст. Социальный инженер старается вывести собеседника из психологического равновесия, сообщает по телефону о возникшей проблеме и просит сообщить ему данные, которые необходимы для ее решения. Чаще всего данный метод используют для получения финансовой информации — пароля и логина от онлайн-банка, PIN-кода кредитной карты и т. п. Претекст напоминает стандартный разговор с сотрудником банка, к тому же преступник заранее выясняет личную информацию о жертве (ФИО, дата рождения и т. д.), которую сообщает в ходе разговора, поэтому звонок кажется правдоподобным.

Фишинг/вишинг

Фишинг — метод, направленный на сбор данных пользователя для авторизации в различных системах. Злоумышленник делает массовые email-рассылки, представляясь администратором веб-ресурса, на котором пользователь зарегистрирован, или сотрудником техподдержки. Задача этих писем в том, чтобы заставить пользователя открыть размещенную в сообщении ссылку, после перехода по которой появляется поле для ввода авторизационных данных, и оставить мошеннику логин и пароль для входа на сайт. Когда такую информацию пытаются получить с помощью телефонного разговора, применяется термин вишинг

Заражение ПК вредоносным ПО

Целью преступника является заражение компьютера жертвы вирусом, считывающим всю информацию на ПК. Достичь данную цель можно двумя способами:

Троянский конь. Письмо с вложениями (документ, изображение), зараженными компьютерным вирусом, чаще всего стилизуется под корпоративное сообщение.
Дорожное яблоко. Флеш-карта или другой съемный носитель оставляется в общественном месте; жертва, проявляя любопытство или желание вернуть владельцу потерявшуюся вещь, запускает файл с флешки, чтобы установить ее владельца, и компьютер подвергается заражению

Обратная социальная инженерия

Злоумышленник незаметно совершает физическую поломку компьютера жертвы и ждет, когда она обратится к нему за помощью. При этом преступник подстраивает ситуацию так, чтобы для устранения неполадок, человек выбрал именно его. Тогда при утечке информации он не вызовет подозрений, ведь он в данной ситуации играет роль помощника.

Способы защиты от атак с использованием социальной инженерии

Человек является самым уязвимым местом в системе безопасности IT-инфраструктуры компании. Сотрудники часто поддаются на уловки мошенников и эмоциям тогда, когда не знают точно, как следует поступить в той или иной ситуации. Чтобы снизить риск успешной атаки на человеческие ресурсы фирмы, необходимо научить людей находить подозрительные маркеры и разработать четкие правила работы с информацией.

Инструкции по общению с клиентами/партнерами/техподдержкой. Сотрудник должен точно знать, кому и какую информацию он вправе передавать, и при каких обстоятельствах. В остальных случаях он может вежливо отказать от предоставлении данных или передать запрос руководителю.
Инструкции по работе с информацией. Часто покидая рабочее место на долгое время, сотрудники забывают выключить монитор и любая информация, которую видно на экране, может быть полезной для мошенников.
Повышение осведомленности. Социальная инженерия развивается и появляются новые методы психологического воздействия на людей, поэтому необходимо следить за актуальными способами атак и периодически обновлять знания персонала.
Чтение литературы. За пределами офиса сотрудники продолжают пользоваться интернет-ресурсами и оставляют личную информацию в социальных сетях, на форумах, в комментариях тематических сайтов и т. д. Эти данные может использовать преступник, чтобы вызвать доверие у вашего работника. Создайте библиотеку с полезными и интересными книгами с практическими советами по защите персональных данных, например, «Искусство быть невидимым» Кевина Митника.

Заключение

Безопасность компании зависит от ответственного отношения ее сотрудников к хранению и передаче информации другим лицам. Психологические методы, которые применяют преступники, могут вызвать сильную эмоциональную реакцию у работника и он под воздействием чувств может стать причиной утечки конфиденциальной информации. Чтобы избежать этого, важно научить сотрудников распознавать мошеннические алгоритмы и проверять информацию, которую им сообщают третьи лица.

Автор: Евробайт