Введение
В 90-е понятие «социальная инженерия» ввел в употребление Кевин Митник, знаковая фигура в сфере информационной безопасности, бывший хакер серьезного уровня. Однако злоумышленники использовали такие методы задолго до появления самого термина. Специалисты убеждены, что тактика современных киберпреступников завязана на преследовании двух целей: кража паролей, установка вредоносной программы.
Злоумышленники пытаются применить социальную инженерию, используя телефон, электронную почту и Сеть. Ознакомимся с основными методами, помогающими преступникам добывать необходимую им конфиденциальную информацию.
ВТЕРЕТЬСЯ В ДОВЕРИЕ
Для проведения работ эксперты Positive Technologies регистрируют домены, которые по написанию схожи с реальными доменами компаний-заказчиков
К этому трюку часто прибегают и реальные злоумышленники: не каждый сотрудник обратит внимание, что какая-то буква в названии написана неверно либо что к имени компании добавлена приставка или постфикс. При этом проверить принадлежность доменного имени к компании с помощью общедоступных интернет-сервисов могут, как правило, только разбирающиеся в информационных технологиях люди
Но одно дело — если распознать подделку действительно сложно, например когда используется настоящее доменное имя организации или доверенного партнера, и совсем другое — когда письмо пришло явно с поддельного доменного имени, например admin@exсamplle.com. В таких случаях речь идет о банальной невнимательности либо полном отсутствии знаний в вопросах ИБ.
На какие только ухищрения не идут злоумышленники — использование юникода, добавление дефиса к реальному имени домена, подмена похожих или созвучных букв, добавление приставок и постфиксов. Тем не менее мы считаем, что использование этой техники неминуемо будет сходить на нет с повышением уровня осведомленности рядовых пользователей в вопросах информационной безопасности.
Наша практика подтверждает это: 33% пользователей совершали потенциально опасное действие, если письмо пришло от реального адресата (использовалось настоящее доменное имя какой-либо компании). В том случае, когда использовалось поддельное доменное имя, это происходило значительно реже: лишь 11% сотрудников поверили собеседнику.
Результативность рассылок в зависимости от отправителя
Вероятно, поэтому нарушители сегодня стали переходить к рассылке от имени контрагентов вместо использования поддельных доменов. Здесь можно вспомнить группировку Cobalt 3 , которая в качестве исходного вектора заражения инфраструктуры использовала фишинговые письма не только через поддельные доменные имена, но и от лица сотрудников реальных банков и компаний-интеграторов, инфраструктура которых была предварительно взломана для проведения подобных рассылок. Так как письма от коллег, контрагентов и партнеров обычно приходят в рабочее время, для большей достоверности злоумышленники проводили рассылку таким образом, чтобы письма доставлялись в рабочее время получателей.
Нигерийские письма
Вспомните электронные письма от кого-то, находящегося, например, в Нигерии. Отправитель такого письма неожиданно разбогател и по какой-то необъяснимой причине хочет положить деньги на ваш банковский счет.
Если вы «клюнете» на это предложение, вас в конечном итоге убедят передать личную банковскую информацию. Ведь как без этой информации вашему неожиданному спонсору перевести вам деньги?! А мошенник сможет затем использовать полученную от вас информацию не для перевода денег вам, а исключительно для кражи денег у вас.
В наши дни не так уж много так называемых нигерийских мошенников. Данный прием стал своеобразной классикой мошенничества, и теперь мало на кого он производит «неизгладимое впечатление». Приходится мошенникам, используя методы социальной инженерии в своих целях, разрабатывать другие способы «законного отъема (увода) денег у населения». Так они сами считают, разделяя мнение небезызвестного Остапа Бендера.
Остап Бендер собирает деньги, хотя вход бесплатный: «Граждане, приобретайте билеты на вход в “Провал”. Детям 5 копеек, членам профсоюза – 10 копеек. Не членам профсоюза – 30 копеек.»
Блиц Займ отзывы
Виды атак с использованием социальной инженерии
Атаки с использованием социальной инженерии бывают разными
Поэтому важно в целом понимать, что такое социальная инженерия и как она работает. Научившись распознавать основной механизм действия, вы сможете гораздо легче вычислять подобные атаки
Ловля «на живца»
Ловец «на живца» оставляет приманку – например, флешку с вирусом. Нашедший из любопытства вставляет ее в свой компьютер, и вирус поражает систему. Существует даже флешка, повреждающая компьютеры, – она заряжается через USB-порт и затем высвобождает мощный заряд через устройство ввода. И стоит такая флешка всего 54 доллара США.
Претекстинг
Злоумышленник использует предлог, чтобы привлечь внимание жертвы и заставить ее сообщить информацию. Например, во время безобидного, казалось бы, интернет-опроса у вас могут попросить данные вашего банковского счета
Или к вам подойдет человек с папкой документов и скажет, что проверяет внутренние системы. Но он может оказаться мошенником, пытающимся похитить у вас ценные данные.
Фишинг
При фишинговой атаке вы получаете письмо или сообщение от кажущегося надежным источника с просьбой предоставить информацию. Хорошо известный пример – письмо якобы от банка, который просит клиентов «подтвердить» конфиденциальную информацию и направляет их на поддельный сайт, где их учетные данные будут зафиксированы. Целевой фишинг – это отправка письма определенному сотруднику якобы от высшего руководства компании, запрашивающего конфиденциальные сведения.
Вишинг и смишинг
Это две разновидности фишинга. Первая подразумевает «голосовой фишинг», то есть телефонное мошенничество. Злоумышленник может притвориться сослуживцем – например, сотрудником IT-отдела, которому нужны ваши учетные данные. Вторая – попытка получить данные посредством SMS-сообщений.
«Ты – мне, я – тебе»
Говорят, честный обмен – не грабеж, но не в этом случае. Многие социальные инженеры убеждают своих жертв в том, что те получат что-то в обмен на данные или доступ к ним. Так работает фальшивый антивирус, предлагающий пользователю устранить угрозу на его компьютере, хотя сам «антивирус» и есть угроза.
Взлом электронной почты и рассылка по контактам
Злоумышленник взламывает почту человека или его учетную запись в социальной сети, получая доступ к его контактам. Теперь от имени жертвы он может сообщить им, что его ограбили, и попросить перечислить ему денег или разослать ссылку на вредоносное ПО или клавиатурный шпион под видом интересного видео.
«Охота» и фарминг
И наконец, несколько более продвинутых методов социальной инженерии. Большинство простых методов, описанных выше, являются формой «охоты». Все просто: проникнуть, захватить информацию и убраться восвояси.
Однако некоторые социальные инженеры налаживают связь с жертвой, чтобы получить больше данных за более длительный период времени. Этот метод известен как фарминг и представляет для злоумышленника повышенный риск разоблачения. Но в случае успеха он также дает гораздо больший «урожай».
Есть вопросы?
Тактика 5. Использование новостей против вас
Какими бы ни были заголовки текущих новостей, злоумышленники используют эту информацию в качестве приманки для спама, фишинга и других мошеннических действий. Не зря специалисты в последнее время отмечают рост числа спам-писем, темы которых касаются президентских кампаний и экономических кризисов.
Из примеров можно привести фишинговую атаку на какой-либо банк. В электронном письме говорится примерно следующее:
«Другой банк приобретает ваш банк . Нажмите на эту ссылку, чтобы убедиться, что информация о вашем банке обновлена, пока сделка не закрыта».
Естественно, это попытка заполучить информацию, с помощью которой мошенники смогут войти в ваш аккаунт, украсть ваши деньги, либо продать вашу информацию третьему лицу.
Как защититься от популярных применяемых методов социальной инженерии
Вам не о чем беспокоиться, если вы будете знать основные методы и приемы социальной инженерии, а также понимать, как инженеры могут применить их на вас.
Например, вам поступил звонок от наших ярых государственных защитников, представить которых вам спокойно рассказывает, что ваш любимый родственник сбил какого-то несчастного человека, и если вы хотите дело “замять”, то лучше быстренько перевести денюжки на определенный счет.
Конечно же, это психологическая уловка и манипуляция. Если вы будете пытаться отсрочить время, полицейский будет давить, что еще чуть-чуть – и будет совсем поздно. Необдуманные и поспешные решения – то, на чем они концентрируются при мошенничестве.
Главное – не торопитесь, согласитесь, будет обидно обогатить очередного жулика, а чуть позже вам спокойно позвонит ваш пресловутый родственничек и просто спросит как дела, будучи не в курсе ситуации.
Итак, рассказываю, что нужно делать
Для начала “побудьте дурачком” и спросите, как же зовут вашего такого неосторожного кровного друга, и на какой машине он сегодня выехал. А также нужно обязательно узнать все подробности касательно ДТП: город, улицу, около какого дома, время, имя жертвы – да все что угодно
Ну и, конечно, в срочном порядке уточните, в каком же отделении служит наш прекрасный служитель закона, который так яро хочет защитить вашего родственничка, чтобы потом проверить в участке, существует ли такой добродетель на самом-то деле.
Скорее всего, полицейский, мягко говоря, офигеет от всей запрашиваемой информации, и легенда рассеется, как сигаретный дым. Вообще, лучше всего сказать мошеннику, что вы не совсем уверенный пользователь смартфона (возраст, все дела) и вам нужно на время завершить звонок, чтобы проверить баланс на карточке, но вы обязательно перезвоните! Ведь родственника нужно спасать! За это время позвоните вашей кровинушке и уточните, подрабатывает ли он сегодня преступников или нет.
И да, друзья, запомните, что нужно быть бдительным ко всем сообщениям, которые приходят к вам на почту и на всякого рода мессенджеры. Если, к примеру, банк вдруг решил с вами “пообщаться”, лучше внимательно сравнить номера (если банк писал вам и ранее), а если представители государственной конторы пишут вам впервые, то разве это не выглядит подозрительным с самого начала? Лучше позвоните по официальному номеру и уточните.
Сюда же можно отнести ситуацию, когда банк вам пишет, что ваша карта заблокирована. Поверьте, банк явно о таком не предупреждает, и о том, что ваша карта тю-тю вы узнаете, когда захотите расплатиться в магазине и потерпите фиаско.
А теперь перейдем к основам компьютерной безопасности. Друзья, прошу, смотрите внимательно, что вы скачиваете и по каким ссылкам путешествуете. Не нужно бесприкословно верить названию файла: даже если файл назван “установочник Fallout”, совсем не факт, что вы качаете то, что вам нужно, а не вредоносный код. Зачастую люди именно на такие уловки и попадают.
Совсем забавно, если вы сгенерируйте пароль с вашей фамилией и годом рождения, вы удивитесь, насколько часто такое происходит. Над такими случаями мошенникам даже стараться не нужно: пару кликов, и вот ваша страница уже взломана, и всем вашим друзьям приходит рассылка, как вы страдаете сейчас без денег и просите о помощи.
Самое главное, что нужно помнить – включайте мозг, будите свою адекватность и не верьте незнакомцам в сети с первой же переписки. Вы не знаете, кто может скрываться по ту сторону экрана, даже если фотографии на аккаунте у вашего новоиспеченного друга выглядят вполне правдоподобно.
Человеческий фактор
В банках постоянно проводится обучение и аттестация сотрудников по профильным направлениям работы, рассказали «Известиям» в крупнейших российских кредитных организациях. Поэтому банковские служащие привыкли к такого рода рассылкам. Аттестация проводится дистанционно, а ее регулярность зависит от должности сотрудника, подчеркнули в банках «Открытие» и «Ак Барс».
Самое слабое звено при фишинговых атаках — это сам сотрудник, который получает письма и выполняет инструкции в них, уверен директор департамента информационной безопасности «ФК Открытие» Владимир Журавлев. По его словам, для повышения осведомленности работников финансовые организации часто проводят тренинги и знакомят сотрудников с реальными фишинг-кейсами.
фишинг
Фото: ИЗВЕСТИЯ/Александр Казаков
Обычно письма проходят проверку через антиспам и антивирус, в результате чего подозрительные сообщения блокируются. Кроме того, переход по вредоносной ссылке будет приостановлен, если ресурс категоризирован как фишинговый, рассказал начальник отдела информационной безопасности Райффайзенбанка Денис Камзеев. Кроме того, банки разграничивают доступ к информации так, чтобы один сотрудник не мог обладать всеми данными о клиенте, а также ведут учет работников, ознакомившихся с конфиденциальными сведениями, отметили в ВТБ.
В финансовой сфере «аттестационный» фишинг может быть более эффективным, чем в компаниях из других отраслей. Во-первых, кредитные организации представляют собой крупную формализованную систему, и общение сотрудников разного ранга, как правило, происходит только посредством рабочей почты. А во-вторых, в этой сфере продуктовая линейка часто меняется, что требует регулярного (до одного раза в квартал) контроля знаний работников, уверен главный аналитик Центра аналитики и финансовых технологий (ЦАФТ) Антон Быков. Количество взломанных корпоративных почтовых аккаунтов уже может составить несколько тысяч, оценил он.
Банки часто работают с базами клиентов, в которых содержится большой объем данных по конкретному вкладчику или владельцу карты за несколько лет — такую информацию мошенник вполне может получить из корпоративной почты, предположил коммерческий директор процессинговой компании Chronopay Сергей Алпатов. Он пояснил, что по рабочей почте часто передается информация о клиентах, в отношении которых ведется активная работа.
В основной зоне риска с точки зрения утечки персональных данных окажутся сотрудники кредитных отделов, в почте которых накапливаются анкеты претендентов на займы, считает директор Центра компетенций по информационной безопасности компании «Техносерв» Сергей Терехов. Однако он полагает, что из-за новой вариации фишинга ожидать волны утечек информации всё же не стоит.
«Новый год»
Накануне Нового года я подготовила праздничные постеры, на которых были изображены свинки (символ наступающего года), надпись «2019», логотип компании Z и предложение принять участие в розыгрыше.
Последнее подразумевало переход по фишинговой ссылке, где далее нужно было зарегистрироваться под своей учетной записью. С этими постерами размера А3 и двусторонним скотчем я отправилась на собеседование в указанную компанию.
Фото: Unsplash
Собеседование прошло очень плохо: мне постоянно звонили, отвлекали, приходилось выходить из кабинета, я случайно перепутала этаж, кабинет, лифт, дверь в женский туалет, а после встречи меня никто не проводил до выхода. Всего этого времени мне хватило, чтобы развесить 14 постеров в коридорах, лифтах и на дверях компании.
Там же в почте был найден VPN во внутреннюю сеть, пароли от всех Wi-Fi-точек, планы компании на следующий год, учетные данные для доступа к панели управления корпоративным сайтом. Еще через 15 минут на главной странице внутреннего корпоративного портала компании Z красовался мой постер со свинками и предложение поучаствовать в розыгрыше.
Способы оформления
Угроза компании
Как только человек становится работником компании, звонки с угрозами блокировки карты превращаются в сообщения от «партнеров», просьбы назвать код трансформируются в письма с фишинговыми ссылками, а «государственные службы» мутируют в «мотивированных и заинтересованных соискателей». Основной целью в таких случаях является не отдельный человек, а целая компания.
Фото: Unsplash
В нашей практике немало подобных примеров, когда сотрудники открывали письма с вредоносными вложениями, полученные под видом предложения к сотрудничеству. То есть работники сами открывали злоумышленникам доступ к своему компьютеру, и, как следствие, ко всем файлам и перепискам, сети предприятия.
Такие атаки не сразу обнаруживаются, долго устраняются и почти никогда не освещаются в СМИ, ведь информация о подобных происшествиях может принести финансовые и репутационные убытки. Так что о реальном положении дел можно только догадываться.
«Взломав» одного работника, злоумышленник может получить доступ ко всей внутренней инфраструктуре и информации организации: списку партнеров и клиентов, финансовой отчетности, личным данным сотрудников, планам на следующий год, сведениям о собственных разработках и так далее.
Чтобы чем-то зацепить работника компании, создаются целые схемы и отдельные векторы:
- просматриваются все доступные социальные сети на предмет потенциально ценной информации,
- изучаются профили на профессиональных порталах.
Вся полученная информация в дальнейшем используется для выбора оптимальной «цели» или легенды, которая будет подходить под конкретную организацию.
Фото: Unsplash
Многие злоумышленники ходят протоптанной тропинкой и пытаются запугать своих жертв
Чаще всего в ход идут угрозы увольнения или штрафов, сообщения с пометками «нужно было еще вчера» или «очень важно», иногда на почту приходят требования проверить какой-то сервис. Но поколения сменяют друг друга, и использование страха как мотиватора все реже оправдывается
Совсем иначе ситуация обстоит с любопытством. Мне этот мотиватор видится наиболее выигрышным, так как дает больший простор для творческой реализации. Именно его мы использовали в подавляющей части успешных проектов как толчок к некоему действию. Самые запоминающиеся случаи представлены ниже.
Кроме этого, можно выделить следующие правила:
-
-
- Пользовательские учетные данные являются собственностью компании.
-
Всем сотрудникам в день приема на работу должно быть разъяснено то, что те логины и пароли, которые им выдали, нельзя использовать в других целях (на web-сайтах, для личной почты и т.п), передавать третьим лицам или другим сотрудникам компании, которые не имеют на это право. Например, очень часто, уходя в отпуск, сотрудник может передать свои авторизационные данные своему коллеге для того, чтобы тот смог выполнить некоторую работу или посмотреть определенные данные в момент его отсутствия.
Необходимо проводить вступительные и регулярные обучения сотрудников компании, направленные на повышения знаний по информационной безопасности.
Проведение таких инструктажей позволит сотрудникам компании иметь актуальные данные о существующих методах социальной инженерии, а также не забывать основные правила по информационной безопасности.
Обязательным является наличие регламентов по безопасности, а также инструкций, к которым пользователь должен всегда иметь доступ. В инструкциях должны быть описаны действия сотрудников при возникновении той или иной ситуации.
Например, в регламенте можно прописать, что необходимо делать и куда обращаться при попытке третьего лица запросить конфиденциальную информацию или учетные данные сотрудников. Такие действия позволят вычислить злоумышленника и не допустить
утечку информацию
- .
- На компьютерах сотрудников всегда должно быть актуальное антивирусное программное обеспечение.
На компьютерах сотрудников также необходимо установить брандмауэр.
В корпоративной сети компании необходимо использовать системы обнаружения и предотвращения атак.
Также необходимо использовать системы предотвращения утечек конфиденциальной информации. Все это позволит снизить риск возникновения фитиновых атак.
Все сотрудники должны быть проинструктированы, как вести себя с посетителями.
Необходимы четкие правила для установления личности посетителя и его сопровождения. Посетителей всегда должен сопровождать кто-то из сотрудников компании. Если сотрудник встречает неизвестного ему посетителя, он должен в корректной форме поинтересоваться, с какой целью посетитель находится в данном помещении и где его сопровождение. При необходимости сотрудник должен сообщить о неизвестном посетители в службу безопасности.
Необходимо максимально ограничить права пользователя в системе.
Например, можно ограничить доступ к web-сайтам и запретить использование съемных носителей. Ведь, если сотрудник не сможет попасть на фишинговый сайт или использовать на компьютере флеш-накопитель с «троянской программой», то и потерять личные данные он также не сможет.
Исходя из всего перечисленного, можно сделать вывод: основной способ защиты от социальной инженерии – это обучение сотрудников. Необходимо знать и помнить, что незнание не освобождает от ответственности. Каждый пользователь системы должен знать об опасности раскрытия конфиденциальной информации и знать способы, которые помогут предотвратить утечку. Предупрежден – значит вооружен!
Источник
published on
according to the materials
Запись
взята с сайта
.
Противодействие методам социальной инженерии
Безопасность – когда у Вас есть четкое представление о том, кому можно доверять. Вы должны однозначно понимать и знать – кому можно предоставлять данные и доступ на территорию, а кому – категорически нет. Любой специалист в области обеспечения безопасности, скажет Вам, что человеческий фактор является самым слабым звеном во всей цепочке безопасности. Не имеет никакого значения, сколько дверей и какие замки Вы поставите, имеется у Вас заборы с колючей проволокой и вооруженный персонал с собаками на территории, подключена ли системы сигнализации, прожекторы и камеры видеонаблюдения. Если доверяете первому встречному человеку у ворот, который говорит, что он не может попасть домой, т.к. его обокрали,. При этом Вы позволяете ему без какой-либо предварительной проверки пройти на охраняемую территорию, Вы обрекаете все обеспеченные меры защиты на провал.
Чтобы защитить себя и не стать жертвой атаки социальной инженерии:
изучайте и собирайте, как можно больше информации о способах и методах воздействия злоумышленниками, что позволит Вам всегда быть готовым;
относится с осторожностью и скептично к человеку, запрашиваемому внутренние организационную сведения или персональные данные;
дайте однозначное понятие – кому можно дать доступ к конфиденциальной информации и при каких условиях
не предоставляйте сведения о своей организации, логин и пароль по телефону, и электронной почте;
при чтении электронной почты обращайте внимание на подлинность сообщения, обращайте на стиль его оформления, ссылки и адрес отправителя;
установите соответствующие ПО (антивирусы, спам-фильтры, брандмауэры).
Подача заявки в личном кабинете на официальном сайте «Центра займов»
Сегодня никого уже не удивишь возможностью подачи онлайн-заявки, подобную услугу предлагают многие МФО. Однако, не любая компания может похвастаться тем, что заявка, которую нужно заполнять на сайте, отличается простотой и понятна для пользователей. Когда речь идет про заполнение формы на сайте Центра займов, указывается лишь самая необходимая информация: контакты, сумма и желаемый срок получения займа.
Дмитрий Трепольский вновь стал членом Экспертного совета национальной премии «Серебряный Лучник»
Как вернуть долг
Почему мошенники любят использовать социальную инженерию
Причина проста – мошенники, манипулируя людьми, участвующими в социальной жизни посредством компьютерных сетей, собирают информацию об интересующих их лицах и используют эту информацию для получения исключительно собственной выгоды. Мошенников, которые специализируются в этой области, называют еще социальными хакерами.
Хотя для простых людей сами манипуляции могут представляться как исключительная забота только о них, без какой-либо видимой выгоды для мошенников, манипулирующих людьми. В этом как раз и состоит особенность манипуляции, прямо словами известной песенки из популярного в свое время кинофильма «Приключения Буратино»: «Для дурака не нужен нож, ему с три короба соврешь, и делай с ним что хошь!»
Лиса Алиса, Буратино и кот Базилио из кинофильма «Приключения Буратино»
Можно выделить распространенный способ воздействия на человека из области социальной инженерии, который активно используют мошенники. Первым делом – «втереться» в доверие к человеку. После этого практически сразу «огорошить» его неожиданной информацией или новостью, весьма похожей на правду.
Чтобы потенциальная жертва не успела опомниться, мошенники зачастую требуют от нее принятия быстрых решений и поспешных действий. И делают все возможное, чтобы потенциальная жертва мошенничества оказалась в условиях, когда взвешенные, продуманные решения принимать нет времени.
Тут тоже уместно вспомнить сакраментальную фразу из старого классического фильма «Бриллиантовая рука»: «Шеф, все пропало! Гипс снимают! Клиент уезжает! А-а-а!». В общем, некогда тут думать, нужно действовать здесь и сейчас, основываясь ТОЛЬКО на имеющейся информации, не более того.
«Шеф, все пропало! Гипс снимают! Клиент уезжает! А-а-а!» (из фильма «Бриллиантовая рука»).
Такими «фишками», заставляющими людей действовать немедленно и решительно, может служить, например, «липовая» информация о снятии денег с банковской карты.
Также это может быть «липовый» запрос на изменение пароля доступа к личному кабинету жертвы, откуда можно будет уже без участия владельца распорядиться деньгами или какими-то данными.
Бывает так, что жертве «приносят» информацию о якобы случившейся трагедии с родными и близкими. Могут применяться иные подобные весьма неожиданные приемы, приводящие жертву в состояние немедленной готовности к действиям. Главная цель для мошенника состоит в том, чтобы жертва оставалась «с горячей головой», а не в состоянии холодного, неподвластного чужой воле разума.
Социальная инженерия как раз призвана разрабатывать подобные приемы. Конечно, ее основная цель не есть мошенничество. Но тут все обстоит примерно так же, как, например, с атомной энергией, которая может служить источником энергии, а может вызывать катастрофические разрушения. Смотря кто и с какими целями, будет применять достижения науки, в нашем случае – разработки в социологии.
Что же интересует тех, кто на практике применяет социальную инженерию, но не во благо, а во зло? Сведения, которые запрашивают мошенники (все-таки так и будем их называть, другого эпитета они не заслуживают), отличаются в зависимости от способа мошенничества. По большей части информация касается
- паролей,
- реквизитов банка и банковской карты или
- информации для входа в онлайн банк, чтобы получить в первую очередь финансовую информацию. Ибо просто «лирика» мошенников мало интересует, деньги жертвы – вот их главная цель.
Многие пользователи интернета, вероятно, на своем опыте уже знакомы с социальной инженерией и, к сожалению, далеко не с самой лучшей ее стороны. Приведем далее некоторые из «классических» приемов мошенников, которые используют методы воздействия из социальной инженерии.
ПОЗВОНИ МНЕ, ПОЗВОНИ!
Хотя электронная почта и является наиболее распространенным и эффективным инструментом социальной инженерии благодаря возможному охвату и простоте реализации, это далеко не единственный метод, который используют злоумышленники. Они могут позвонить по телефону, представляясь специалистом технической поддержки, и попытаться получить критически важные данные или обманом заставить сотрудника перейти по нужной ссылке, ввести пароль, скачать и запустить посторонний файл. Классический пример — звонок рано утром в воскресенье с просьбой срочно явиться на работу, но в ходе разговора выясняется, что можно просто предоставить свой пароль от компьютера, и тогда «специалисты» все сделают сами. Сотрудник сразу же сообщает свой пароль, да еще и благодарит звонившего за помощь.
Фишинговые рассылки можно делать быстро, массово и почти одномоментно, и телефонные звонки по этим параметрам проигрывают: необходима тщательная подготовка, разговор с каждым человеком требует определенного времени, да и массовый обзвон всех сотрудников компании вряд ли останется незамеченным. В наших работах, как правило, телефонное взаимодействие проводится в отношении сотрудников, которые вступили в переписку, а в их подписи либо есть контактные данные, либо их удалось получить в ходе переписки. Это позволяет провести обзвон точечно, а пользователи практически готовы к общению и содействию в решении придуманной нарушителем «проблемы». В итоге эффективность такого вектора атаки достаточно высока. По результатам наших работ 44% сотрудников в результате телефонного взаимодействия выдавали свои пароли, рассказывали об установленном ПО, переходили по требуемой ссылке.
Как это выглядит на практике: после соответствующего согласования с руководством компании, где проводились работы, наши эксперты, представившись специалистами технической поддержки, позвонили сотруднику, ранее ответившему на фишинговое письмо. Под их диктовку пользователь зашел на поддельный корпоративный портал (было зарегистрировано доменное имя, содержащее дефис), а после того, как у него несколько раз не получилось ввести пароль, состоялся следующий диалог.
В отдельных случаях сотрудники просили позвонившего назвать свои имя и фамилию, и наши специалисты называли свои настоящие имена. Наиболее бдительные сотрудники проверяли наличие такого сотрудника в компании, а не найдя — обрывали разговор. Стоит отметить, что злоумышленник может легко узнать необходимые данные заранее, используя социальные сети или другие источники, где сотрудники раскрывают свои должности и контактные данные. Вероятно, что результативность атаки после такой подготовки может быть значительно выше.
Основные выводы
Социальная инженерия – мощнейший инструмент, области применения его безграничны и все зависит от того, в чьи руки он попал. Противостоять “науке” в руках мошенников и какому-либо психологическому давлению гораздо проще, чем кажется
Тут всегда обязательно нужно помнить одно важное правило:
Вступая в любое общение, обязательно обращайте внимание не только на содержание, но и на сам процесс. Почаще задавайте себе вопрос: “Что на самом деле это может значить?”. Приемы социальной инженерии бывают разные, но их суть остаётся неизменной
Критическое отношение к входящей информации, настороженность и здравый смысл помогут не стать жертвой обмана.
Приемы социальной инженерии бывают разные, но их суть остаётся неизменной. Критическое отношение к входящей информации, настороженность и здравый смысл помогут не стать жертвой обмана.
Ну и помните, что нельзя разглашать конфиденциальные данные своего паспорта или данные карты, даже если человек представился сотрудником банка или налоговым инспектором.
Добавить комментарий