Социальная инженерия: как можно «взломать» человека⁠⁠

Чтобы узнать пароль от почты или код с оборотной стороны карты, необязательно быть крутым хакером, достаточно лишь являться хорошим психологом. Рассказываем, что такое социальная инженерия в информационной безопасности, как мошенники «взламывают» своих жертв и как противостоять манипуляциям.

Что такое социальная инженерия

Социальная инженерия — это метод психологического воздействия, который помогает мошенникам получить деньги человека или конфиденциальную информацию. Хакеры используют украденные данные в своих интересах: чтобы снять деньги со счёта, завладеть аккаунтами жертвы или навредить репутации человека.

Современные хакеры могут взломать что угодно, и для этого им необязательно писать сложное вирусное ПО или искать уязвимые места в системе. Пробраться внутрь можно, используя знание психологии.

Недавний пример: восемнадцатилетний хакер взломал Uber с помощью социальной инженерии. Он связался с одним из сотрудников компании в мессенджере и представился IT-специалистом. Хакер убедил сотрудника Uber передать ему пароль, который и позволил ему получить доступ к внутренним данным компании. Чем больше злоумышленник знает о своей жертве, тем проще для него задача. Часто люди сами помогают мошенникам, выкладывая информацию о себе в открытый доступ. Даже поверхностные сведения могут помочь будущей атаке.

Например, лет 10 назад популярностью пользовалась такая схема: на страницах в соцсетях хакеры находили личную информацию о студентах, которые переехали в чужой город для учёбы. Мошенники использовали эту информацию и звонили родителям жертвы. Они утверждали, что их сын или дочь попали в некую сложную ситуацию и нужно срочно перевести деньги, чтобы им помочь. Ощущение спешки и страх за ребёнка заставляли людей отправлять деньги злоумышленникам. Как хакеры «взламывают» людей

Опытный мошенник отлично знает, за какие ниточки потянуть, чтобы добиться своего. Чаще всего злоумышленники используют эти 4 манипуляции.

Вызывают доверие. Мошенники часто представляются теми, от кого не ждёшь обмана: сотрудниками банков и известных компаний, полицейскими, родственниками, знакомыми друзей, забытыми коллегами с прошлых мест работы. Чтобы втереться в доверие, злоумышленники могут подделать страницу в соцсетях, сайт популярного магазина, удостоверение и даже голос.

С потенциальными жертвами знакомятся, общаются, а потом предлагают подзаработать, перейти по ссылке, перевести куда-то деньги или назвать пароль.

Напирают на срочность. Мошенники акцентируют внимание на том, что нужное им действие необходимо совершить как можно быстрее. Купить товар со скидкой 90% в течение 20 минут. Записаться на последнее место на тренинге, иначе вас кто-нибудь опередит. Перевести деньги на карту, потому что знакомому срочно нужна помощь.

Злоумышленники часто звонят рано утром или поздно вечером: спросонья или в расслабленном состоянии человек хуже соображает, поэтому с большей вероятностью попадётся на удочку.

Пугают потерей денег. Представьте такую ситуацию: вам звонит «сотрудник банка» и говорит, что с вашего счёта пытаются вывести большую сумму. Чтобы защитить деньги, мошенник предлагает назвать код с оборотной стороны карты или кодовое слово. Кажется, об этой схеме знают уже все, но она всё ещё работает, раз злоумышленники продолжают ей пользоваться.

В этом случае мошенники играют на страхе потерять деньги. А страх заставляет людей совершать необдуманные поступки.

Заманивают выигрышем. Мошенники знают, что человек любит всё бесплатное. Чтобы заманить жертву в ловушку, злоумышленники проводят конкурсы и розыгрыши. Для «победы» в них нужно перейти по ссылке, оставить для участия данные карты или другую личную информацию, заплатить небольшой взнос, который гарантированно принесёт гораздо большую сумму.

Часто мошенники проводят такие мероприятия под видом крупного бренда, которому люди доверяют. Конечно же, никто ничего не выигрывает. В лучшем случае жертвы теряют конфиденциальную информацию, в худшем — все свои деньги.

3 способа защититься от манипуляций мошенников

Осознанность — единственный антидот от социальных хакеров. Чтобы снизить риск обмана, соблюдайте несколько простых правил.

Не доверяйте незнакомцам. Если пишет или звонит незнакомец, спросите, кто он. Если человек начинает менять тему или давить на срочность, просто блокируйте его. Если вы сомневаетесь в человеке, но всё равно переживаете за свои данные или деньги, обратитесь в банк или компанию самостоятельно по официальному номеру. Также помните, что ни одна солидная компания не будет звонить или писать своим клиентам через мессенджеры.

Защитите компьютер и аккаунты. Есть несколько способов это сделать:

• разделите почту на личную и рабочую. Если личное предложение придёт на рабочую почту или наоборот, вы поймёте, что это мошенники;

• придумайте сложные и уникальные пароли. Сложные пароли труднее разгадать, а уникальные не позволят мошенникам получить доступ сразу ко всем аккаунтам;

• используйте двухфакторную аутентификацию. Даже если хакеры узнают ваш пароль, они не смогут получить ещё и код из СМС.

Проверяйте источники ссылок. Не переходите по ссылкам, которые присылают незнакомцы. Даже если ссылку прислал друг, коллега или родственник, будьте бдительны и не переходите по ней, если ссылка кажется подозрительной. Возможно, аккаунт знакомого взломали и рассылают спам.

Чтобы лучше распознавать манипуляции социальных инженеров, советуем регулярно читать библиотеку знаний по кибербезопасности «Кибрарий». Там мы делимся рекомендациями, которые помогут не попасться на удочку кибермошенников.