Социальная инженерия тренинг. Приемы социальной инженерии. Что за личность, этот социальный инженер

В этой статье мы уделим внимание понятию «социальная инженерия». Здесь будет рассмотрено общее Также мы узнаем о том, кто был основоположником этого понятия. Отдельно поговорим об основных методах социальной инженерии, которые применяют злоумышленники.

Введение

Методы, позволяющие корректировать поведение человека и управлять его деятельностью без применения технического набора средств, образуют общее понятие социальной инженерии. Все способы базируются на утверждении о том, что человеческий фактор - самая разрушительная слабость любой системы. Часто данное понятие рассматривают на уровне незаконной деятельности, посредством которой преступником совершается действие, направленное на получение информации от субъекта-жертвы нечестным путем. Например, это может быть определенный вид манипуляции. Однако социальная инженерия применяется человеком и в законной деятельности. На сегодняшний день чаще всего ее используют для доступа к ресурсам с закрытой или ценной информацией.

Основоположник

Основоположником социальной инженерии является Кевин Митник. Однако само понятие к нам пришло из социологии. Оно обозначает общий набор подходов, которыми пользуются прикладные соц. науки, ориентированные на изменение организационной структуры, способной определять поведение человека и осуществлять контроль над ним. Кевина Митника можно считать родоначальником данной науки, так как именно он популяризировал соц. инженерию в первом десятилетии XXI века. Сам Кевин ранее был хакером, совершавшим в самые разнообразные базы данных. Он утверждал, что фактор человека является самым уязвимым местом системы любого уровня сложности и организации.

Если говорить о методах социальной инженерии как о способе получения прав (чаще незаконных) на пользование конфиденциальными данными, то можно сказать, что они были уже известны очень давно. Однако донести всю важность их значения и особенности применения смог именно К. Митник.

Фишинг и несуществующие ссылки

Любая техника социальной инженерии базируется на наличии когнитивных искажений. Ошибки поведения становятся «орудием» в руках умелого инженера, который в будущем может создать атаку, направленную на получение важных данных. Среди методов социальной инженерии выделяют фишинг и несуществующие ссылки.

Фишинг - интернет-мошенничество, предназначенное для получения личной информации, например, о логине и пароле.

Несуществующая ссылка - использование ссылки, которая будет заманивать получателя определенными преимуществами, которые можно получить, перейдя по ней и посетив определенный сайт. Чаще всего используют имена крупных фирм, внося малозаметные коррективы в их наименование. Жертва, перейдя по ссылке, «добровольно» передаст свои личные данные злоумышленнику.

Методы с применением брендов, дефектных антивирусов и подложной лотереи

В социальной инженерии также используют методы мошенничества с применением известных брендов, дефектных антивирусов и подложной лотереи.

«Мошенничество и бренды» - способ обмана, который также относится к разделу фишинговых. Сюда входят электронные почты и веб-сайты, которые содержат название крупной и / или «раскрученной» компании. С их страничек рассылаются сообщения с уведомлением о победе в определенном конкурсе. Далее требуется введение важных данных учетной записи и их кража. Также данная форма мошенничества может осуществляться по телефону.

Подложная лотерея - способ, в котором жертве отсылаются сообщение с текстом о том, что он(а) выиграл(а) в лотерею. Чаще всего оповещение маскируют использованием имен крупных корпораций.

Ложные антивирусы - это мошенничество над программным обеспечением. Здесь применяются программы, которые внешне похожи на антивирусы. Однако на деле они приводят к генерированию ложных уведомлений об определенной угрозе. Также они стараются завлекать пользователей в сферу транзакций.

Вишинг, фрикинг и претекстинг

Говоря о социальной инженерии для начинающих, стоит также упомянуть о вишинге, фрикинге и претекстинге.

Вишинг - это форма обмана, использующая телефонные сети. Здесь используются предварительно записанные голосовые сообщения, целью которых является воссоздание «официального звонка» банковской структуры или любой другой системы IVR. Чаще всего просят ввести логин и / или пароль с целью подтверждения какой-либо информации. Другими словами, системой требуется прохождение аутентификации со стороны пользователя с использованием PIN-кодов или паролей.

Фрикинг - это еще одна форма телефонного обмана. Представляет собой систему взлома с применением звуковых манипуляций и тонового набора.

Претекстинг - нападение с применением заранее продуманного плана, суть которого заключается в представлении другим субъектом. Крайне сложный способ обмана, так как он требует тщательной подготовки.

Квид-про-кво и метод «дорожного яблока»

Теория социальной инженерии - многогранная база данных, включающая в себя как методы обмана и манипуляции, так и способы борьбы с ними. Главной задачей злоумышленников, как правило, является выуживание ценной информации.

Среди других видов афер выделяют: квид-про-кво, метод «дорожного яблока», плечевой серфинг, использование открытых источников и обратную соц. инженерию.

Квид-про-кво (от лат. - «то за это») - попытка выудить информацию компании или фирмы. Происходит это путем обращению в нее по телефону или посредством пересылки сообщений по электронной почте. Чаще всего злоумышленники представляются сотрудниками тех. поддержки, которые сообщают о наличии определенной проблемы на рабочем месте работника. Далее они предлагают способы ее устранения, например, посредством установления программного обеспечения. ПО оказывается дефектным и способствует продвижению преступления.

«Дорожное яблоко» - это метод атаки, который основан на идее троянского коня. Его суть заключается в использовании физического носителя и подмене информации. Например, могут снабдить карту памяти определенным «благом», которое привлечет внимание жертвы, вызовет желание открыть и использовать файл или перейти по ссылкам, указанным в документах флешки. Объект «дорожного яблока» сбрасывают в социальных местах и ждут, пока каким-либо субъектом не будет реализован план злоумышленника.

Сбор и поиск информации из источников отрытого типа представляет собой аферу, в которой получение данных основано на методах психологии, умении замечать мелочи и анализе доступных данных, например, странички из социальной сети. Это достаточно новый способ социальной инженерии.

Плечевой серфинг и обратная соц. инженерия

Понятие «плечевой серфинг» определяет себя как наблюдение за субъектом вживую в буквальном смысле. При этом виде выуживания данных злоумышленник отправляется в общественные места, например, кафе, аэропорт, вокзал и следит за людьми.

Не стоит недооценивать данный метод, так как множество опросов и исследования показывают, что внимательный человек может получать множество конфиденциальной информации просто проявляя наблюдательность.

Социальная инженерия (как уровень социологического знания) является средством для «захвата» данных. Существуют способы получения данных, при которых жертва сама предложит злоумышленнику необходимую информацию. Однако она может служить и во благо общества.

Обратная соц. инженерия - еще один метод этой науки. Применение этого термина становится уместным в случае, который мы упомянули выше: жертва сама предложит злоумышленнику необходимую информацию. Не стоит воспринимать это утверждение как абсурд. Дело в том, что субъекты, наделенные авторитетом в определенных сферах деятельности, нередко получают доступ к данным идентификации по собственному решению субъекта. Основой здесь служит доверие.

Важно помнить! Сотрудники служб поддержки никогда не потребуют у пользователя, например, пароль.

Осведомление и защита

Обучение социальной инженерии может осуществляться индивидом как на основе личной инициативы, так и на основе пособий, которые используются в особых учебных программах.

Преступниками могут применяться самые разнообразные виды обмана, начиная от манипуляции и заканчивая ленью, доверчивостью, любезностью пользователя и т. д. От такого вида атак крайне сложно защитить себя, что обусловлено отсутствием у жертвы осознания того, что его (ее) обманули. Различные фирмы и компании для защиты своих данных на этом уровне опасности часто занимаются оценкой общей информации. Далее происходит интегрирование необходимых мер защиты в политику безопасности.

Примеры

Примером социальной инженерии (ее акта) в области способа глобальных фишинговых рассылок является событие, произошедшее в 2003 году. В ходе этой аферы пользователям eBay были посланы письма на электронные адреса. В них утверждалось, что учетные записи, принадлежащие им, были заблокированы. Для отмены блокировки необходимо было ввести заново данные учетной записи. Однако письма были поддельными. Они переводили на страницу, идентичную официальной, но поддельную. По экспертным оценкам, убыток был не слишком значительным (менее миллиона долларов).

Определение ответственности

За применение социальной инженерии может предусматриваться наказание в некоторых случаях. В ряде стран, например, США, претекстинг (обман посредством выдачи себя за другую личность) приравнивают к вторжению в личную жизнь. Однако это может наказываться законом, если полученная в ходе претекстинга информация была конфиденциальной с точки зрения субъекта или организации. Запись телефонного разговора (как метод соц. инженерии) также предусмотрена законом и требует выплаты штрафа в виде 250 000 долларов или лишения свободы сроком до десяти лет для физ. лиц. Юридические субъекты обязаны выплатить 500 000 $; срок остается тот же.

Социальная инженерия

Социальная инженерия - это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств . Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с целью кражи информации, паролей , данных о кредитных картах и т.п. Основным отличием от простого взлома является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что считается крайне разрушительным, так как злоумышленник получает информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, понимать, что на самом деле хотят взломщики и своевременно организовывать подходящую политику безопасности.

История

Несмотря на то, что понятие «социальная инженерия» появилось относительно недавно, люди в той или иной форме пользовались ее техниками испокон веков. В Древней Греции и Риме в большом почете были люди, которые могли различными способами убедить собеседника в его очевидной неправоте. Выступая от имени верхов, они вели дипломатические переговоры. Умело используя ложь, лесть и выгодные аргументы, они нередко решали такие проблемы, которые, казалось, невозможно было решить без помощи меча. В среде шпионов социальная инженерия всегда была главным оружием. Выдавая себя за другое лицо, агенты КГБ и ЦРУ могли выведать секретные государственные тайны. В начале 70-х годов, в период расцвета фрикинга , некоторые телефонные хулиганы названивали операторам связи и пытались выведать конфиденциальную информацию у технического персонала компаний. После различных экспериментов с уловками, к концу 70-х фрикеры настолько отработали техники манипулирования неподготовленными операторами, что могли без проблем узнать у них практически все, что хотели.

Принципы и техники социальной инженерии

Существует несколько распространенных техник и видов атак, которыми пользуются социальные инженеры. Все эти техники основаны на особенностях принятия людьми решений, известных как когнитивные (см. также Когнитивность) предубеждения. Эти предрассудки используются в различных комбинациях, с целью создания наиболее подходящей стратегии обмана в каждом конкретном случае. Но общей чертой всех этих методов является введение в заблуждение, с целью заставить человека совершить какое-либо действие, которое не выгодно ему и необходимо социальному инженеру. Для достижения поставленного результата, злоумышленник использует целый ряд всевозможных тактик: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные цели обмана так же могут быть весьма разнообразными.

Техники социальной инженерии

Претекстинг

Претекстинг - это набор действий, проведенный по определенному, заранее готовому сценарию (претексту). Данная техника предполагает использование голосовых средств, таких как телефон, Skype и т.п. для получения нужной информации. Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, злоумышленник просит жертву сообщить пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя цель совершить необходимое действие или предоставить определенную информацию. В большинстве случаев данная техника требует каких-либо изначальных данных о объекте атаки (например, персональных данных: даты рождения, номера телефона, номеров счетов и др.) Самая распространенная стратегия - использование поначалу небольших запросов и упоминание имен реальных людей в организации. В дальнейшем, в процессе разговора, злоумышленник объясняет, что он нуждаются в помощи (большинство людей могут и готовы исполнить задачи, которые не воспринимаются как подозрительные). Как только доверительная связь установлена, мошенник может попросить что-то более существенное и важное.

Фишинг

Пример фишингового письма, отправленного от почтового сервиса, запрашивающего «реактивацию счета»

Фишинг (англ. phishing, от fishing - рыбная ловля, выуживание) - это вид интернет-мошенничества , целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям . Пожалуй, это самая популярная схема социальной инженерии на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, следующих за ней. Целью фишинга является незаконное получение конфиденциальной информации. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте,и подделанное под официальное письмо - от банка или платёжной системы - требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную, и содержащую форму, требующую ввести конфиденциальную информацию.

Одним из наиболее известных примеров глобальной фишинговой рассылки может служить афера 2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых утверждалось, что их учетная запись была заблокированна, и для ее разблокировки требуется обновить данные о кредитных картах. Во всех этих письмах присутствовала ссылка, ведущая на поддельную веб-страницу, в точности похожую на официальную. По подсчетам экспертов убытки от этой аферы составили несколько сотен тысяч долларов

Как распознать фишинг-атаку

Практически каждый день появляются новые схемы мошенничества. Большинство людей может самостоятельно научиться распознавать мошеннические сообщения, познакомившись с их некоторыми отличительными признаками. Чаще всего Фишинговые сообщения содержат:

• cведения, вызывающие беспокойство, или угрозы, например, закрытия пользовательских банковских счетов.
• обещания огромного денежного приза с минимальными усилиями или вовсе без них.
• запросы о добровольных пожертвованиях от лица благотворительных организаций.
• грамматические, пунктуационные и орфографические ошибки.

Популярные фишинговые схемы

Ниже описываются самые популярные фишинговые схемы мошенничества.

Мошенничество с использованием брендов известных корпораций

В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление о победе в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учетные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.

Подложные лотереи

Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации.

Ложные антивирусы и программы для обеспечения безопасности

IVR или телефонный фишинг

Принцип действия IVR систем

Кви про кво

Кви про кво(от лат. Quid pro quo - «то за это»)- это аббревиатура, обычно используемая в английском языке в значении "услуга за услугу". Данный вид атаки подразумевает звонок злоумышленника в компанию по корпоративному телефону. В большинстве случаев злоумышленник представляется сотрудником технической поддержки, опрашивающим, есть ли какие-нибудь технические проблемы. В процессе "решения" технических проблем, мошенник "заставляет" цель вводить команды, которые позволяют хакеру запустить или установить вредоносное программное обеспечение на машину пользователя.

Троянский конь

Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.

Типы троянских программ

Троянские программы чаще всего разрабатываются для вредоносных целей. Существует классификация, где они разбиваются на категории, основанные на том, как трояны внедряются в систему и наносят ей вред. Существует 5 основных типов :

• удалённый доступ
• уничтожение данных
• загрузчик
• сервер
• дезактиватор программ безопасности

Цели

Целью троянской программы может быть :

• закачивание и скачивание файлов
• копирование ложных ссылок, ведущих на поддельные вебсайты, чаты или другие сайты с регистрацией
• создание помех работе пользователя
• похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации , для несанкционированного доступа к ресурсам, выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях
• распространение других вредоносных программ, таких как вирусы
• уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей
• сбор адресов электронной почты и использование их для рассылки спама
• шпионство за пользователем и тайное сообщение третьим лицам сведений, таких как, например, привычка посещения сайтов
• регистрация нажатий клавиш с целю кражи информации такого рода как пароли и номера кредитных карточек
• дезактивация или создание помех работе антивирусных программ и файрвола

Маскировка

Многие троянские программы находятся на компьютерах пользователей без его ведома. Иногда трояны прописываются в Реестре, что приводит к их автоматическому запуску при старте операционной системы. Также трояны могут комбинироваться с легитимными файлами. Когда пользователь открывает такой файл или запускает приложение, вмести с ним запускается и троян.

Принцип действия трояна

Трояны обычно состоят из двух частей: Клиент и Сервер. Сервер запускается на машине-жертве и следит за соединениями от Клиента. Пока Сервер запущен, он отслеживает порт или несколько портов в поиске соединения от Клиента. Для того, чтобы атакующая сторона подсоединилась к Серверу, она должна знать IP-адрес машины, на которой он запущен. Некоторые трояны отправляют IP-адрес машины-жертвы атакующей стороне по электронной почте или каким-либо другим способом. Как только происходит соединение с Сервером, Клиент может отправлять на него команды, которые Сервер будет исполнять. В настоящее время, благодаря NAT-технологии, получить доступ к большинству компьютеров через их внешний IP-адрес невозможно. Поэтому сегодня многие трояны соединяются с компьютером атакующей стороны, отвечающий за прием соединений соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой. Многие современные трояны также могут беспрепятственно обходить файрволы на компьютерах пользователей.

Сбор информации из открытых источников

Применение техник социальной инженерии требует не только знания психологии , но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей .К примеру, такие сайты, как livejournal , «Одноклассники », «Вконтакте », содержат огромное количество данных, которые люди и не пытаются скрыть.Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.

Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети.

Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал «жертву» и создал фальшивый аккаунт человека из ее окружения - ее начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часа исследователь добился добавления в друзья от «жертвы». Тем самым, исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.

Дорожное яблоко

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей . Злоумышленник подбрасывает "инфицированный" , или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство. Например, мошенник может подбросить , снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью "Заработная плата руководящего состава". Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Обратная социальная инженерия

Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает злоумышленнику нужную ему информацию. Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.

Примером обратной социальной инженерии может служить следующий простой сценарий. Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.

Известные социальные инженеры

Кевин Митник

Кевин Митник. Всемирно известный хакер и консультант по безопасности

Одним из самых именитых социальных инженеров в истории является Кевин Митник . Будучи всемирно известным компьютерным хакером и консультантом по безопасности, Митник также является автором многочисленных книг по компьютерной безопасности, посвященным, в основном, социальной инженерии и методам психологического воздействия на человека. В 2002 году выходит книга "The Art of Deception" под его авторством, повествующая о реальных историях применения социальной инженерии. Кевин Митник утверждал, что намного проще получить пароль путем обмана, нежели пытаться взломать систему безопасности

Братья Бадир

Несмотря на то, что братья Мундир, Мушид и Шади Бадир были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в израиле в 1990-х, использовав социальную инженерию и подделку голоса. В телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком». Братья уже побывали в тюрьме за то, что им удалось услышать и расшифровать секретные интерференционные тоны провайдеров телефонной связи. Они подолгу звонили за границу за чужой счет, перепрограммировав интерференционными тонами компьютеры провайдеров сотовой связи.

Архангел

Обложка журнала "Phrack"

Знаменитый компьютерный хакер и консультант по безопасности в известном англоязычном интернет-журнале "Phrack Magazine" , Архангел продемонстрировал возможности техник социальной инженерии, за короткое время получив пароли от огромного количества различных систем, обманув несколько сотен жертв.

Другие

Менее известными социальными инженерами являются Фрэнк Абигнейл, Дэвид Бэннон, Питер Фостер и Стивен Джей Рассел.

Способы защиты от социальной инженерии

Для проведения своих атак, злоумышленники, применяющие техники социальной инженерии, зачастую эксплуатируют доверчивость, лень, любезность и даже энтузиазм пользователей и сотрудников организаций. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули. Злоумышленники, использующие методы социальной инженерии, преследуют, в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги, информация или ИТ-ресурсы компании-жертвы. Для защиты от таких атак, нужно изучить их разновидности, понять что нужно злоумышленнику и оценить ущерб, который может быть причинен организации. Обладая всей этой информацией, можно интегрировать в политику безопасности необходимые меры защиты.

Классификация угроз

Угрозы, связанные с электронной почтой

Многие сотрудники ежедневно получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. Разумеется, при таком потоке корреспонденции невозможно уделить должное внимание каждому письму. Это значительно облегчает проведение атак. Большинство пользователей систем электронной почты спокойно относятся к обработке таких сообщений, воспринимая эту работу как электронный аналог перекладывания бумаг из одной папки в другую. Когда злоумышленник присылает по почте простой запрос, его жертва часто выполняет то, о чем ее просят, не задумываясь о своих действиях. Электронные письма могут содержать гиперссылки, склоняющие сотрудников к нарушению защиты корпоративной среды. Такие ссылки не всегда ведут на заявленные страницы.

Большинство мер по обеспечению безопасности направлены на предотвращение доступа неавторизованных пользователей к корпоративным ресурсам. Если, щелкнув присланную злоумышленником гиперссылку, пользователь загрузит в корпоративную сеть троянскую программу или вирус, это позволит легко обойти многие виды защиты. Гиперссылка может также указывать на узел с всплывающими приложениями, запрашивающими данные или предлагающими помощь.Как и в случае с другими разновидностями мошенничества, самым эффективным способом защиты от атак злоумышленников является скептическое отношение к любым неожиданным входящим письмам. Для распространения этого подхода в организации в политику безопасности следует включить конкретные принципы использования электронной почты, охватывающие перечисленные ниже элементы.

• Вложения в документы.
• Гиперссылки в документах.
• Запросы личной или корпоративной информации, исходящие изнутри компании.
• Запросы личной или корпоративной информации, исходящие из-за пределов компании.

Угрозы, связанные с использованием службы мгновенного обмена сообщениями

Мгновенный обмен сообщениями - сравнительно новый способ передачи данных, однако он уже приобрел широкую популярность среди корпоративных пользователей. Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак: пользователи относятся к нему как к телефонной связи и не связывают с потенциальными программными угрозами. Двумя основными видами атак, основанными на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы. Конечно, мгновенный обмен сообщениями - это еще и один из способов запроса информации. Одна из особенностей служб мгновенного обмена сообщениями - это неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки.Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований.

• Выбрать одну платформу для мгновенного обмена сообщениями.
• Определить параметры защиты, задаваемые при развертывании службы мгновенного обмена сообщениями.
• Определить принципы установления новых контактов
• Задать стандарты выбора паролей
• Составить рекомендации по использованию службы мгновенного обмена сообщениями.

Многоуровневая модель обеспечения безопасности

Для защиты крупных компаний и их сотрудников от мошенников, использующих техники социальной инженерии, часто применяются комплексные многоуровневые системы безопасности. Ниже перечислены некоторые особенности и обязанности таких систем.

• Физическая безопасность. Барьеры, ограничивающие доступ в здания компании и к корпоративным ресурсам. Не стоит забывать, что ресурсы компании, например, мусорные контейнеры, расположенные вне территории компании, физически не защищены.
• Данные. Деловая информация: учетные записи, почтовая корреспонденция и т. д. При анализе угроз и планировании мер по защите данных нужно определить принципы обращения с бумажными и электронными носителями данных.
• Приложения. Программы, запускаемые пользователями. Для защиты среды необходимо учесть, как злоумышленники могут использовать в своих целях почтовые программы, службы мгновенной передачи сообщений и другие приложения.
• Компьютеры. Серверы и клиентские системы, используемые в организации. Защитита пользователей от прямых атак на их компьютеры, путем определения строгих принципов, указывающих, какие программы можно использовать на корпоративных компьютерах.
• Внутренняя сеть. Сеть, посредством которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы, границы внутренних сетей стали во многом условными. Сотрудникам компании нужно разъяснить, что они должны делать для организации безопасной работы в любой сетевой среде.
• Периметр сети. Граница между внутренними сетями компании и внешними, такими как Интернет или сети партнерских организаций.

Ответственность

Претекстинг и запись телефонных разговоров

Hewlett-Packard

Патриция Данн, президент корпорации Hewlett Packard, сообщила, что наняла частную компанию с целью выявить тех сотрудников компании, кто был ответственен за утечку конфиденциальной информации. Позже глава корпорации признала, что в процессе исследования использовалась практика претекстинга и других техник социальной инженерии

Примечания

См. также

Ссылки

• SocialWare.ru – Приватный проект по социальной инженерии

Обычно социальной инженерией называют комплекс приемов, направленных на то, чтобы человек повёл себя определенным образом, так как нужно кому-то, например, отдал деньги, предоставил секретную информацию или что-то подписал. Для того, чтобы это сделать, обычно необходимо изучить человеческий фактор, реакции людей на просьбы, жалобы, источники стресса и прочее. Зная установки и реакции большинства людей, несложно добиться от них определённых поступков.

Как социальная инженерия связана с мошенничеством и как её используют для добычи запретной информации.

Рассмотрим социальную инженерию с этих двух точек зрения. Возможно, вы заметили, что во время экономического мошенники всегда особенно активируются. В наш век технологий, они становятся всё более подготовленными и обученными. На их службе психология, соц инженерия, ИТ технологии и многие другие специальные знания, которые помогают управлять действиями людей. Все их трюки изучать, конечно, не хватит времени, но основным принципам уловок и технологий, которые они используют, всё же уделить внимание полезно, чтобы не попасть в расставленные сети.

Какие люди чаще всего становятся ? Как быть жертвой людей и обстоятельств? ? Как на нас ? Об этом и не только, мы уже писали на нашем сайте. Сейчас вкратце об особой науке — знания из которой используют «продвинутые» мошенники — социальные инженеры.

Социальная инженерия как наука.

Социальная инженерия — это достаточно молодая наука, которая включает в себя знания психологии людей и их поведения в критических ситуациях. Социальную инженерию также можно назвать «копилкой человеческих ошибок», так как эта наука вбирает в себя всё, что связано с человеческим фактором и его использованием.

Такие знания позволяют предугадывать возможные варианты поведения человека и конструировать различные ситуации с целью его выведения на определенную реакцию. Спровоцированная мошенником — социальным инженером — реакция приводит человека к тем действиям, которые изначально и были целью мошенника. Что может быть его целью? Конечно же, выведать информацию или проникнуть на чужую территорию или просто получить ваши деньги. В связи с этим социальных инженеров, еще называют социальными хакерами.

Что за личность, этот социальный инженер?

Это личность обладающая и умело использующая знания из социальной инженерии. Это «психолог» (не профессионал, конечно), учитывающий комплексы, слабости, предрассудки, привычки, рефлексы и т.д. людей.

Кевин Митник, который раньше был социальным хакером, а сейчас консультирует по вопросам безопасности, высказался, что гораздо проще выманить нужную информацию с помощью уловок, чем придумывать различные программы по взлому.

Как защититься от «социальных хакеров»?

Это бывает очень сложно, практически невозможно, если о них ничего не знать. И, даже зная их уловки, можно попасть на удочку, ведь это знатоки ваших спонтанных реакций, рефлексов, автоматизмов и так далее. Будьте осторожны!

Так, совсем недавно, в январе этого года, интернет буквально пестрел такими новостями:

Расчет хакеров был прост — получатели рассылки выполнят просьбу мошенников от имени руководства, дабы избежать от этого руководства выговора. Так и вышло. Согласно инструкции социальных хакеров банковские служащие бельгийского банка Crelan совершили необходимые мошенникам действия без дополнительных проверок. Сообщение от хакеров на электронную почту содержало просьбу о срочном завершении транзакции. Выглядело оно достаточно правдоподобно, так как преступники использовали копии логотипов компаний и известных доменов.

Психологи проводили подобные эксперименты и до ситуации с бельгийским банком. Так исследователи из Англии отправили сотрудникам крупной корпорации сообщения от имени системного администратора их компании. Сообщение содержало просьбу отправить пароли, в связи с плановой проверкой оборудования. Результат был печальным — большая часть сотрудников (75 %) выполнила инструкции злоумышленников.

Как видим, человеческие действия достаточно легко программируются. Причем, попадаться на удочку мошенников могут вполне умные, образованные и высоко интеллектуальные люди. Ничего странного здесь нет, если учесть, что есть другие люди, изучающие поступки, автоматизмы, реакции всяких разных людей. В том числе и очень умных.

ПРИМЕРЫ использования методов социальной инженерии

Один социальный инженер описывает как он пробрался в место с закрытым доступом используя стереотипы мышления людей. Охранники ведь, тоже люди! Этот человек (социальный инженер) понаблюдал, какие бейджи у сотрудников нужной ему компании, сделал себе такой же, распечатав на компьютере и пошёл через задний ход вместе с сотрудниками заведения.

Конечно, у него не было чипа от дверей, но он применил метод «паровозик». Суть его проста. Когда перед дверью накапливается кучка людей, она до конца не закрывается и идущие впереди придерживают дверь для тех, кто следуют за ним. Обычная вежливость. Ведь они по бейджу видят, что это тоже сотрудник. Охранники видят кучку людей с одинаковыми бейджами и не обращают на них особого внимания. Причём на стене крупными буквами висит даже не объявление, а плакат, предупреждающий, что каждый должен проходить по одному. Нельзя придерживать дверь идущему позади в целях общей безопасности! Но, разве компания знакомых будет это делать? Кто из этой компании скажет одному из людей: «А вы, пожалуйста, выйдите, и зайдите снова со своим ключом (чипом), потому, что я вас не знаю». Вероятность этого очень мала. Но делать нужно именно так.

Вот и выходит, что сотрудники с завидным постоянством нарушают требования безопасности, а аферисты, с тем же постоянством используют вышеописанные автоматизмы. Люди идущие на поводу аферистов, будут всегда, сколько бы их не предупреждали и не учили. Социальные инженеры хорошо это знают и поэтому сильно не заморачиваются, какой трюк придумать. Они с просто пользуются одними и теми же методами. Ведь и автоматизмы у людей особо не меняются, на то они и автоматизмы. Будьте оригинальным. Не мыслите стереотипно! Всегда с осторожностью относитесь к неожиданным или пугающим сообщениям. Обращайте внимание на предупреждающие объявления.

Наиболее используемые приемы социальных инженеров основаны на таких человеческих слабостях, как жалость, страх и желание быстро обогатиться. Если говорить о жалости, то хакеры используют эту черту людей самыми разными способами. Например, отправляют сообщения по телефону или через соцсети с просьбой о помощи от имени ваших друзей или родственников.

Основные методы и приёмы социальных инженеров/ социальный инжиниринг

Все методы социальной инженерии основаны на человеческом факторе, то есть на особенностях психике людей: поддаваться панике, одинаково реагировать в определённых обстоятельствах, терять бдительность, уставать, сочувствовать, испытывать страх и многое другое. Для примера приведём лишь некоторые приёмы, а вы постарайтесь самостоятельно определить, какую особенность психики использовал здесь социальный инженер:

1. 1. Один из сюжетов может быть такой: друг оказался за городом, сам сейчас позвонить не может — серьезная проблема, срочно нужны деньги. Просит выслать на счет или номер банковской карты. Пусть положительно отреагируют далеко не все, а только какой-то процент респондентов, хакер знает, что так будет. Это его не заботит, ведь запрограммированные им сообщения отправляет машина. Находятся те, кто срочно помогают, не проверяя откуда эти смс. Ведь друг в беде.. А в связи со срочностью многие и не проверяют источник.
   2. С этим же расчетом некоторое время назад многим женщинам отправлялись смс от сына, который попал в беду. Сам он, конечно, перезвонить не может, пока мама не пришлет денег для решения этой проблемы. И мамы присылали, неизвестно куда и кому. Ничего не перепроверяя (так сын просил).
   3. Также, от имени друзей выманивают личную информацию, рассылают вредоносные ссылки с комментариями. Например: «привет, хочешь посмеяться? Пройди по этой ссылке и ты сможешь прослушать любой интересующий тебя телефонный разговор (или смс-переписку)». Или что-то в этом роде, главное чтобы вы нажали на ссылку.

Есть в арсенале социальных инженеров и вариант, когда они «работают» под покупателя. Многие пользователи выставляют на продажу свои вещи, например на Авито. Такой «покупатель» ищет что подороже (автомобили, дома и т.п), связывается с настоящим продавцом и заявляет о своем желании купить вашу не дешевую вещь. Конечно, продавец рад. Надо же, как быстро, не успел выставить, как все продалось. В уме уже подсчитывает доход. Правда, покупатель с огорчением сообщает, что заехать сможет за вещью только через два или три дня. Ну, а чтобы вы не продали кому-то другому эту ценную вещь, он просит снять с Авито объявление и для гарантии готов прямо сегодня оплатить половину или даже 75% стоимости. «Конечно!»,- думаете вы, — «С удовольствием! Пусть платит!». «Покупатель» спрашивает на какую карту, он мог бы перевести вам деньги. И вы сообщаете этому незнакомцу все данные карты. Только вместо приобретения его денег, вы теряете все свои сбережения. Также он может попросить, сообщить ему код, который придет вам на телефон.

Если говорить о о такой черте, как желание быстро и без особых усилий разбогатеть, то это такой порок, используя который социальные инженеры могут еще очень долгое время изобретать и изобретать. Ведь люди сами ищут этих «приключений» и, даже, готовы наступать на одни и те же грабли. Поэтому и продолжают аферисты изображать: то известный бренд, дарящий сумасшедшие подарки; то компанию обещающую заманчивые скидки; то банк предлагающий взять кредит с мизерным процентом; то работодателя, который поможет легко заработать интернете или другом месте… Только, чтобы получить что-либо из этого, нужно сначала сообщить данные карты… Ведь, должен же новоявленный работодатель или добрый банк куда-то перечислить вам деньги… Сообщили данные карты незнакомому лицу, можете распрощаться с её содержимым.

Почему об этом нужно знать?

В последнее время интерес к социальной инженерии становится очень высоким. Это видно из популярности данного запроса в интернет. Значит, количество хакеров и спрос на программы по защите от их атак, будет только расти. Да и не только хакеры, аферисты любого толка используют методы социальной инженерии в своих целях.

Чтобы быть информированными, значит вооруженными, можете прочитать литературу по этой теме:

Социальная инженерия и социальные хакеры». Максим Кузнецов, Игорь Симдянов.

Будьте осторожными! Не позволяйте себя обманывать.

Социальная инженерия использует знания психологии и человеческого фактора. Будьте предельно осторожны, социальные хакеры знают вас очень хорошо.

Еще интересно было бы узнать, знали ли вы о социальной инженерии и хитрых приемах используемых теми людьми, которые за ней стоят?

С уважением, сайт Если хотите получать новые статьи, подпишитесь на нашу рассылку.

Враньё - это целая технология, которая имеет название «Социальная инженерия». Качественное враньё является неотъемлемой частью «Социальной инженерии», без применения которой в современных условиях не обходится ни один, как начинающий так и прожжённый, взломщик.

Взломщики бываю разные: взломщик компьютерных рабочих станций, взломщик серверов, взломщик компьютерных сетей, взломщик телефонных сетей, взломщик (выносильщик ) просто мозга и т. д., - и все они в качестве вспомогательного инструмента применяют «Социальную инженерию» или просто ложь, на которой в основном и построена «Социальная инженерия», да собственно и большая часть жизни всего человечества.

В детстве нам внушали, что лгать не можно. Никому и сроду. Впрочем, как это часто бывает, жизнь перечёркивает всё школьные уроки и настырно тычет нас в тот факт, что без неправды и не туда и ни сюда, - « Не нае соврёшь, не проживёшь ». Самые наилучшие вруны лгут, как это ни удивительно, иногда и практически никогда не сознаются в этом. О иных тайнах искусства вранья мы поговорим в этой статье.

Враньём пронизаны практически все сферы жизнедеятельности человека, включая религию, а неугомонные британские исследователи всего и вся на всём белом свете и прилегающих к нему галактиках ещё и добавляют: « Оказывается, что всякий человек за свою жизнь врёт примерно более 88 тыс. раз! ».

В перечень самого популярного вранья входят, безусловно, и всеми затёртые: « Бабла нет, я теперь сам на мели », « Очень рад тебя видеть », « Мы вам перезвоним » и « Большое спасибо, мне реально оч. нравится ». Выходит, что лгут все, всем и всякий раз. Но кое-кто врёт замечательно, теша окружающих и облегчая себе жизнь, а иные - не совсем, принося при этом боль и страдания всем вокруг.

Итак, как же научиться просто, безопасно и красиво «пудрить мозги» (вешать на уши лапшу, гнать пургу, обманывать )? В данном ремесле, как и в любом другом, существуют свои не писанные законы и секреты.

« Профессор, конечно, лопух, но аппаратура при нем, при нем. Как слышно? »

Большое и маленькое враньё требуют одинаково щепетильного отношения

Это одно из основных правил, которое обязан заучить предстоящий мэтр вранья. Каждое твоё враньё, независимо от её значения, придётся навеки запомнить и последующее враньё строить с учётом предыдущего. Впрочем некоторым может показаться, что хватит лишь запомнить самую основную ложь, а ложь по мелким формальностям не достойна запоминания. Вот так, как правило, и горят неопытные лгуны, - нагородив гору вранья, они затем забывают, кого, когда и как «причёсывали».

Потому-то стремись запоминать каждое своё, даже самое маленькое, враньё. А потому как человеческая память не бесконечна и всё своё «гонилово» тебе запомнить уж точно не получится, то из данного умозаключения вытекает основное правило: Лги как можно реже, имхо лишь так сможешь добиться правдоподобности.

Песок в глаза, лапшу на уши

Истинный мэтр (гонильщик) лжи, подобен испанскому тореадору, который достаёт шпагу лишь в самое решающее мгновение и наносит всего-навсего 1-н удар. Всё прочее время он мастерски отвлекает жертву при помощи ловких манипуляций красным плащом. В ходе вешания лапши на уши используют подобные методы, и ловкое переключение внимания собеседника на иной объект либо перемена темы беседы время от времени вообще избавляет вас от нужды лгать. Заблаговременно продумай свою стратегию поведения так, дабы вообще не пришлось гнать всякую пургу. Да смотри не перестарайся, ведь неловкое использование мулеты может обойтись тореадор в жизнь!

Тяжело в учёбе, легко на работе

В любой профессии необходимы практические занятия, а уж в такой профессии, как лжец, без практики точно никак не обойтись. Но потому, как практиковаться на живых людях весьма не гуманно, то практиковаться мы будем на себе. Встанем впереди зеркала и будем повторяй своё враньё до тех пор, пока оно не начнёт выглядеть абсолютно природным. В идеале мы должны убедить самих себя в правдивости нашей лжи. Безупречный обман - это тот, в который мы сами поверили.

И я, то не я, и брехня то не моя

Если тебя стали подозревать во вранье, то самое плохое, что в такой ситуации можно сделать, так это приступить к своему оправданию и начать придумывать всё новое и новое враньё. Когда дом начал шататься, то из него надобно как можно скорее убегать, а не в срочном порядке достраивать дополнительные этажи. Потому-то на любые обвинения нужно отвечать оскорблённым и гордым молчанием либо же съезжать на иную тематику.

Относительно «добровольной сдачи в анальный плен», то такая сдача равносильна прямому выстрелу в висок. Зачастую бывают такие обстоятельства, когда правда равнобедренно ущербна для обеих сторон и противная сторона невзирая на свои обвинения во лжи, как и сам лгун, не желала бы её слышать. Не отступай и не сдавайся, даже в том случае, когда тебя буквально прижали к стенке. Гни свою линию наперекор подтверждениям, логике и здравому толку (в Крыму нет наших войск, - это всё народная самооборона ).

Только Ты, да только Я

Можно обдумать стратегию поведения на немало ходов вперёд, можно возле зеркала отработать блестящие актёрские навыки и отработать правдивые интонации разговора, придумать отмазку, обеспечить себе свидетелей, пути отхода и вторую линию обороны.

А родные и близкие люди всё равно могут узнать правду. Научному объяснению это не поддаётся, ведь мы не верим в типа « во сне приснилось » или « жоп сердцем чувствую » … « что ты пиз лгун-фантаст ». Скажем по-иному, между некими людьми может устанавливается своеобразная психофизиологическая невербальная (астральная) связь, благодаря которой они неосознанно ощущают мельчайшие модификации состояния друг друга. потому-то предпочтительно даже не пытаться лгать родным и близким людям.

Использующие приемы социальной инженерии киберпреступники за последние годы взяли на вооружение более продвинутые методы, которые позволяют с большей долей вероятности получить доступ к нужной информации, используя современную психологию сотрудников предприятий, да и людей в целом. Первым шагом в противостоянии такого вида уловкам является понимание самих тактик злоумышленников. Рассмотрим восемь основных подходов к социальной инженерии.

Введение

В 90-е понятие «социальная инженерия» ввел в употребление Кевин Митник, знаковая фигура в сфере информационной безопасности, бывший хакер серьезного уровня. Однако злоумышленники использовали такие методы задолго до появления самого термина. Специалисты убеждены, что тактика современных киберпреступников завязана на преследовании двух целей: кража паролей, установка вредоносной программы.

Злоумышленники пытаются применить социальную инженерию, используя телефон, электронную почту и Сеть. Ознакомимся с основными методами, помогающими преступникам добывать необходимую им конфиденциальную информацию.

Тактика 1. Теория десяти рукопожатий

Главная цель злоумышленника, использующего телефон для социальной инженерии, состоит в том, чтобы убедить свою жертву в одном из двух моментов:

1. Жертве звонит сотрудник компании;
2. Звонит представитель уполномоченного органа (например, правоохранитель или аудитор).

Если преступник ставит себе задачу собрать данные об определенном сотруднике, он может сначала связаться с его коллегами, пытаясь всяческими способами выудить нужные ему данные.

Припоминаете старую теорию шести рукопожатий ? Так вот, специалисты в области безопасности утверждают, что между киберпреступником и его жертвой может быть всего десять «рукопожатий». Эксперты полагают, что современных условиях всегда нужно иметь небольшую паранойю, так как неизвестно, чего от вас хочет тот или иной сотрудник.

Злоумышленники обычно выходят на секретаря (или занимающего похожую должность человека), чтобы собрать информацию о людях, стоящих выше по иерархии. Специалисты отмечают, что дружелюбный тон во многом помогает мошенникам. Медленно, но верно преступники подбирают к вам ключ, что вскоре приводит к тому, что вы делитесь информацией, которую бы раньше ни за что не открыли.

Тактика 2. Изучение корпоративного языка

Как известно, у каждой отрасли есть свои специфические формулировки. Задача злоумышленника, пытающегося добыть необходимую информацию, - изучить особенности такого языка, чтобы более искусно использовать приемы социальной инженерии.

Вся специфика кроется в изучении корпоративного языка, его терминов и особенностей. Если киберпреступник будет говорить на знакомом, привычном и понятном для его целей языке, он легче войдет в доверие и сможет быстрее заполучить необходимую ему информацию.

Тактика 3. Заимствование музыки для ожидания во время звонков

Для осуществления успешной атаки мошенники нуждаются в трех составляющих: время, настойчивость и терпение. Зачастую кибератаки с использованием социальной инженерии производятся медленно и методично - собираются не только данные о нужных людях, но и так называемые «социальные сигналы». Это делается для того, чтобы заполучить доверие и обвести цель вокруг пальца. Например, злоумышленники могут убедить ту персону, с которой они общаются, в том, что они коллеги.

Одной из особенностей такого подхода является запись музыки, которую компания использует во время звонков, в момент, когда звонящий ожидает ответа. Преступник сначала дожидается такой музыки, затем записывает ее, после чего использует в своих интересах.

Таким образом, когда идет непосредственный диалог с жертвой, злоумышленники в какой-то момент говорят: «Подождите минутку, звонок по другой линии». Затем жертва слышит знакомую музыку и у нее не остается никаких сомнений, что звонящий представляет определенную компанию. В сущности, это лишь грамотный психологический трюк.

Тактика 4. Спуфинг (подмена) телефонного номера

Преступники часто используют спуфинг телефонных номеров, что помогает им подменить номер звонящего абонента. Например, злоумышленник может сидеть у себя в квартире и звонить интересующему его лицу, однако на определителе номера отобразится принадлежащий компании номер, что создаст иллюзию того, что мошенник звонит, используя корпоративный номер.

Разумеется, ничего не подозревающие сотрудники в большинстве случаев передадут конфиденциальную информацию, включая пароли, звонящему лицу, если идентификатор абонента принадлежит их компании. Такой подход также помогает преступникам избежать отслеживания, так как если перезвонить на этот номер, вы будете переадресованы на внутреннюю линию компании.

Тактика 5. Использование новостей против вас

Какими бы ни были заголовки текущих новостей, злоумышленники используют эту информацию в качестве приманки для спама, фишинга и других мошеннических действий. Не зря специалисты в последнее время отмечают рост числа спам-писем, темы которых касаются президентских кампаний и экономических кризисов.

Из примеров можно привести фишинговую атаку на какой-либо банк. В электронном письме говорится примерно следующее:

«Другой банк [имя банка] приобретает ваш банк [имя банка]. Нажмите на эту ссылку, чтобы убедиться, что информация о вашем банке обновлена, пока сделка не закрыта».

Естественно, это попытка заполучить информацию, с помощью которой мошенники смогут войти в ваш аккаунт, украсть ваши деньги, либо продать вашу информацию третьему лицу.

Тактика 6. Использование доверия к социальным платформам

Ни для кого не секрет, что сайты Facebook, Myspace и LinkedIn представляют собой чрезвычайно популярные социальные сети. Согласно исследованию экспертов, люди склонны доверять таким платформам. Недавний инцидент с целевым фишингом, направленным на пользователей LinkedIn, подтверждает эту теорию.

Таким образом, многие пользователи будут доверять электронному письму, если в нем будет утверждаться, что оно пришло от Facebook. Частым приемом является утверждение, что соцсеть проводит техническое обслуживание, вам надо «нажать здесь», чтобы обновить информацию. Именно поэтому специалисты рекомендуют сотрудникам предприятий вводить веб-адреса вручную, чтобы избежать фишинговых ссылок.

Также стоит иметь в виду, что сайты в очень редких случаях направляют пользователям запрос на изменение пароля или обновление учетной записи.

Тактика 7. Тайпсквоттинг

Эта вредоносная техника примечательна тем, что злоумышленники используют человеческий фактор, а именно ошибки при введении URL-адреса в адресную строку. Таким образом, ошибившись всего на одну букву, пользователь может попасть на сайт, созданный специально для этих целей злоумышленниками.

Киберпреступники тщательно подготавливают почву для тайпсквоттинга, следовательно, их сайт будет как две капли воды похож на тот легитимный, который вы хотели первоначально посетить. Таким образом, допустив ошибку в написании веб-адреса, вы попадаете на копию легитимного сайта, целью которого является либо продажа чего-либо, либо кража данных, либо распространение вредоносных программ.

Тактика 8. Использование FUD для воздействия на ранок ценных бумаг

FUD - тактика психологической манипуляции, применяемая в маркетинге и пропаганде вообще, заключающаяся в подаче сведений о чем-либо (в частности, продукте или организации) таким образом, чтобы посеять у аудитории неуверенность и сомнение в его качествах и таким образом вызвать страх перед ним.

Согласно последним исследованиям Avert, безопасность и уязвимость продуктов и даже целых компаний может повлиять на рынок акций. Например, исследователи изучили влияние таких событий, как «Вторник патчей от Microsoft» (Microsoft Patch Tuesday) на акции компании, обнаружив заметное колебание каждый месяц после того, как публикуется информация об уязвимостях.

Также можно вспомнить, как злоумышленники в 2008 году распространили ложную информацию о здоровье Стива Джобса, что повлекло за собой резкое падение акций компании Apple. Это самый характерный пример использования FUD в злонамеренных целях.

Помимо этого, стоит отметить использование электронной почты для реализации техники «pump-and-dump» (схема манипуляций биржевым курсом на фондовом рынке или на рынке криптовалют с последующим обвалом). В этом случае злоумышленники могут разослать электронные письма, описывающие потрясающий потенциал акций, которые они заранее скупили.

Таким образом, многие будут стараться скупить эти акции как можно скорее, а они буду увеличиться в цене.

Выводы

Зачастую киберпреступники крайне изобретательны в своем использовании социальной инженерии. Ознакомившись с их методами, можно сделать вывод, что различные психологические трюки очень помогают злоумышленникам добиваться поставленных целей. Исходя их этого, стоит обращать внимание на любую мелочь, которая может невольно выдать мошенника, проверять и перепроверять информацию о связывающихся с вами людях, особенно если обсуждается конфиденциальная информация.