Социальный инжиниринг — непобедимая угроза или преувеличенная опасность?

Сегодня большая часть бизнес-процессов перенесена в онлайн — это увеличивает не только продажи, но и количество потенциальных угроз. Помимо привычных вирусов и хакерских атак существует, казалось бы, безобидный, но крайне эффективный метод проникновения в системы и кражи данных — социальный инжиниринг.

Если говорить просто, то социальный инжиниринг — такое своеобразное искусство манипуляции людьми, направленное на получение конфиденциальной информации или совершение определенных действий в интересах злоумышленника. 

Какие бывают методы социального инжиниринга?

Фишинг — рассылка фальшивых электронных писем или сообщений, а также создание поддельных веб-сайтов, имитирующих известные организации — банки, телекоммуникационные компании или государственные структуры. Цель фишинга — заставить жертву ввести свои логины, пароли, данные кредитных карт или другую личную информацию. Зачастую лучший пример фишинга — рассылка от банка, пример которой мы оставили ниже:

---

Тема: Ознакомьтесь с обновлением банковской информации и подтверждением перевода.

Отправитель: «Ваш Банк» (Заметьте, что адрес может быть похож, но отличаться одной буквой или символом. Vashbank@secuеre-payments.ru вместо vashbank@secure-payments.ru )

Содержание письма:

Уважаемый, Иванов Иван Иванович,

Недавно мы обновили протоколы безопасности, и все клиенты должны пройти повторную аутентификацию. В связи с участившимися случаями мошенничества, мы временно приостановили обработку Вашего последнего банковского перевода на сумму «столько-то» рублей. «Будет указана средняя, но внушительная сумма»

Для подтверждения вашей личности и разблокировки перевода, пожалуйста, перейдите по следующей ссылке и следуйте инструкциям: «Поддельная фишинговая ссылка, например: http://vashbank-secure-login.ru/update»

Если вы не пройдете процесс подтверждения в течение 24 часов, ваша учетная запись будет временно заблокирована, и Вы более не сможете пользоваться услугами нашего банка. «Угроза или запугивание, которое побудит вас к действию»

Благодарим за сотрудничество!

С уважением,

Служба Безопасности «Ваш Банк»

---

Претекстинг — создание вымышленной истории (претекста) для обмана жертвы и получения доступа к информации. Например, злоумышленник может представиться сотрудником службы поддержки и попросить подтвердить личные данные для решение выдуманной им же проблемы.

Для большей правдоподобности используется метод OSINT — тщательный сбор информации, которая находится в открытом доступе, чтобы повысить доверие жертвы.

Единого примера претекстинга нет, однако есть заметное отличие. При претекстинге неизвестный и незнакомый вам человек подозрительно много знает о вас: ФИО, возраст, наличие детей, номер машины и прочую информацию, которая так или иначе оказалась в сети.

Кво про кво — предложение выгодной сделки сотруднику в обмен на информацию. Часто используется в виде предложения бесплатного программного обеспечения или консультации с последующим запросом на предоставление конфиденциальных данных.

Зачастую жертва ведётся на выгодные условия. Соглашается, передает необходимые мошеннику данные и ждёт премии от начальства за хорошую сделку. Однако получает штраф и убытки компании.

Приманка — подбрасывание зараженных вирусами устройств. Зачастую это забытые USB-флешки, но иногда мошенники продают Б/У устройства на маркетплейсах, где уже предустановлена вирусная программа. Любопытство и желание выгоды заставляют жертву подключить, например, неизвестный USB накопитель к своему компьютеру, заражая тем самым систему.

Хвостизм или Tailgating — пожалуй самый сложный и непредсказуемый метод социальной инженерии. Фактически это проникновение в охраняемую зону, следуя “хвостиком” за уполномоченным лицом. Большинству знаком пример, когда злоумышленник может представиться курьером или новичком и попросить открыть дверь в офис.

В ИБ всё выглядит примерно также. Новичок устраивается в компанию на должность, где есть ПК с системными базами компании. Постепенно получает все необходимые доступы для работы от системного администратора, а после использует их в своих корыстных целях.

Как не попасть на удочку мошенника?

Всё в разы проще, чем вы можете подумать. Необходимо просто знать общие запреты, рекомендации и стандарты. И не забывайте, что ваше недоверие к подозрительным письмам, звонкам и сообщениям — это ваш главный щит. 

Не раскрывайте личную информацию.
Не сообщайте конфиденциальные данные по телефону, электронной почте или через интернет, особенно если вас об этом не просят.

Используйте сложные пароли!
Создавайте уникальные и надежные пароли для всех своих аккаунтов. О том как запомнить такое количество пароле и где их хранить рассказали тут.

Включите двухфакторную аутентификацию.
Это добавит дополнительный уровень защиты к вашим аккаунтам и спасёт даже в тех случаях, где ваш пароль узнал злоумышленник.

Обновляйте программное обеспечение.
Установите последние обновления для операционной системы и всего установленного на компьютере программного обеспечения.

Обучайте персонал.
Проводите регулярные тренинги по кибербезопасности для сотрудников вашей организации.

Сообщайте о подозрительной активности.
Если вы столкнулись с подозрительным письмом, звонком или сообщением, немедленно сообщите об этом в службу безопасности вашей организации или в правоохранительные органы.