Мошенничество и социальная инженерия: как не стать жертвой?
Социальная инженерия – это метод получения необходимого доступа к информации, основанный на особенностях психологии людей.
Самое слабое звено в системе обеспечения безопасности – человек.
Почему люди уязвимы для атак?
1. Теряют бдительность.
2. Легко верят полученной информации, независимо от ее источника.
3. Считают соблюдение политики информационной безопасности пустой тратой времени и сил.
4. Недооценивают значимость информации, которой владеют.
5. Искренне хотят помочь каждому, кто об этом просит.
6. Не осознают пагубных последствий своих действий.
Приемы, применяемые злоумышленниками наиболее часто и успешно в попытках манипулировать людьми:
1. Авторитетность
Людям свойственно желание услужить человеку с авторитетом (властью). Злоумышленник получит нужный ответ, если человек уверен, что спрашивающий имеет власть или право задавать этот вопрос.
Пример:
Злоумышленник пытается выдать себя за авторитетное лицо одного из подразделений организации (например, руководителя IT-подразделения) или должностное лицо, выполняющее задание организации.
2. Умение расположить к себе
Люди имеют привычку удовлетворить запрос располагающего к себе человека или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами.
Пример:
В разговоре злоумышленник пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что это ему близко. Также он может сообщить, что он из той же школы, места, или что-то похожее. Злоумышленник может даже подражать жертве, чтобы создать сходство, видимую общность.
3. Взаимность
Когда кто-то делает что-то для нас, мы чувствуем желание отплатить взаимностью. Эта сильная черта человеческой натуры проявляется тогда, когда получивший подарок не ждал (не просил) его.
Пример:
Злоумышленник звонит по случайному номеру в организации и представляется работником Службы техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» работник отвечает на многочисленные вопросы злоумышленника, зачастую, не задумываясь сообщая злоумышленнику конфиденциальную информацию (например, пароли, учетные записи), вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.
4. Ответственность
Люди имеют привычку исполнять обещанное. Пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия.
Пример:
Злоумышленник связывается с подходящим новым работником организации, выдает себя за работника подразделения и предлагает придумать сложный пароль для доступа к информации. Мошенник пытается давать рекомендации по выбору пароля и в целом довольно ответственно (в глазах сотрудника) подходит к своим обязанностям. Когда сотрудник говорит свой пароль, то мошенник утверждает, что пароль правильный и предлагает его сохранить. Сотрудник следует его указанием, так как чувствует, что согласился с человеком и не хочет его подвести.
5. Социальная принадлежность
Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения.
Пример: мошенники приезжает в подразделение с проверкой и называют друг друга по имени. Человек верит им, так как это реальные имена сотрудников компании.
6. Ограниченное количество «бесплатного сыра»
Одна из потенциально опасных для безопасности информации человеческих черт – вера в то, что объект делится частью информации, на которую претендуют другие, или что эта информация доступна только в этот момент.
Пример:
Злоумышленник рассылает электронные письма, сообщающие, что первые 300 зарегистрировавшихся на новом сайте выиграют 3 билета на премьеру фильма. Когда ничего не подозревающий человек регистрируется на сайте, его просят ввести адрес электронной почты и пароль. Многие люди, даже не задумываясь, введут запрашиваемые данные.
Методы социальной инженерии
1. Претекстинг (Pretexting) - это набор действий, проведенный по определенному, заранее подготовленному сценарию (претексту), в результате которого жертва может выдать какую- либо информацию или совершить определенное действие. Претекстинг предполагает использование голосовых средств связи (телефон, Skype и т.д.).
Пример:
Мошенник звонит человеку и представляется работником Банка. Под каким-либо предлогом он просит сообщить личные данные или данные банковских карт.
Возможно, Вас атакуют, если Ваш собеседник:
проявляет к Вам повышенный интерес;
преувеличенное внимание и заботу;
отказывается дать Вам свои координаты;
обращается к Вам со странной или необычной просьбой;
пытается втереться к Вам в доверие или льстит Вам;
говорит с Вами подчеркнуто начальственным тоном.
2. Фишинг (password harvesting fishing – «ловля паролей») - получение необходимой информации напрямую от владельца без технических мероприятий по взлому и без финансовых затрат при помощи электронной почты, сервисов мгновенных сообщений или SMS-сообщений.
Классическая схема фишинг-атаки:
Вам пришло электронное письмо или SMS-сообщение с просьбой перейти по указанной ссылке.
При переходе по ссылке открывается сайт-подделка.
Вам предлагают ввести Ваш логин и пароль.
Не задумываясь, Вы вводите данные, и готово – злоумышленник уже получил доступ к ранее защищенной информации на настоящем сайте.
Да и без ввода данных, просто после открытия сайта-двойника на Ваш компьютер вполне может попасть некий «троян» непредсказуемого назначения.
3. «Троянский конь» - вредоносная программа, которая используется для сбора, разрушения или модификации информации, нарушения работоспособности компьютера или использования ресурсов пользователя в чужих целях.
Ссылки на зараженные сайты могут быть отправлены по электронной почте, через социальные сети, системы мгновенного обмена сообщениями.
Мобильные вирусы часто доставляются SMS-сообщениями.
Пример:
Многие пользователи Facebook столкнулись c «трояном» Facebook.310, который «перекочевывал» на компьютер пользователя Facebook после того, как он «щелкал» на фальшивый видеоролик с сообщением о необходимости обновления видеоплеера.
Вместо обновления устанавливался «троян» Facebook.310, который действовал в Facebook от имени пользователя: устраивал рассылки, ставил «лайки», писал комментарии, открывал доступ к фотоальбому, вступал в группы и т.д.
Вместе с ним устанавливался второй троян-backdoor IRC.Bot.2344, который обеспечивал злоумышленникам внешнее управление компьютером пользователя Facebook, делая зараженный компьютер частью бот-сети, осуществляющей сетевые атаки на сайты коммерческих компаний и государственных структур, платежные системы.
4. «Кви про кво» (от латинского Quid pro quo – «услуга за услугу») - метод социальной инженерии, заключающийся в обращении злоумышленника к жертве по электронной почте или телефону с целью получения интересующей информации взамен на оказанную «помощь».
Пример:
Человек получает звонок отзлоумышленника, который называет себя интернет-провайдером. Звонящий рассказывает, что некоторые компьютеры заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере.
Злоумышленник делится информацией, как решить проблему. Затем он просит выполнить некоторые действия.
Человеку неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса. Он готов отплатить, сделав что-нибудь для «доброго человека». Например, ответить на пару вопросов…
5. "Дорожное яблоко" - - это разновидность «троянского коня», только вместо письма или SMS-рассылки Вам подкидывают носитель информации, содержащий вредоносное программное обеспечение (флеш-носитель, CD/DVD, переносной жесткий диск и т.д.).
6. Самое тривиальное, но тем не менее опаснейший метод социальной инженерии:
"Подсматривание через плечо" - метод, который включает в себя наблюдение личной информации жертвы через ее плечо.
Обратная социальная инженерия
Обратная социальная инженерия - жертва сама предлагает злоумышленнику нужную ему информацию.
Цель обратной социальной инженерии - заставить жертву саму обратиться к злоумышленнику за «помощью».
«Как такое может произойти? Бред!» – подумаете Вы.
На самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы, пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности.
Пример:
Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог.
Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить.
Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы.
Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник «неохотно» соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы.
З.Ы. не моё, текст написан по многочисленным статьям в интернете.
Антимошенник
4.1K постов33.9K подписчик
Правила сообщества
Нежелательны:
* посты об очередном фишинговом сайте
* скриншоты фишинговых сообщений
* переписки с мошенниками
* номера телефонов мошенников
* фото фальшивых квитанций ЖКХ
* фото попрошаек и "работников СНИЛС"
* "нигерийские письма" и прочие баяны
* видео без описания
Подобные посты могут быть добавлены на усмотрение администрации сообщества.
Запрещены:
1. Нарушения базовых правил Пикабу.
2. Посты не по тематике сообщества, а также недоказанные случаи мошенничества (в случае обвинения какого-либо лица или организации).
3. Кликабельные ссылки на магазины и прочие бизнес-проекты. Если Вам нужно сослаться на подобный ресурс — вставляйте пробелы вокруг точек: pikabu . ru
4. Пошаговые, излишне подробные мошеннические схемы и инструкции к осуществлению преступной деятельности.
5. Мотивация к мошенничеству, пожелания и советы "как делать правильно".
6. Флуд, флейм и оскорбления пользователей, в т.ч. провокации спора, распространение сведений, порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
Крайне нежелательно:
7. Бессодержательное, трудночитаемое и в целом некачественное оформление постов. При наличии подтверждений в комментариях, пост может быть вынесен в общую ленту.
В зависимости от степени нарушения может последовать:
А. Вынос поста в общую ленту (п.1, 2, 3, 5, 7 правил сообщества)
Б. Занесение пользователя в игнор-лист сообщества (п.6 правил сообщества, а также при систематических нарушениях остальных пунктов)
Если вы считаете что какой-либо пост нарушает правила пикабу или чьи-то права (в т.ч. является клеветой и обвинениями в мошенничестве) - призывайте
Просьбы о разбане и жалобы на модерацию принимает администратор сообщества. Жалобы на администратора принимает@SupportCommunity и общество Пикабу.