Социальная инженерия что это такое простыми словами
Осторожно, это ловушка: что такое социальная инженерия
«Привет! Я оказался в сложной ситуации. Можешь занять 5000 рублей до понедельника», — получали такое сообщение в соцсетях от «друзей»? Значит вы уже сталкивались с социальной инженерией. Киберпреступники всё чаще используют такие методы для кражи ценных данных (в том числе и ваши финансы), ведь человеческий фактор по-прежнему остаётся слабым звеном в любой системе защиты.
Согласно статистике, количество атак с использованием социальной инженерии в 2020 году выросло на 147%. Рассказываем вам, какими бывают такие приёмы и как обезопасить себя.
Что такое социальная инженерия и как она появилась?
Социальная инженерия (social engineering) или «атака на человека» — это совокупность психологических и социологических приёмов, методов и технологий, которые позволяют получить конфиденциальную информацию.
Кибермошенников, которые используют эти приёмы на практике, называют социальными инженерами. Пытаясь найти доступ к системе или ценным данным, они используют самое уязвимое звено — человека. Самый простой пример — телефонный звонок, где злоумышленник выдаёт себя за кого-то другого, пытаясь узнать у абонента конфиденциальную информацию, играя на чувствах человека, обманывая или шантажируя его. К сожалению, многие люди продолжают клеватьна такие удочки и доверчиво рассказывают социальным хакерам всё, что им нужно. А в арсенале мошенников немало техник и приёмов. О них мы расскажем чуть позже.
Сейчас социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка.
Люди использовали социальную инженерию с древних времён. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных ораторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и работали на благо своего государства.
Спустя много лет, к началу 1970-х годов стали появляться телефонные хулиганы, нарушавшие покой граждан просто ради шутки. Но кто-то сообразил, что так можно достаточно легко получать важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.
Когда же появились компьютеры, большинство инженеров сменило профиль, став социальными хакерами, а понятия «социальная инженерия» и «социальные хакеры» стали синонимичны.
Яркие примеры социальной инженерии
Иллюстрацию того, на что способен умелый социальный инженер можно найти в кинематографе. Возможно, вы смотрели фильм «Поймай меня, если сможешь», основанный на реальных событиях — на истории легендарного мошенника Фрэнка Уильяма Абигнейла-младшего. За пять лет преступной деятельности его фальшивые чеки на общую сумму 2,5 миллионов долларов оказались в обращении 26 стран мира. Скрываясь от уголовного преследования, Абигнейл проявил удивительные способности в перевоплощении, выдавая себя за пилота авиалиний, профессора социологии, врача и адвоката.
Иногда достаточно просто попросить. Пример — кража у компании The Ubiquiti Networks 40 миллионов долларов в 2015 году. Никто не взламывал операционные системы и не крал данные — правила безопасности нарушили сами сотрудники. Мошенники прислали электронное письмо от имени топ-менеджера компании и попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт.
А слышали как Виктор Люстиг не просто заполнил США фальшивыми купюрами и оставил «в дураках» Аль-Капоне, а ещё продал достояние Парижа — Эйфелеву башню? Дважды, кстати ;). Всё это стало возможным с помощью социальной инженерии.
Всё эти реальные примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке. Играя на личных качествах человека или отсутствие профессиональных (недостаток знаний, игнорирование инструкций и так далее), киберпреступники буквально «взламывают» человека.
Самые популярные методы социальной инженерии
Атака на человека может производиться по многим сценариям, но существует несколько наиболее распространённых техник работы злоумышленников.
Фишинг
Чувство, на котором играют: невнимательность
Метод сбора пользовательских данных для авторизации — обычно это массовые рассылки спама по электронной почте. В классическом сценарии на почту жертвы приходит поддельное письмо от какой-то известной организации с просьбой перейти по ссылке и авторизоваться. Чтобы вызвать больше доверия, мошенники придумывают серьёзные причины для перехода по ссылке: например, просят жертву обновить пароль или ввести какую-то информацию (ФИО, номер телефона, банковской карты и даже CVV-код!).
И вроде бы, человек всё делает так, как сказано в письме но… он попался! Преступники продумали каждый его шаг, именно поэтому им удаётся заставлять людей делать то, что они хотят.
Подробнее о том, как распознать сайт-подделку и защититься от фишинга можете прочитать в этом посте.
Троян
Чувство, на котором играют: жадность
Вирус не зря получил своё название по принципу работы троянского коня из древнегреческого мифа. Только приманкой здесь становится email-сообщение, которое обещает быструю прибыль, выигрыш или другие «золотые горы» — но в результате человек получает вирус, с помощью которого злоумышленники крадут его данные. Почему этот вид кражи данных называют социальной инженерией? Потому что создатели вируса хорошо знают, как замаскировать вредоносную программу, чтобы вы наверняка кликнули по нужной ссылке,скачали и запустили файл.
Кви про кво
Чувство, на котором играют: доверчивость
Или «услуга за услугу», от латинского «quid pro quo». Используя этот метод, злоумышленник представляется сотрудником службы технической поддержки и предлагает исправить возникшие неполадки в системе, хотя на самом деле проблем в работе ПО не возникало. Жертва верит в наличие неисправностей и, выполняя указания хакера, лично передаёт ему доступ к важной информации.
Претекстинг
Чувство, на котором играют: доверчивость
Ещё один приём, к которому прибегают киберпреступники, называется претекстинг (действие, отработанное по заранее составленному сценарию). Чтобы завладеть информацией, преступник выдаёт себя за известное вам лицо, которому якобы необходима ваша информация для выполнения важной задачи.
Социальные инженеры представляют сотрудниками банков, кредитных сервисов, техподдержки или вашим другом, членом семьи — человеком, которому вы по умолчанию доверяете. Для большей достоверности они сообщают потенциальной жертве какую-либо информацию о ней: имя, номер банковского счёта, реальную проблему, с которой она обращалась в эту службу ранее. Общеизвестный пример — чёрные «call-центры», когда заключённые под видом сотрудников крупных банков звонят гражданам и обманом заставляют перевести деньги. Самый яркий случай произошёл в «Матросской Тишине», где мошенники обманом получили 7 миллионов рублей.
Обратная социальная инженерия
Чувство, на котором играют: доверчивость, невнимательность
Методика направлена на то, чтобы жертва сама обратилась к социальному инженеру и выдала ему необходимые сведения. Это может достигаться несколькими путями:
Внедрение особого ПО
Поначалу программа или система работает исправно, но потом происходит сбой, требующий вмешательства специалиста. Ситуация подстроена таким образом, чтобы тем специалистом, к которому обратятся за помощью, оказался социальный хакер. Налаживая работу ПО, мошенник производит необходимые для взлома манипуляции. А когда взлом обнаруживается, социальный инженер остаётся вне подозрения (он ведь наоборот помогал вам).
Реклама
Злоумышленники могут рекламировать свои услуги как компьютерных мастеров или других специалистов. Жертва обращается к взломщику сама, а преступник не только работает технически, но и выуживает информацию через общение со своим клиентом.
Как защититься?
Если вы не хотите стать очередной жертвой социальных инженеров, рекомендуем соблюдать следующие правила защиты:
Надеемся, что наш пост поможет вам защитить себя от мошенников. Мы всегда готовы поделиться полезным опытом!
И подписывайтесь на рассылку нашего блога — впереди много полезных статей!
Что такое социальная инженерия — понятие, примеры, методы
Что такое социальная инженерия?
Социальная инженерия — это совокупность психологических и социологических приемов, технологий и методик, направленных на получение конфиденциальной информации о личности. При этом категория мошенников, которая специализируется на использовании этих приемов на практике, называется социальными инженерами.
При этом сам термин «социальная инженерия» появился достаточно давно, а также активно использовался. Этот термин получил широкую популярность в 90-е годы, когда американский консультант по компьютерной безопасности — Кевин Митник написал целую серию книг на данную тему, где подробно описывались способы воздействия на человека. В 2001 году была выпущена его книга «Искусство обмана», где он всему миру рассказал о вполне реальных историях — как со стороны жертвы, так и со стороны мошенника.
Примеры использования социальной инженерии
Наиболее распространенным примером применения социальной инженерии является телефонный звонок, в рамках которого мошенник представляется кем-то другим (например, сотрудником банка), чтобы узнать конфиденциальную информацию, или сообщить, что денежные средства жертвы находятся в опасности. К сожалению, на данный момент проблема заключается в том, что многие люди продолжают попадаться на эти уловки, и довольно часто верят мошеннику, переводя денежные средства на другие счета, думая, что таким образом спасают их. На самом деле они лишаются денег, а осознание того, что произошло, приходит далеко не сразу.
Так же в последнее время стал распространенным такой приём социальной инженерии — мошенники присылают письмо жертве о том, что у них имеются компрометирующие фото или видео, которые они грозятся разослать друзьям и знакомым, если не получат денежные средства на определенный счет (как правило, анонимный). В письме они сообщают, что это фото и видео были сняты, т.к. мошенники получили доступ к веб-камере жертвы, например, на ноутбуке. При этом, никаких реальных фото у них, как правило, нет. Но само подобное сообщение вызывает у человека сильный стресс, и находятся те, кто решают заплатить.
Ещё одним распространенным примером социальной инженерии в современном мире является ситуация, когда мошенник пытается узнать входные данные от Интернет-кабинета банковского счета человека. С этой целью он звонит жертве, представляясь сотрудником службы безопасности банка, требуя назвать пароль, поскольку в банковской системе имеются серьезные проблемы в системе организации. Чтобы окончательно убедить жертву, он также называет определенную должность, инициалы и имя, а также собственные полномочия. При этом история может дополняться различными фактами, чтобы как можно быстрее убедить жертву. Полученная информация будет использована для немедленной кражи средств со счета жертвы.
Как работает социальная инженерия?
Основная задача социального инженера заключается в сборе всей важной конфиденциальной информации о потенциальной жертве, чтобы получить доступ к различным онлайн-аккаунтам. При этом процесс организован таким образом, чтобы жертва добровольно рассказала эти данные.
Социальные инженеры в качестве основных инструментов воздействия используют неуверенность, небрежность и невежество людей, чтобы заставить их разглашать жизненно важную информацию. По мере расширения онлайн технологий люди все чаще становятся жертвами подобных взломов.
Большинство схем могут быть описаны следующими тремя шагами:
Основные методы социальной инженерии
Сразу стоит отметить, что существует достаточно широкий перечень методов социальной инженерии, в рамках этого материала мы выделим только наиболее распространенные из них:
Как защитить себя от подобной угрозы?
Наиболее важный совет в подобных ситуациях – постоянно сохранять бдительность. Мошенники могут попытаться обмануть вас в любой момент, потому нужно всегда анализировать происходящее, не торопиться с принятием решений. К примеру, если вам звонят неизвестные по телефону или звонит неизвестный номер, никогда не сообщаете никакой личной информации, особенно, если она связана с финансами. В том случае, если вы получаете письмо на электронную почту, не скачивайте сразу приложений из него, а также внимательно читайте все ссылки и описание, поскольку это может быть обманка.
Также следует выполнять следующие рекомендации:
В том случае, если у вас возникли подозрения, что ваши данные могли украсть, рекомендуется немедленно сменить все пароли от аккаунтов.
Социальная инженерия – что это такое и как с этим бороться
Цифровые технологии эпохи миллениума изменили наши представления о безопасности и конфиденциальности. Полагаясь на разработчиков, создающих инструменты, которые помогают предотвратить большое количество уязвимостей сети, мы забываем о том, что самым большим врагом безопасности остается сам человек, точнее, допускаемые им ошибки. Именно эти ошибки использует социальная инженерия, чтобы завладеть ценными данными, причем самое ужасное заключается в том, что преступники получают эту информацию с нашего же согласия.
Что такое социальная инженерия?
Социальная инженерия представляет собой добывание ценной информации в ходе взаимодействия с человеком и злоупотребления его доверием. Преступники спекулируют на человеческой психологии, вынуждая жертв допускать ошибки, пренебрегая элементарными правилами безопасности, в результате чего секретная информация попадает в руки мошенников.
Перед тем как запустить психологическую атаку, преступник собирает информацию. Затем он/она переходит ко второму этапу – необходимо войти в доверие к жертве. А добившись этого, при помощи различных манипуляций преступник получает всю необходимую ему информацию – цель достигнута! Таким образом, весь процесс атаки социальной инженерии основан на человеческих ошибках.
Техники социальной инженерии
Социальная инженерия очень часто используется преступниками для внедрения в нужную им организацию. Завладев доступом к защищенным данным, киберпреступники могут свободно поникать в файловые системы компаний, не оставляя никаких следов. Возможность такой атаки существует везде, где есть шанс человеческой ошибки или участия человека. Техники социальной инженерии можно разделить на четыре основных вида.
Приманки
В ходе таких атак преступники используют против своих жертв качества их характера, чаще всего — жадность и желание легкой наживы. Злоумышленник заманивает жертву в ловушку, обещая золотые горы, однако в итоге человек теряет контроль над своими учетными данными или система оказывается инфицированной вредоносным ПО.
Попасть в такую ловушку намного легче, чем кажется на первый взгляд. Приманки могут быть двух видов – физическая приманка и интернет-приманка. В первом случае преступник использует инфицированный флеш-накопитель, оставив его на видном месте. После того, как жертва подключает флешку к офисному или домашнему компьютеру, происходит автоматическая установка вредоносной программы, разрушающей компьютерную систему.
В случае с онлайн-вариантом пользователь загружает вредоносное ПО с интернет-сайта. Чтобы заставить вас загрузить файл, используются разные методы – сообщения электронной почты, фейковый интернет-сайт или рекламные объявления, направляющие на вредоносный сайт.
Претекстинг
Еще один прием, к которому прибегают киберпреступники, называется претекстинг. Чтобы завладеть информацией, преступник выдает себя за известное вам лицо, которому якобы необходима ваша информация для выполнения важной задачи.
В качестве такого лица может выступать ваш друг, член семьи или знакомый. Однако чаще всего преступники играют роль должностных лиц — полицейских, представителей налоговых органов и других людей, обладающих полномочиями задавать конфиденциальные вопросы. Чтобы быть убедительнее, преступник часто просит жертву предварительно подтвердить личность.
При помощи этого вида атак можно завладеть любой важной и ценной информацией, включая идентификационные номера, страховые коды, адреса, номера телефонов и даже банковские счета.
Фишинг
Фишинг является одним из самых известных видов психологических атак. Преступник атакует жертву через сообщения электронной почты или фейковые интернет-сайты. Фишинговые схемы в большинстве случаев организуются от имени известных или знакомых жертве организаций.
Предположим, вы получили электронное письмо от известной вам компании, поэтому вам не приходит в голову проверить электронный адрес отправителя. Вы просто открываете письмо, читаете о том, что политика конфиденциальности компании изменилась, и вам необходимо пройти по предоставленной в сообщении ссылке и изменить свой пароль. Вы все делаете так, как сказано в письме и… поздравляем вас! Вы попались. Преступники продумали каждый ваш шаг, именно поэтому им удается заставлять людей делать то, что они хотят.
Ложный антивирус
Ложный антивирус представляет собой вид приложения, установив которое, пользователь получает сообщения о «заражении» компьютера или мобильного устройства. Жертва думает, что компьютер подвергся атаке или инфицирован вирусом, а программа предлагает загрузить ПО, которое должно удалить этот вирус. Естественно, загруженное ПО проблемы не решает, а еще больше разрушает компьютер.
Распространенным примером фиктивного антивируса являются всплывающие окна, содержащие надписи типа «Ваш компьютер заражен, чтобы удалить вирус, пройдите по ссылке». Даже если вы не будете загружать предлагаемый файл, вас перенаправят на инфицированный сайт, который автоматически загрузит вредоносный код в вашу систему. Фиктивный вирус также распространяется через сообщения электронной почты, извещающих о фейковых угрозах и вынуждающих покупать бесполезные сервисы.
Как защититься от атак
Существует множество способов, которые не позволят вам стать жертвой атак социальной инженерии. Прежде всего, в любой ситуации необходимо сохранять присутствие духа и хладнокровие, а также помнить, что:
Что такое социальная инженерия и почему ее используют мошенники
С распространением новых возможностей для широкого повседневного общения, таких как социальные сети и мессенджеры, параллельно развивалась социальная инженерия.
Возникла она, в том числе, как методология овладения вниманием пользователей соцсетей. И в то же самое время социальная инженерия породила новую волну угроз для неискушенных пользователей Интернета.
Давайте рассмотрим, что же это такое социальная инженерия, почему ее любят разные мошенники, а также как можно с этим бороться, придерживаясь простых правил.
Согласно Википедии, социальная инженерия — совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии.
Социальная инженерия — это современный способ манипулирования людьми для доступа к их личной и конфиденциальной информации.
Вообще манипуляции в наше время очень популярны, и не только в Интернете, на эту тему имеется масса «изысканий». Но интернетовские манипуляции хороши еще и тем, что позволяют скрывать манипуляторов, сохранять их инкогнито.
Существует много разных вариантов для проведения обозначенных манипуляций, например, фишинг и иные формы.
Почему мошенники любят использовать социальную инженерию
Причина проста – мошенники, манипулируя людьми, участвующими в социальной жизни посредством компьютерных сетей, собирают информацию об интересующих их лицах и используют эту информацию для получения исключительно собственной выгоды. Мошенников, которые специализируются в этой области, называют еще социальными хакерами.
Можно выделить распространенный способ воздействия на человека из области социальной инженерии, который активно используют мошенники. Первым делом – «втереться» в доверие к человеку. После этого практически сразу «огорошить» его неожиданной информацией или новостью, весьма похожей на правду.
Чтобы потенциальная жертва не успела опомниться, мошенники зачастую требуют от нее принятия быстрых решений и поспешных действий. И делают все возможное, чтобы потенциальная жертва мошенничества оказалась в условиях, когда взвешенные, продуманные решения принимать нет времени.
Тут тоже уместно вспомнить сакраментальную фразу из старого классического фильма «Бриллиантовая рука»: «Шеф, все пропало! Гипс снимают! Клиент уезжает! А-а-а!». В общем, некогда тут думать, нужно действовать здесь и сейчас, основываясь ТОЛЬКО на имеющейся информации, не более того.
Такими «фишками», заставляющими людей действовать немедленно и решительно, может служить, например, «липовая» информация о снятии денег с банковской карты.
Также это может быть «липовый» запрос на изменение пароля доступа к личному кабинету жертвы, откуда можно будет уже без участия владельца распорядиться деньгами или какими-то данными.
Бывает так, что жертве «приносят» информацию о якобы случившейся трагедии с родными и близкими. Могут применяться иные подобные весьма неожиданные приемы, приводящие жертву в состояние немедленной готовности к действиям. Главная цель для мошенника состоит в том, чтобы жертва оставалась «с горячей головой», а не в состоянии холодного, неподвластного чужой воле разума.
Социальная инженерия как раз призвана разрабатывать подобные приемы. Конечно, ее основная цель не есть мошенничество. Но тут все обстоит примерно так же, как, например, с атомной энергией, которая может служить источником энергии, а может вызывать катастрофические разрушения. Смотря кто и с какими целями, будет применять достижения науки, в нашем случае – разработки в социологии.
Что же интересует тех, кто на практике применяет социальную инженерию, но не во благо, а во зло? Сведения, которые запрашивают мошенники (все-таки так и будем их называть, другого эпитета они не заслуживают), отличаются в зависимости от способа мошенничества. По большей части информация касается
Многие пользователи интернета, вероятно, на своем опыте уже знакомы с социальной инженерией и, к сожалению, далеко не с самой лучшей ее стороны. Приведем далее некоторые из «классических» приемов мошенников, которые используют методы воздействия из социальной инженерии.
Нигерийские письма
Вспомните электронные письма от кого-то, находящегося, например, в Нигерии. Отправитель такого письма неожиданно разбогател и по какой-то необъяснимой причине хочет положить деньги на ваш банковский счет.
Если вы «клюнете» на это предложение, вас в конечном итоге убедят передать личную банковскую информацию. Ведь как без этой информации вашему неожиданному спонсору перевести вам деньги?! А мошенник сможет затем использовать полученную от вас информацию не для перевода денег вам, а исключительно для кражи денег у вас.
В наши дни не так уж много так называемых нигерийских мошенников. Данный прием стал своеобразной классикой мошенничества, и теперь мало на кого он производит «неизгладимое впечатление». Приходится мошенникам, используя методы социальной инженерии в своих целях, разрабатывать другие способы «законного отъема (увода) денег у населения». Так они сами считают, разделяя мнение небезызвестного Остапа Бендера.
Телефонный звонок из широко известной фирмы
Процесс, похожий на нигерийский вариант, может происходить по следующему сценарию. Вы получаете телефонный звонок от кого-то, утверждающего, что он из фирмы Microsoft или какой-либо другой компании, что на слуху. Он сообщает, что компания отслеживает вирус или другое вредоносное программное обеспечение. И в настоящее время такой зловред как раз находится на вашем компьютере или смартфоне.
Далее он просит вас посетить конкретную веб-страницу. Если вы согласитесь получить подобную «помощь» в борьбе с несуществующей угрозой, и перейдете по указанному интернет-адресу. Оттуда вам нужно будет загрузить программное обеспечение. И эта программа, загруженная вами же, позволит мошенникам получить удаленный доступ к вашему смартфону или компьютеру.
Например, благодаря установке одной из предложенных программ TeamViewer или Ammyy на ваш компьютер и с вашей же помощью, ваш телефонный собеседник, он же якобы «благодетель» и радетель за чистоту вашего компьютера, получит удаленный доступ к вашему компьютеру, причем, откуда угодно и когда угодно.
Сами по себе программы TeamViewer или Ammyy хорошие, потому что позволяют пользователю получить удаленный доступ к своему компьютеру из любой точки в мире. Заметьте, к СВОЕМУ компьютеру, а не к ЧУЖОМУ компьютеру! Но в руках мошенников такие программы опасны, ибо с их помощью они могут распоряжаться ЧУЖИМ компьютером, как своим собственным.
Допустим, что пользователь установил ту программу, что ему посоветовал телефонный собеседник якобы из известной компании. После этого мошенник прокручивает массу бесполезной и никому не нужной информации на экране пользователя. Ровно также «наперсточники» отвлекают внимание зазевавшегося прохожего разными бесполезными действиями и пустыми разговорами.
Одновременно с этим «прокручиванием» отвлекающих «картинок», незаметно в фоновом режиме мошенники, оснащенные программой доступа к чужому компьютеру, запускают на том компьютере программное обеспечение для кейлоггинга. Далее запущенная в фоновом режиме программа будет транслировать «куда надо» все нажатия на клавиши клавиатуры компьютера. А значит, все вводимые логины и пароли станут известны злоумышленникам, им даже не придется у вас их «выпытывать» и выспрашивать.
Для ускорения процесса доступа к вашим деньгам, мошенники наверняка даже сами попросят вас войти в свой личный кабинет интернет-банка. Им это нужно, чтобы, во-первых, считать логин и пароль с клавиш компьютера в процессе их ввода вами. И во-вторых, чтобы им наглядно можно было бы убедиться, что ваши логин и пароль работают и позволяют заходить в вашу систему онлайн банкинга. Следом уже с другого компьютера, прямо скажем, безо всякого предупреждения для вас, мошенники самостоятельно зайдут в личный кабинет жертвы, чтобы теперь «правильно» распорядиться чужими деньгами.
Или другой вариант. Мошенник звонит по телефону, представляется сотрудником банка, уверенно называет ваше имя, отчество и спрашивает: «Вы уверены, что ваша банковская карта не потеряна? Срочно проверьте, где она находится». Далее этот якобы сотрудник банка будет говорить про блокировку вашей карты или что-то подобное. А для разблокировки карты вам нужно будет срочно назвать мошеннику все ее реквизиты. В итоге, вы не успеете положить трубку телефона, как все деньги с карты будут списаны.
Вообще, способов телефонного мошенничества с использованием социальной инженерии огромное множество. И появляются чуть ли не ежечасно новые приемы и методы.
«Передо мной лежит Ваша заявка на изменение логина доступа к Вашему личному кабинету – сообщите, пожалуйста, Ваш прежний логин и пароль!»
«С Вашей карты только что была переведена такая-то сумма в Китай в оплату за такой-то товар. Мы немедленно блокировали операцию, но с одновременной блокировкой карты. Давайте разблокируем Вашу карту. Какой у нее номер?»
Всего не перечислишь, ибо подобных фраз, рассчитанных на «быстрые реагирования со стороны потенциальной жертвы, существует великое множество…
Электронные письма или сообщения от друга
Другая распространенная тактика социальной инженерии состоит в том, что мошенник выступает от имени вашего друга. Прикинувшись дальним родственником или другом, он рассылает своим потенциальным жертвам электронные письма или сообщения в соцсети о том, что с ним (другом, родственником) произошло несчастье. Поэтому очень нужна помощь, без промедления.
На самом деле электронная почта друга (дальнего родственника) или его личная страничка в социальной сети перед подобной рассылкой писем были взломаны мошенником. Он таким образом искусно маскируется под известного друга, которому доверяют и которому безусловно верят, в надежде на то, чтобы получить для себя финансовую помощь.
Вместо сообщения «от друга» может быть электронное письмо от вашего банка. Еще бывает срочная просьба о помощи или просьба о пожертвовании в благотворительную организацию.
Будьте осторожны и всегда старайтесь подвергать сомнению информацию, которую получаете. Особенно надо быть внимательным, если это неожиданная для вас информация, не та, что вы ожидали, или вдруг пришла от того, от кого вы НЕ ждали подобной информации.
Главный принцип – не нужно спешить расставаться с деньгами и с важной конфиденциальной информацией о банковских счетах, картах, суммах, операциях, логинах и паролях, пин-кодах, CVC-кодах и т.п. «Нормальные» организации и их представители, будь то настоящие банки и даже правоохранительные органы, никогда не интересуются подобными данными. И уж точно они никогда не запрашивают эту информацию в режиме «здесь и сейчас прямо по телефону, не кладя трубку, срочно и немедленно».
Семь моментов, чтобы противостоять мошенничеству
Вы можете подумать, что вы НЕ из тех, кого может обмануть мошенник. Однако часто мошенники используют новые хитрые способы и средства, чтобы заманить пользователя в свою ловушку.
Мошенники совершенствуются! Часто они являются продвинутыми пользователями или социальными хакерами, которые следят за достижениями в социальной инженерии и в технике, а затем используют свои знания для быстрого обогащения.
Как же можно избежать ловушек, расставляемых мошенниками?
Любые неожиданные предложения – чаще всего фейк
Если вы получили электронное письмо или увидели всплывающее окно на веб-сайте, предлагающие вам какое-то финансовое вознаграждение, то это, скорее всего, фейк (то есть, обман, ловушка).
Аналогичным образом, лотерейные фонды из других стран также являются поддельными, как и сообщения про деньги от так называемого дяди Чарли, который живет в далекой Монголии.
Есть, конечно, наши соотечественники, которым как с неба падают разные наследства от внезапно «воскресших» или обнаружившихся иностранных родственников. Но это очень редкое явление, если говорить о наших людях в целом. Поэтому, сначала лучше не поверить, а усомниться…
Выдержка и пауза
Многие мошенники добиваются, чтобы вы реагировали быстро и в срочном порядке, не успев опомниться. Чтобы принимали решения и выполняли определенные действия, находясь в состоянии «экстаза» от головокружительного предложения или неприятной информации. Не спешите, найдите время, чтобы понять, что происходит. Не поддавайтесь на тактику нажима и высокого давления, основанную на использовании ложной информации и обмана.
Возьмите паузу, чтобы сообразить, что же в конце концов происходит. Для этого сообщите, что вам нужно в течение получаса позвонить, например, другу и посоветоваться с ним.
Не будет лишним набрать в поисковике запрос о вашей ситуации. В интернете можно найти отзывы других пользователей, возможно, попавших в аналогичную ситуацию. Либо получить другую информацию, которая может остановить вас от необдуманных поступков.
Также очень отрезвляет, если одновременно с разговором с мошенником, другой свободной рукой набрать в поисковике номер телефона звонящего. Наверняка можно буде увидеть чуть ли не в первых строках поисковой выдачи данные о номере телефона с предупреждением, похожим на «Внимание, мошенники!». Хотя, конечно, не всегда и компьютер есть под рукой, и хладнокровие подводит. Да и поисковики не все знают про все мошеннические телефонные номера – мимикрируют эти номера, постоянно меняются.
Не вступайте в бой
Возможно, вы уверены, что вводить мошенника в заблуждение – это весело… Поэтому вы говорите ему по телефону, что единственный компьютер, которым вы владеете, – это «Синклер» (очень древняя техника).
Однако не стоит играть с огнем. Он прекрасно знает, что мошенничает. Вы понимаете, что он мошенничает. Поэтому просто положите трубку и не обращайте на него внимания. Игнорирование – хороший способ, чтобы немного остудить пыл мошенника. Вернее, чтобы от него отвязаться, ибо перевоспитать мошенника, переделать его, вдохнуть в него чувства ответственности перед другими людьми – это утопия!
При повторном звонке – такое тоже бывает – можно уже открыто сказать, чтобы больше вам не звонили, несмотря на кажущуюся важность звонка и предлагаемой информации. А то и занести номер телефона звонящего в черный список вашего аппарата. Пусть теперь названивает…
Остерегайтесь вложений
К вложениям электронной почты относятся файлы, которые прикрепляются к письму. Это отличный способ распространения вредоносных программ, вирусов и схем взлома на вашем компьютере.
Допустим, вы получили электронное письмо, в котором утверждается, что вас ждет выгодное предложение. Чтобы его получить, вам нужно всего лишь открыть прикрепленный к письму файл. Увы, скорее всего, это вирус или нечто подобное. Лучше всего удалить письмо с вложением от неизвестного отправителя, НЕ ОТКРЫВАЯ вложенные файлы, несмотря на кажущуюся их привлекательность.
Мошенники научились классно подстраиваться под своих «клиентов». Бухгалтеру они пришлют письмо с информацией о новых планах счетов, которые находятся во вложенном файле.
Менеджеру по продажам пришлют запрос от фирмы, с которой тот давно хотел бы «задружиться» и заключить с ними контракт. Долгожданный «контракт» будет находиться во вложении к письму.
Маркетологу пришлют данные интересующих его исследований, которые даже за деньги не так просто купить. А тут вот они, только открой и посмотри!
Простым людям, не «манагерам» (то есть, не менеджерам), пришлют информацию о лекарстве – панацеи чуть ли не от всех мыслимых и немыслимых заболеваний. Только открой прилагаемую инструкцию или даже вложенный купон на бесплатную покупку «вагона» таких лекарств с правом на перепродажу без лицензии!
Откуда мошенники знают, что нас интересует больше всего на свете? И как они умудряются присылать именно то, что мы «до дрожи» хотим получить, узнать? Ровно так же, как мы получаем вдруг рекламу гусеничного трактора в браузере, чуть ли не сразу после того, как положили трубку мобильного телефона. А в телефонном разговоре с другом (подругой) только что обсуждали «Клавку», что похожа на гусеничного трактора, ибо вламывает на работе, как на пашне. Интересуетесь гусеничными тракторами? Вот вам, пожалуйста, выбирайте!
А уж как техника сама распознает, что мы там по телефону говорим, или в письмах пишем – то отдельная тема для разговора и обсуждения. Распознает, и все тут…
Что же касается тех самых вложений в электронные письма, то ущерб от открытия непроверенных файлов может быть непоправимым в прямом смысле этого слова. «Слезные вирусы», что зашифровывают все данные компьютера. А потом за деньги предлагают все расшифровать назад. Деньги-то заплатить можно, но вот получишь ли обратно «все, что нажито непосильным трудом» – это сомнительно.
Во вложении могут быть «троянские кони», которые сообщают, куда надо, всю конфиденциальную информацию. В первую очередь те же самые логины и пароли, что мы ошибочно предпочитаем сохранять на компьютерах, не надеясь на свою память и записные книжечки. И тому подобное.
Аккуратно нужно быть с вложениями к электронным письмам. Не стоит сразу верить в то, что во вложении находится чудесная, давно разыскиваемая панацея. И вот оно чудо, свершилось! Увы, может оказаться чудо наоборот…
Будьте в курсе
Натан Ротшильд, основатель огромной банковской династии Ротшильдов, как-то сказал фразу, сразу ставшей крылатой: «Кто владеет информацией, тот владеет миром».
Чтобы быть информированным пользователем, найдите официальный сайт вашего банка или кредитной карты компании. Ознакомьтесь там с информацией об известных способах мошенничества. Прочитайте всю информацию о методах и трюках хакеров и вооружитесь этими знаниями до того момента, когда может состояться контакт с мошенником. Чем больше вы знаете, тем меньше вероятность, что вас обманут.
Можно набрать в поисковике запрос: название банка мошенничество. Например, запрос может быть таким: «сбербанк мошенничество». Поисковик в ответ может выдать вам ссылку:
Если уж информация мошенников затронула вас за живое, если все-таки хочется верить в то, что они хотят совершить полезную работу, помочь вам в решении якобы проблем, то опять же стоит взять паузу. И в это время самому позвонить на горячую линию банка, чтобы поинтересоваться, как решить озвученную по телефону проблему. И выяснить это уже с официальным представителем организации (банка) на другом конце телефонной линии.
Все это очень отрезвляет, и позволяет отделить мнимые, надуманные кем-то проблемы от настоящих задач.
Никогда не сообщайте свой пароль
Банк никогда не будет запрашивать ваш пароль, звонить вам и отправлять текстовое сообщение с просьбой ввести пароль. Точно также банк не выясняет у вас другую личную информацию, относящуюся к вашей учетной записи.
Поэтому относитесь ко всем подобным запросам исключительно, как к подозрительным. Не сообщайте свои пароли и данные для доступа к банковской карте – ее номер и CVV код c обратной стороны. Как бы вас не убеждали сделать это немедленно, здесь и сейчас, какие бы аргументы не приводились. Твердо скажите, что вы сами свяжетесь с банком. А при отсутствии твердости в голосе или при наличии сомнений или нежелании конфликтовать, что вообще-то разумно, – просто положите трубку, без объяснений причин.
Затем секунду-другую «отдышитесь» и успокойтесь. Потом найдите (на обратной стороне вашей банковской карты) телефон горячей линии банка, или поищите на его официальном сайте, как правило, в разделе «Контакты». Сами позвоните в банк, чтобы получить разъяснения по поводу якобы возникшей ситуации, которую вам озвучили мошенники.
Поскорее распрощайтесь с теми, кто пытается вас обмануть
Не вступайте в диалог, и тем более в спор, с говорящим на том конце линии. Не пытайтесь его переубедить, и не следуйте его инструкциям. Будьте самостоятельны в принятии единственно правильного решения – закончить разговор здесь и сейчас.
«До свидания!» – это мягкое, но вполне приемлемое завершение несостоявшейся мошеннической схемы. Чем раньше попрощаетесь, тем лучше. Лучше сразу прощаться, как только возникли малейшие сомнения. «Не звоните мне больше!» – это уже более жестко, и тоже вполне допустимо. Наконец, можно просто нажать на кнопку отмены вызова – неплохо и нервам легче, не нужно никого ни в чем убеждать.
А вот, что категорически НЕЛЬЗЯ, так это, например: «Как, неужели моя карта потеряна? Да нет же, вот она, лежит прямо передо мной. Какой номер карты, говорите? Не сомневайтесь это она и есть. Ее номер 222333222333222…»
А кто тут сомневается? Мошенники сомневаются? Или они сомневаются в том, что вы им все расскажете? Если бы сомневались, не звонили бы. Они только и ждут от вас откровений. Именно на такое развитие событий как раз и рассчитывают те, кто использует достижения социальной инженерии во зло другим людям.
Не поддавайтесь! Против такого аргумента бессильна даже «всесильная» и «всевидящая» компьютерная социальная инженерия.
Бесплатная часть из книги «Социальная инженерия и социальные хакеры»
Скачайте бесплатную часть из этой книги с Яндекс.Диска:
Вам НЕ нужно устанавливать на свое устройство Яндекс.Диск для того, чтобы скачать файл с книгой. Достаточно просто нажать на кнопку «Скачать», как показано ниже:
После скачивания появится файл с именем 9353841.a4.zip. Разархиваровать его можно с помощью бесплатной программы 7-Zip. После разархивации появится файла в формате pdf, который можно читать на экране или распечатать на принтере.
Бесплатно можно прочитать 55 страниц из этой книги. Выдержка из этой книги:
«Прием, когда хакер атакует не компьютер, а человека, работающего с компьютером, называется социальной инженерией. Социальные хакеры – это люди, которые знают, как можно «взломать человека», запрограммировав его на совершение нужных действий. В книге описан арсенал основных средств современного социального хакера (трансактный анализ, нейролингвистическое программирование), рассмотрены и подробно разобраны многочисленные примеры социального программирования (науки, изучающей программирование поведения человека) и способы защиты от социального хакерства».
В бесплатной части книги описаны, например, такие интересные моменты, касающиеся социальной инженерии, как «пожар» в кинотеатре, «соляной кризис» и «венки на трассе».
Предлагаю Вам принять участие в голосовании или просто посмотреть его результаты. Спасибо за участие!