Далеко не все знают, что такое социальная инженерия. Однако каждый человек наверняка хотя бы один раз в жизни сталкивался с приёмами социальной инженерии. Вспомните, вас когда-нибудь пытались перевести с сайта в другое, более удобное место, чтобы продолжить общение там, потому что там удобнее, чем на сайте? Вам знакомо, когда пишет «родственник» с чужого номера, со словами, что попал в аварию и срочно нужны деньги?
Значит, вы уже знакомы с приёмами социальной инженерии. Данными приёмами пользуются мошенники с целью кражи денег или ценных данных.
Неважно, насколько защищённое оборудование или какая современная технология. Человеческий фактор — это самое уязвимое звено. «Взломав» человека, можно получить доступ к чему угодно.
Социальная инженерия — это прежде всего манипулирование людьми с использованием психологии. Социальная инженерия включает в себя различные психологические и социальные методы для воздействия на психику людей в корыстных целях, для извлечения личной выгоды.
Социальные инженеры — это мошенники, которые используют навыки социальной инженерии для обмана.
Так уж сложилось, что люди очень подвержены эмоциям. Многие на эмоциях делают разные, порой необдуманные поступки. Именно поэтому мошенникам гораздо легче воздействовать на человека, чтобы получить пароль, чем взламывать программу.
Например, социальному инженеру нужно получить доступ в интернет-банк. Чтобы это сделать социальный инженер может позвонить жертве и представится сотрудником банка и разными способами обмана получить необходимую информацию для входа.
Другой пример, вы продаёте телефон на Авито.У вас резко находится покупатель готовый забрать без торга прямо сейчас и даже отказывается от просмотра. Взамен лишь предлагают перейти в WhatsApp, чтобы продолжить диалог там, потому что на Авито неудобно общаться. В WhatsApp вам говорят, что сейчас находятся не в городе или вовсе в другом городе, но уже оформили доставку, вам лишь нужно перейти по ссылке и подтвердить сделку.
Всё это приёмы социальной инженерии, цель которых — психологическое воздействие с целью получения ценных данных, а как следствие — денег.
Самым ярким примером социальной инженерии был Кевин Дэвид Митник. Этот человек был самым знаменитым социальным инженером. Ещё в детстве он взламывал телефонные компании и прослушивал разговоры и требовал залог. Он получил пароль и доступ к секретным данным компании, обманув системного администратора, притворившись ведущим разработчиком. Также у него были полные данные 20 тысяч кредитных карт разных людей.
Также известно много других примеров мошенничества с использованием социальной инженерии.
Например, в 2007 году мужчина украл из банка бриллианты на сумму 28 миллионов долларов. Удивительно в этой истории то, что мужчина был постоянным клиентом банка при этом, используя украденный аргентинский паспорт. Мужчина регулярно посещал банк и втирался в доверии к сотрудникам. В результате они предоставили ему доступ в хранилище, откуда в дальнейшем и были украдены бриллианты на сумму 28 миллионов долларов. Имя этого мужчины Карлос Гектор Фломенбаум.
Фишинг
Фишинг — это вид мошенничества в интернете, целью которого является получение доступа к аккаунтам и персональным данным. Целью кражи может быть аккаунт от Telegram, сервис «Госуслуги», криптокошелёк и всё то, что может принести прибыль фишеру. Более подробно про фишинг можете прочитать в нашей статье на эту тему.
Претекстинг
Претекстинг — это один из способов мошенничества основанный на том, что мошенник представляется другим человеком. Проще говоря, Претекстинг — это когда злоумышленник полностью меняет свою личность маскируясь под другого человека.
Использование открытых источников
Мошенники, используя социальную инженерию, могут собирать информацию для атаки из открытых источников. По номеру телефона, можно проверить, что продавал человек, например на Авито. По этим объявлениям можно вычислить адрес и место проживания. Из социальных сетей можно узнать дату рождения и увлечения и где человек чаще всего бывает.
Один из исследователей по вопросам компьютерной безопасности доказал, что закрытый профиль не спасает от злоумышленников. Потому что злоумышленники могут добавиться в друзья с нужного аккаунта, используя навыки социальной инженерии.
Фейковые авторитетные источники
Используя различные авторитетные тематические ресурсы, жертва сама может выдать все данные мошенникам. Например, администратор какого-нибудь крупного канала объявляет конкурс. И объявляет 10 победителей. Для получения приза нужны данные. Жертвы сами предоставят все данные, потому что нету сомнений в авторитете канала.
Только вот владельца канала тоже недавно взломали методом социальной инженерии и получили полный доступ к его каналу. Тем самым социальные инженеры заполучили канал и аудиторию.
- Не скачивайте файлы с незнакомых и непроверенных сайтов. Потому что на таких сайтах файлы содержат вирусы.
- Используйте антивирусы. Антивирусы обладают встроенным функционалом, который умеет, определяет фишинговые сайты и файлы, которые содержат вирусы.
- Используйте разные электронные почты и разные пароли. Обычно люди используют один и тот же пароль. Меняйте пароли на каждый ресурс и для отдельных сайтов не используйте личную электронную почту.
- Будьте бдительны. Никогда не открывайте незнакомые письма, не ведите с незнакомыми людьми переписку, а если довелось вести диалог, то не переходите по ссылкам и не скачивайте файлы.
- Не открывайте и не заходите в важные документы и сервисы в публичном месте.
