Портал о микрозаймах и онлайн-кредитах

Эксперты предупреждают: мошенники усовершенствовали способ социальной инженерии

Социальная инженерия как уровень социологического знания

Но социальной инженерией пользуются, конечно, не только мошенники. Само это понятие гораздо шире, нежели можно рассказать в рамках заметки. Методы, используемые в социальной инженерии, действуют везде, где есть информация, то есть и в офлайне. Интересными уловками пользуются сотрудники правоохранительных органов, торговцы, журналисты и просто халявщики. 

Например, полицейские – истинные мастера социальной инженерии, они ей пользуются, когда закон мешает получению информации. “Мы вас ни в чем не обвиняем, просто расскажите честно, как все было” – это наиболее распространенный обход 51 статьи Конституции РФ.

Ну и, конечно, социальная инженерия – это хлеб рекламщиков, хотя уже появились более серьезные направления вроде нейромаркетинга, но классика всегда в моде. Тут в качестве приемов используется повторное, многократное проговаривание информации о товаре, отсылки к “авторитетным” или “экспертным” мнениям, эксплуатация стереотипных образов.

СМИ тоже не стесняются и являются кладезью различных техник социальной инженерии. Посмотрите программу любого пропагандиста или просто новости, реалити-шоу.

Даже не придется особо напрягаться, чтобы увидеть настоящее навязывание определенных мыслей, ложные причинно-следственные связи, манипуляции чувствами, подмену понятий. 

У вас, уважаемый читатель, может сложится мнение, что социальной инженерией пользуются мошенники, что это язык пропаганды, нечистых на руку торгашей и лохотронщиков. Не стоит делать поспешные выводы и унывать раньше времени, ведь навыки социальной инженерии могут быть полезны и вам. 

Например, если вы хотите получить скидку где-либо, просто попросите! Только не забудьте спросить, что для скидки нужно и “напомните” о праве продавца отказать вам. Ну или если захочется куда-то пролезть без очереди, просто назовите рандомную причину – я проверял, работает 🙂

Свежие угрозы

В число новшеств мошенников при использовании социальной инженерии вошли звонки якобы из правоохранительных органов. «Сотрудник службы безопасности банка» говорит абоненту, что тесно сотрудничает с полицией, и предупреждает о звонке из органов в ближайшее время. Вызов действительно происходит, но с подменного номера (он определяется как настоящий). Якобы полицейские действуют по старой схеме: запрашивают данные карточки, CVV и коды из SMS. Такое мошенничество было зафиксировано в Норильске, рассказал «Известиям» начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд со ссылкой на данные МВД по региону.

Еще один случай, по его словам, был зафиксирован в Югре. Женщине позвонил неизвестный и представился сотрудником службы безопасности крупного банка. Заявительница сразу поняла, что ее пытаются обмануть, и прекратила разговор с злоумышленниками. После этого мошенники перезвонили югорчанке повторно с подставного номера дежурной части УМВД России по ХМАО-Югре и представились сотрудниками полиции. Они сообщили, что ведут разработку мошенников, которые ей звонили, и попросили следовать инструкциям мошенников, чтобы не сорвать операцию. Жительница согласилась оказать содействие правоохранительным органам, в результате преступники получили доступ к личному кабинету потерпевшей и похитили около 150 тыс. рублей.

В ВТБ знают о таких способах мошенничества, сказали «Известиям» в пресс-службе банка. В компании рекомендуют прекратить разговор, если поведение звонящего вызывает подозрение, и перезвонить в банк по официальному номеру.

«Известия» также направили запросы в Сбербанк, Альфабанк, Райффайзенбанк, «Открытие», «Почта Банк» и «МТС Банк».

Среди новых приемов мошенников — использование технологий deepfake, приводят пример в «СёрчИнформе». Несколько лет назад правдоподобную подделку голоса в режиме реального времени можно было назвать научной фантастикой, а сейчас это работоспособная технология, сказали специалисты. Она становится дешевле, и ее массовое применение — вопрос времени. Есть уже первый случай мошенничества, когда бизнесмену позвонил его якобы коллега и попросил оплатить счет.

Вероятно, в следующем году злоумышленники также будут использовать схемы с магазинами, якобы продающими вакцину от COVID-19, или с сервисами по записи на платную вакцинацию, предрекла руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева.

Число мошеннических действий с использованием методов социальной инженерии в 2021 году вырастет на 10-15% в сравнении с 2020-м, прогнозирует руководитель вирусной лаборатории «Доктор Веб» Игорь Здобнов. Руководитель направления «Информационная безопасность» КРОК Андрей Заикин закладывает рост в 15-20% с учетом степени развития онлайн-сервисов и услуг. А руководитель отдела экспертного пресейла Solar JSOC компании «Ростелеком» Алексей Павлов ожидает увеличения числа подобных атак на 20-30%.

Фазы социальной инженерии

В любом художественном фильме о мошенниках можно увидеть, как работает социальная инженерия на практике: «Поймай меня, если сможешь», «Лучшее предложение», «Афера Томаса Крауна», «Взлом» или «Один дома». Везде прослеживается сценарий, по которому развиваются события.


Социальные инженеры, как и любые хакеры, скрывают свое истинное лицо

Типичная схема действий

Представьте себя в роли социального инженера, которому нужно получить ценную информацию. Тогда дорожная карта будет выглядеть следующим образом:

      1. Сбор информации. Начальные сведения помогут ближе изучить цель и понять, с чем вы имеете дело. Подойдут активные и пассивные методы по методологии OSINT (Open source intelligence) – разведки на основе открытых источников. К открытым источникам относятся СМИ, публикации в интернете, общедоступные данные аэросъемок и радиомониторинга, публичные отчеты государственных и коммерческих организаций, профессиональные отчеты, конференции, доклады
      2. Выбор жертвы – человека, слабости которого будут вам полезны. Лучшими претендентами на эту роль станут те, кого легко обмануть, ввести в заблуждение, люди с чувством обиды или выраженной эмпатией
      3. Подготовка технического решения для фишинга. Самая трудоемкая и затратная часть в социальной инженерии, которая включает регистрацию домена, хостинга, их настройку и обкатку
      4. Контакт. Войти в круг доверия жертвы

На финальном этапе вы используете полученную информацию для достижения заветной цели: например, узнать пароль к системе или схему расположения камер видеонаблюдения. В отличие от других мошенников вам, вероятно, не придется заметать следы. Даже если жертва осознает собственный промах, она вряд ли поделится этой информацией с руководством, ведь признаваться в собственной глупости – занятие не самое приятное.

Береженого бот бережет

Пользователям нужно соблюдать базовые принципы информационной безопасности (ИБ) при работе с электронной почтой и другими ресурсами в Сети, посоветовал руководитель центра мониторинга Angara Professional Assistance Максим Павлунин. Не открывать вложения из недостоверных источников, а при получении подозрительных писем обращаться в службу ИБ для анализа. Кроме того, лучше взаимодействовать со службой технической поддержки для установки необходимого софта для работы.

При этом выбранные средства защиты не должны усложнять доступ сотрудников к бизнес-приложениям и не тормозить их работу, говорит эксперт управления информационной безопасности Softline Денис Чигин. При рациональном подходе к решению этой задачи можно сделать удаленную работу удобной и безопасной почти настолько же, что и работу офлайн.

По словам Алексея Павлова, ближайшие два года пройдут под эгидой массового внедрения и использования таких цифровых активов, как Bitcoin, Ethereum, цифровой юань, цифровой рубль. Это потребует не только повышения цифровой грамотности населения, но и углубления в базовые правила информационной безопасности.

Проверенные схемы

Пик звонков якобы из банков пока не пройден, полагает Алексей Дрозд. Клиенты финансовых организаций по-прежнему составляют для мошенников главный интерес, а жертв, которые могут купиться на их уловки, достаточно. Более того, мошенники будут чаще бить «точечно» — например, уже клиентов менее крупных банков, потому что жертвы еще не привыкли получать звонки от «служб безопасности» этих организаций. «Топливом» для таких атак будут служить данные пробивов и сливы информации из самих кредитных организаций, говорит он.

Кибераферисты также притворяются и хорошо известными сервисами доставки, обратил внимание технический директор ESET Юрай Малко. Они отправляют жертвам поддельные ссылки якобы для отслеживания отправлений. Оформление таких сообщений может быть схоже по цветовой гамме и стилю с реально существующими сервисами. На уведомление «вам посылка» человек кликает, после чего загружается вредоносное ПО

Чтобы избежать мошенничества с доставкой, нужно внимательно следить за адресами отправителей и проверять статус доставки по трек-номеру на официальных сайтах служб, советуют специалисты.

Часто встречаются ситуации, когда пользователю предлагают перейти из официального приложения сайта объявлений в мессенджер, а дальше отправляют ссылку для оплаты доставки, которая ведет на фишинговую страницу, похожую на реальную страницу оплаты, привела пример Екатерина Килюшева.

Фрод будет по-прежнему распространен и в будущем году, говорит Андрей Заикин. Мошенники будут обещать выплаты, помощь, денежное вознаграждение или приз, но прежде попросят оплатить «комиссию». Люди стали уязвимы для психологических приемов: это рассылки с «госкомпенсацией», фейковые письма о вакцине, штрафах, эксплуатация уязвимостей сервисов видео-конференц-связи, перечислил он.

Показательная статистика

Общее число регистрируемых краж и мошенничеств по итогам минувшего года возросло с 2519 до 4053. Евгений Прохоров отметил,что это связано не только с активностью злоумышленников,но и с тем,что полицейские стали чаще выявлять подобные случаи. Кроме того,в два раза увеличилось число таких уголовных дел,направленных в суд.

Женщина говорит по телефону.

СС0

Почти 95% мошенничеств совершают жители других регионов. Для задержания преступников алтайские полицейские 54 раза выезжали в командировки.

Главный эксперт отделения «Барнаул» Банка России Михаил Метелев отметил,что жители Алтайского края активно используют безналичные платежи,в обороте более 4 млн банковских карт. В 2019 году с их помощью в регионе потратили около 500 млрд рублей,из них около 62 млрд — это покупки через интернет.

Средняя сумма кражи,по статистике Банка России,составляет около 10 тыс. рублей. Почти 70% всех операций совершаются с использованием методов социальной инженерии,когда преступники входят в доверие к жертвам и получают от них информацию или вынуждают к каким-то действиям.

Банкомат.

СС0

Всего в 2019 году со счетов россиян похитили 6,5 млрд рублей. При этом банки возместили клиентам каждый седьмой рубль.

Дружеские письма

Очень распространенным видом социальной инженерии также является отправка электронных писем, в которых человеку сообщают о получении наследства или дружеского перевода денег. Обычно письмо обращается к адресату по фамилии и содержит подробную историю для привлечения его внимания.

Электронное письмо, в котором сообщается о получении якобы наследства или дружеского перевода денег

Такие письма содержат длинные истории со многими деталями, они должны добавить ситуации правдоподобия. Когда человек выходит на связь, у него просят предоставить данные для подтверждения личности и ускорения процесса. Таким образом злоумышленники могут просто обокрасть жертву.

Например, текст одного из таких писем выглядит так:

Привет, мой дорогой друг,

Я адвокат Джеймс Уолкотт. Возможно, ты не помнишь последний раз, когда ты помог мне в транзакции, но я не забыл твою помощь и мужество, которое ты дал мне в прошлом. Как ты и твоя семья? Я надеюсь, что у них все хорошо. Я рад тебе сообщить, что я тогда успешно завершил эту транзакцию с другим партнером. Полная сумма наследственных денег была передана новому партнеру…

Но я не забыл и о твоих прошлых усилиях и помощи мне в том, чтобы средства были одобрены банком. Поэтому я дал своему секретарю чек на твое имя на сумму 850 тысяч долларов, чтобы отправить его тебе в твою страну, в любое время, когда ты с ней свяжешься. Пожалуйста, прими это маленькое вознаграждение. Ниже указано имя и адрес электронной почты моего секретаря, полное имя: Виктория Джонсон, адрес электронной почты: (victoriajohnson500@gmail.com)

Тебе надо связаться с моим секретарем как можно скорее, чтобы чек был проадресован и отправлен в вашу страну. Желаю успехов во всех твоих делах. Я также могу тебе позвонить, когда удобно.

Твой брат и партнер

Адвокат Джеймс Уолкотт

Заключение

И напоследок мне бы хотелось поделиться несколькими лайфхаками, которые помогут читателям противостоять манипуляциям мошенников.

Чек-лист: пять лайфхаков для защиты от атак методами социальной инженерии

  1. Не стесняйтесь спрашивать у коллег, какие нововведения внедряются в вашей компании и новые конкурсы проводятся. Если вы видите сообщение о конкурсе, розыгрыше, появлении нового ресурса или сервиса, не поленитесь узнать у ответственного за это событие, соответствует ли эта информация действительности.
  2. Если вы не уверены в достоверности ресурса, на который вас просят зайти, введите неверный логин и пароль. Чаще всего фишинговые страницы перенаправляют жертву на достоверный сайт после ввода данных.
  3. Постарайтесь забыть о флешках на рабочем месте. Если же вам пришлось воспользоваться таким устройством, обязательно проверьте его с помощью антивируса.
  4. Если вам приходит письмо с каким-либо требованием от незнакомого коллеги, поищите его в адресной книге. Сверьте адрес электронной почты из адресной книги с адресом из письма.
  5. Старайтесь относиться скептически к письмам от ИТ- или ИБ-служб, требующих срочно проверить какой-либо сервис. Очень маловероятно, что о действительно срочной проверке вас будут уведомлять по почте.

Материалы по теме:

Похожие публикации

Добавить комментарий

Your Header Sidebar area is currently empty. Hurry up and add some widgets.