Социальная инженерия

Социальная инженерия — это использование обмана для манипулирования людьми с целью заставить их поделиться конфиденциальной или персональной информацией, которая может быть использована в мошеннических целях. Этот тип кибератак встречается шокирующе часто, и жертвой может стать любой. На самом деле, 98% кибератак в той или иной форме связаны с социальной инженерией¹. В среднем организация ежегодно подвергается более чем 700 атакам социальной инженерии².

Очень немногие данные, которые публикуются в Интернете, можно считать конфиденциальными. «Интернет — это навсегда», и почти все, что загружено на веб-сайт или отправлено по электронной почте, может быть восстановлено, если оно не зашифровано или не защищено должным образом.

Социальные сети — это основной способ, с помощью которого злоумышленники могут собирать информацию о вас, ваших друзьях, семье и бизнесе. Казалось бы, безобидная информация — например, ваше образование, клички домашних животных и любимая еда — часто является ответом на контрольные вопросы безопасности, и злоумышленники могут использовать эту информацию для взлома ваших защищенных учетных записей. Кроме того, они могут использовать вашу информацию, чтобы выдавать себя за вас для фишинговых атак на других лиц, или же использовать эту информацию для целенаправленных атак с применением методов социальной инженерии.

Предлагаемый видеосюжет демонстрирует, насколько изощренными могут быть социальные инженеры:

Как распознать попытку социальной инженерии

Распознать атаку социальной инженерии может быть непросто, потому что люди часто маскируются под чиновников, обладающих знаниями или полномочиями. Существует несколько распространенных видов атак социальной инженерии, которые изучены и задокументированы: Служба информационно-технологической поддержки, внеплановые проверки, срочные запросы и угрозы/запугивание.

Служба информационно-технологической поддержки

Если представитель службы информационно-технологической поддержки звонит вам с «бухты барахты», скорее всего, это атака социальной инженерии. У такой службы обычно так много работы, что они не ищут, чем заняться, — проблемы сами приходят к ним. Если вы получили неожиданный звонок из службы информационно-технологической, найдите звонящего в справочнике компании и попросите его посетить ваше рабочее место лично. Вы также можете сказать, что перезвоните, а затем напрямую позвоните в службу информационно-технологической поддержки.

Срочные запросы

Социальные инженеры и мошенники часто создают ощущение срочности, чтобы манипулировать людьми, заставляя их действовать, не задумываясь. Никогда не принимайте поспешных решений и не поддавайтесь понуждению действовать, не обдумав ситуацию. Если вам позвонили, ответьте, что свяжетесь с ним позже, чтобы вы могли подтвердить полученную информацию и проверить полномочия человека. Перейдите непосредственно на официальный сайт и используйте правильную контактную информацию. Не торопитесь, помните, что авторитетные компании всегда охотно предоставят вам необходимо время для изучения и уверенного решения обоснованного вопроса.

Внеплановые проверки

Еще одна маскировка социальной инженерии — выдать себя за кого-то из службы информационно-технологической поддержки. Злоумышленники будут носить планшеты с документами и униформу, чтобы повысить свой авторитет с целью получения доступа к закрытым зонам для получения информации или установки вредоносного программного обеспечения.

Обратитесь к руководству, чтобы подтвердить их личность, и не бойтесь обращаться в службу безопасности.

Угрозы или запугивание

«Помоги мне, а то босс задаст мне по полной!»

Злоумышленники будут использовать страх, чтобы манипулировать вами. Они могут попытаться убедить вас в том, что у вас будут неприятности, если вы не дадите им информацию, которую они просят.

Другие формы социальной инженерии

• Фишинг: Фишинг — это метод социальной инженерии, цель которого — обманом заставить людей перейти по ссылке, открыть вложение или раскрыть конфиденциальную информацию, такую как личные данные, банковские и кредитные реквизиты или пароли.
• Вишинг и смишинг: Разновидности фишинга, вишинга (голосового фишинга) и смишинга (SMS-фишинга) — это атаки, использующие телефонные звонки и текстовые сообщения, чтобы обманом заставить вас раскрыть личную информацию.
• Приманка: Приманка — это особый вид фишинга, при котором злоумышленник обещает что-то в обмен на небольшую плату. Обычно это звучит слишком заманчиво, чтобы быть правдой, и цель таких действий — получить вашу финансовую и личную информацию.
• «Проход по пятам» или «присоединение к группе»: Эти стратегии социальной инженерии используются для получения несанкционированного доступа в режимные зоны. «Проход по пятам» происходит, когда злоумышленник следует вплотную за неподзреващющим ничего плохого авторизованным лицом и проникает через вход или дверь, минуя необходимую сверку идентификации. «Присоединение к группе» – почти то же самое, когда кто-то осознанно позволяет злоумышленнику проникнуть, принимая его за посетителя или сотрудника.
• Квишинг: Этот вид фишинга использует QR-коды (QR-фишинг), чтобы обманом заставить людей предоставить конфиденциальную информацию или скачать на свои устройства вредоносное программное обеспечение. Квишинг применяется преступниками, размещающими мошеннический QR-код в обычном месте, таком как меню, рекламный щит, плакат или реклама. Затем QR-код сканируется и направляет пользователей на вредоносный веб-сайт, предназначенный для кражи учетных данных или компрометации учетных записей и устройств.

Предотвращение попыток социальной инженерии

Чтобы не предоставлять социальным инженерам и злоумышленникам возможности атаковать вас, убеждайтесь в том, что ваши настройки конфиденциальности включены, и регулярно их проверяйте. Такие компании, как  , часто обновляют свои политики конфиденциальности, в результате чего все ваши настройки конфиденциальности сбрасываются до значений по умолчанию. Регулярно проверяйте настройки конфиденциальности, чтобы убедиться, что они по-прежнему соответствуют вашим ожиданиям. Кроме того, следите за тем, чтобы ваша информация была скрыта или видна только желаемой аудитории (предпочтительно только вашим друзьям, а не «друзьям друзей»).

Помимо обновления настроек конфиденциальности, регулярно меняйте пароль и включайте многофакторную аутентификацию, если она доступна. Убеждайтесь в том, что ваш пароль от социальных сетей так же надёжен, как и пароли от личных или корпоративных учетных записей. Как и в случае с фишингом в электронной почте, злоумышленники могут украсть ваши учетные данные и атаковать вас через социальные сети.

Доверяйте своей интуиции

Всегда доверяйте своей интуиции и проявляйте осторожность. Если что-то представляется неправильным, возможно, это так и есть. Вы сами – лучший источник знаний, когда дело доходит до определения того, что представляется нормальным, а что нет.

Если вы заметили что-то необычное (неожиданные обращения из Служба информационно-технологической поддержки, необычные проверки, внезапное открытие новой страницы в веб-браузере), обязательно следуйте следующим рекомендациям:

• Проведите исследование, а затем ответьте – изучите запрос, прежде чем действовать поспешно. Распространенные виды мошенничества с использованием социальной инженерии описаны в Итнернете, и вы можете найти информацию о них.
• Избегайте ссылок – если вы не уверены в отправителе или не ожидаете получить электронное письмо или сообщение, перейдите непосредственно к источнику, чтобы проверить подлинность, а не нажимайте на ссылку.
• Будьте осторожны — злоумышленники часто выдают себя за кого-то, кого вы знаете, или используют взломанную учетную запись, чтобы связаться с вами. Если ситуация необычная или нетипичная, это может быть атака социальной инженерии. В таких ситуациях всегда лучше проявлять осторожность.

Атаки с использованием социальной инженерии являются одними из самых распространенных и опасных кибератак в современном технологическом мире. Они могут происходить с кем угодно и когда угодно. Это может быть личная атака, направленная на вас как на личность, или атака на вашу организацию. Умение распознавать эти атаки является ключом к защите вашей информации. Не забывайте быть осторожными со своей личной информацией, находясь в Интернете, и доверять своей интуиции. Вы – лучшая защита от атак социальной инженерии.