В век информационных технологий социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка. Если вы думаете, что социальная инженерия – такая выдумка из книг-антиутопий или сомнительная психологическая практика, то эта статья изменит ваше мнение.
Что называют социальной инженерией?
Сам по себе термин – социологический и обозначает совокупность подходов к созданию таких условий, при которых возможно управлять человеческим поведением. В той или иной степени приемы социальной инженерии используются людьми с древнейших времен. В Древней Греции и Древнем Риме очень ценились ораторы, обладающие особым искусством убеждения, таких людей привлекали к участию в дипломатических переговорах. Деятельность спецслужб также во многом строится на приемах социальной инженерии, а XX век и вовсе изобилует примерами того, каких результатов можно достичь при умелом манипулировании человеческим сознанием и поведением. Пионерами социальной инженерии в том виде, в котором она существует сегодня, считаются телефонные мошенники, появившиеся в 70-е годы прошлого века, а в область информационных технологий эта наука пришла благодаря бывшему хакеру Кевину Митнику, который сейчас является консультантом по информационной безопасности и пишет книги о своем пути социального инженера.
В сфере киберпреступности социальной инженерией называют приемы и техники, которые злоумышленники используют для получения нужных данных или для побуждения жертвы к совершению нужных действий. Как говорил Кевин Митник, наиболее уязвимое место в любой системе безопасности – человек, и киберпреступники хорошо знают это. Социальные инженеры – хорошие психологи, они мастерски находят подход к конкретному человеку, легко втираются в доверие, идут на всяческие уловки и хитрости – и все это с целью получить конфиденциальную информацию.
Как работают социальные инженеры?
В фильме «Поймай меня, если сможешь», снятом по одноименной книге, рассказывается о событиях из жизни реального человека, Фрэнка Абигнейла. Сейчас он является экспертом по документарной безопасности, но в середине ХХ века Абигнейл подделывал чеки и в течение пяти лет виртуозно скрывался от полиции, легко перевоплощаясь в разных людей от пилота до врача. Такое поведение, уловки и тонкая психологическая игра – яркий пример социальной инженерии.
Если для достижения своих целей Фрэнку Абигнейлу приходилось лично контактировать с людьми, используя психологические уловки и актерское мастерство, то сегодня злоумышленники добывают информацию дистанционно, с помощью Интернета и сотовой связи. На уловки хакеров попадаются и обыкновенные компьютерные пользователи, и работники крупных компаний, хорошо разбирающиеся в вопросах информационной безопасности. Главная опасность состоит в том, что жертва сообщает необходимую информацию добровольно, даже не подозревая о том, что своими действиями помогает преступнику.
Манипулирование мыслями и действиями становится возможным из-за когнитивных искажений – отклонений в нашем восприятии, мышлении и поведении. Эти ошибки могут быть вызваны стереотипами, эмоциональным или моральным состоянием, влиянием социума, отклонениями в работе головного мозга. Под воздействием одного или нескольких факторов происходит сбой на этапе анализа полученной информации, в результате чего мы можем составить нелогичное суждение, неправильно интерпретировать события или предпринять иррациональные действия. Зная о таких особенностях работы человеческого мышления, социальные инженеры создают ситуации, в которых жертва наверняка совершит нужное действие, и, как показывает практика, когнитивные искажения оказываются сильнее нас.
Примеры социальной инженерии
Для достижения своих целей злоумышленники эксплуатируют человеческое любопытство, доброжелательность, вежливость, лень, наивность и другие самые разные качества. Атака на человека (так хакеры называют социальную инженерию) может производиться по многим сценариям, в зависимости от ситуации, но существует несколько наиболее распространенных техник работы злоумышленников.
Фишинг. Этот метод оказывается результативным из-за невнимательности пользователей. На электронную почту жертвы приходит письмо от какого-то известного сайта, организации или даже частного лица с просьбой совершить указанные действия, перейдя по ссылке. Чаще всего просят авторизоваться. Человек переходит на сайт и вводит свои логин и пароль, даже не посмотрев на отправителя сообщения и на адрес сайта, а мошенники таким образом получают необходимые для взлома данные, после чего совершают любые действия на странице жертвы.
Троян. Это вирус, получивший свое название по принципу работы, сходному с троянским конем из древнегреческого мифа. Пользователь скачивает программу или даже картинку, и под видом безобидного файла на компьютер жертвы попадает вирус, с помощью которого злоумышленники крадут данные. Иногда это скачивание производится автоматически, когда человек переходит по любопытной ссылке, открывает сомнительные сайты или подозрительные электронные письма. Почему этот вид кражи данных называют социальной инженерией? Потому что создатели вируса хорошо знают, как замаскировать вредоносную программу, чтобы вы наверняка кликнули по нужной ссылке или скачали файл.
Кви про кво. От латинского quid pro quo, что в переводе означает «то за это». Этот вид мошенничества работает по принципу «услуга за услугу». Злоумышленник представляется сотрудником службы технической поддержки и предлагает исправить возникшие неполадки в системе или на компьютере конкретного пользователя, хотя на самом деле проблем в работе ПО не возникало. Жертва верит в наличие неисправностей, о которых ей сообщил «специалист», и с радостью сообщает нужные данные или выполняет действия, которые диктует мошенник.
Обратная социальная инженерия
Так называется вид атаки, при котором жертва сама обращается к злоумышленнику и предоставляет ему нужные сведения. Это может достигаться несколькими путями:
- Внедрение особого ПО. Поначалу программа или система работает исправно, но потом происходит сбой, требующий вмешательства специалиста. Конечно, ситуация подстроена таким образом, чтобы тем специалистом, к которому обратятся за помощью, оказался социальный хакер. Налаживая работу ПО, мошенник производит необходимые для взлома манипуляции. Иногда нужная информация добывается не непосредственной работой с компьютером, а через общение с пользователем, который ради скорейшей починки оборудования готов сообщить мастеру любую конфиденциальную информацию. В дальнейшем, когда взлом обнаруживается, социальный инженер за маской помощника может оставаться вне всякого подозрения, что делает социальную инженерию очень выгодным инструментом.
- Реклама. Злоумышленники могут рекламировать свои услуги как компьютерных мастеров или других специалистов. Жертва обращается к взломщику сама, а преступник не только работает технически, но и выуживает информацию через общение со своим клиентом.
- Помощь. Социальный инженер может умышленно оказаться в числе тех, к кому обратятся за помощью в случае сбоя, а иногда мошенник заранее производит какую-то манипуляцию, которая вынудит жертву искать помощника. В этом случае хакер предстает в положительной роли, а атакованный остается благодарным за оказанную услугу.
Как защититься?
В первую очередь защитой от социальной инженерии являются разумный скептицизм и бдительность. Всегда обращайте внимание на адресанта писем и адрес сайта, где собираетесь ввести какие-то личные данные. Жертвами киберпреступников становятся не только сотрудники компаний и известные лица, но и обыкновенные пользователи – мошеннику может потребоваться доступ к вашей страничке в социальной сети или электронному кошельку. Если вам звонит человек, представившийся сотрудником какой-то организации или сайта, помните, что для манипуляций с вашим аккаунтом, как правило, ему не требуется знать конфиденциальных данных – не разглашайте их сами. Просьба предоставить какую-либо личную информацию, например паспортные данные, должна вас насторожить – для идентификации личности чаще всего требуют назвать только последние цифры каких-то данных, а не все целиком.
Не работайте с важной информацией на глазах у посторонних людей. Мошенники могут использовать так называемый плечевой серфинг – вид социальной инженерии, когда кража информации происходит через плечо жертвы. Немалое количество важных данных было подсмотрено с экрана, пока ничего не подозревающая жертва работала за своим компьютером.
Не переходите на подозрительные сайты и не скачивайте сомнительные файлы, ведь одним из самых лучших помощников социальной инженерии является наше любопытство. В любой ситуации, когда вам звонят, пишут, предлагают услугу или, к примеру, подбрасывают флешку, спрашивайте себя, знаете ли вы, откуда, почему и зачем. Если нет, то посоветуйтесь с проверенным и знающим человеком, а в ином случае проигнорируйте эту ситуацию, но никогда не разглашайте важную информацию без веской причины.
Оставить комментарий