Социальная инженерия

Что общего у продвинутых сетевых хакеров с обычными мошенниками, подстерегающими ничего не подозревающих жертв на улице? Оба они широко используют социальную инженерию.

Социальная инженерия относится к методу получения желаемой информации с помощью психологии; в частности, слабость человеческого фактора. Дело в том, что реакция Homo sapiens во многом предсказуема. Зная это, можно «программировать» поведение как отдельных людей, так и групп.

Примеры социальной инженерии можно найти как в Интернете, так и в повседневной жизни. Он используется в маркетинговых и политических кампаниях, для которых заранее собираются терабайты информации о предпочтениях и привычках людей. В конце концов, знание типичных поведенческих и предпочтительных моделей позволяет таргетировать рекламу, которая побуждает людей что-то покупать, заказывать или голосовать за конкретного кандидата. Подобная практика, конечно, не понравится всем, но, по крайней мере, в том, что касается законного сбора информации, у граждан есть возможность не делиться своими данными. Например, пользователи Интернета могут запретить сайтам отслеживать историю поиска и геолокации.

Преступное применение методов социальной инженерии — это, прежде всего, получение желаемой конфиденциальной информации, естественно, без учета пожеланий жертв.

Стандартная процедура, используемая этими социальными хакерами, состоит из нескольких основных шагов:

Выбор ценной цели.
Сбор данных о цели, чтобы найти наиболее уязвимое направление атаки.
Создание сценария на основе собранных данных — этот сценарий должен заставить жертву предпринять определенные действия, желаемые злоумышленником. (В Интернете цель обычно состоит в том, чтобы облегчить несанкционированный доступ к компьютерной системе, минуя аутентификацию и другие меры безопасности.) Говоря о принуждении: важно отметить, что здесь нет прямого применения силы; вместо этого манипуляция прозрачна для цели, которая думает, что действует по собственной воле.
Можно смоделировать такую ситуацию, когда жертвы сами обращаются к злоумышленнику за «помощью». Например, листовку с контактной информацией службы технической поддержки оставляют на видном месте в офисе, и злоумышленник удаленно создает какую-то проблему на офисном компьютере. В результате пользователь сам обращается к злоумышленнику, и в процессе «решения проблемы» он раскрывает желаемую злоумышленником информацию.

Базовые методы социальной инженерии:
Фишинг
Один из способов получить конфиденциальную информацию от пользователя — это фишинг. В этом методе жертвам отправляется электронное письмо , предположительно из их банка или какой-либо другой авторитетной организации, с просьбой ввести некоторую информацию в форму, такую как имя пользователя, пароль, номер карты или PIN-код. Помимо раскрытия злоумышленнику конфиденциальной информации, жертвы фишинга также рискуют заразить свои устройства вредоносным ПО при переходе на поддельный веб-сайт или заполнении формы.

Троянские вирусы
Троянские вирусы — это разновидность предыдущего метода, обычно также распространяемого по электронной почте. Вместо поддельной формы для заполнения в электронном письме есть вложение, содержащее вредоносное ПО, которое может собирать или изменять данные на компьютере пользователя в более позднее время.

Претекстинг
Вместо электронной почты в этом методе обычно используются голосовые методы связи: телефонные звонки и различные приложения для обмена сообщениями. Чтобы применить эту технику, необходимо заранее собрать некоторую информацию о «цели», чтобы завоевать доверие цели (например, имя, должность, проекты, над которыми работает сотрудник, имена коллег и начальства). Претекстинг использует предвзятые сценарии разговора, предназначенные для принуждения цели к раскрытию информации или совершению определенного действия. Например, злоумышленник может позвонить в службу ИТ-поддержки компании и попросить восстановить пароль к «своей» учетной записи.

К сожалению, у «социальных хакеров» нет недостатка в информации о будущих целях. Для мошенников социальные сети представляют собой настоящий фонтан информации о миллионах людей. Вся эта информация предоставляется добровольно, часто даже с гордостью: фотографии нового дома и iPhone, места работы, подробные отчеты о поездках, имена друзей, коллег, детей, близких. Вы и не мечтаете передать эту информацию первому, кого увидите на улице; и тем не менее, все это доступно бесплатно в Интернете.

Фарминг
Этот метод использует скрытые перенаправления на поддельные сайты. С помощью вредоносного ПО пользователь перенаправляется на поддельную копию веб-сайта, который он намеревался посетить. Этот метод особенно опасен, потому что его обычно очень трудно, а то и невозможно обнаружить. Ведь пользователь сам вводит правильный адрес в браузер! Где они окажутся после этого, ну… это не имеет значения.

Почему эти методы работают?
Суть социальной инженерии заключается в том, как атаки обходят критическое, аналитическое мышление, сосредотачиваясь в первую очередь на эмоциях. А многие люди, которые занимаются умственно отягощенными видами деятельности (включая большинство офисных работников), склонны подавлять эмоциональные всплески. Это то, что делает социальную инженерию такой эффективной. Таким образом, интеллект злоумышленника может быть даже значительно ниже, чем у его жертв. Но методы социальной инженерии полагаются на эмоции, а не на интеллект. Это также объясняет успехи профессиональных преступников в выращивании «лохов», которые, как правило, обладают довольно низкими умственными способностями. Чтобы не дать разуму ничего не подозревающего субъекта «вмешиваться» в процесс, злоумышленники часто пытаются заблокировать его, перегружая незначительной справочной информацией.

Козырные карты атакующего — внезапность и искусственно созданное чувство срочности (или, еще лучше, срочности и страха). В ситуации, когда решение должно быть принято немедленно, нет времени на проверку информации, предоставленной злоумышленником, поэтому решение принимается не на основе мыслей, а на основе чувств. Это может быть желание помочь или желание быстро избавиться от неожиданной проблемы. Они также могут включать в себя желание убежать от чего-то, чего боялись, заработать легкие деньги или получить какую-то выгоду («… но вы должны действовать сейчас!»). Тот же принцип используют стереотипные продавцы подержанных автомобилей: они говорят быстро, рассказывают вам, насколько невероятно это ограниченное по времени предложение, и предупреждают вас о том, сколько вы упустите, если не купите что-то правильное. этот момент.

Телефонные звонки о том, как ваш муж или ребенок попали в аварию или были арестованы, основаны на страхе, который вы испытываете за своих близких. И, конечно же, им срочно нужны деньги, чтобы оплатить билет или оплатить экстренную медицинскую помощь.

Почему социальная инженерия так популярна среди киберпреступников? Прежде всего, он популярен потому, что «взломать» обычного пользователя, не готового к психологической атаке, гораздо проще, чем взломать компьютерную систему, защищенную всеми видами мер безопасности.

Неудачный вывод: там, где работает социальная инженерия, информационная безопасность подвергается серьезному риску. Есть ли способы избежать этого?

В наше время, когда большая часть нашего бизнеса и личной жизни связана с Интернетом, недостаточно полагаться на технические инструменты, чтобы противостоять хакерам. В корпоративной среде необходимо разделить права доступа к сети и доступ к информации, которая составляет коммерческую тайну, насколько это возможно. В идеале каждый сотрудник имеет доступ только к той информации, которая ему необходима для выполнения своих обязанностей.

Не менее важно понимание проблемы социальной инженерии и значительного риска, который она представляет для личных и официальных данных. Каждый пользователь (особенно пользователи корпоративных сетей) должен узнать о видах психологических атак, которые могут быть использованы против них, и о том, как на них реагировать.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *