Главная / О Центре / Новости / Социальная инженерия







Что такое социальная инженерия и как противостоять атакам мошенников?

18 июля 2024

«Неужели ты сразу не понял, что тебе звонят мошенники? Я вот сразу догадался» — слышали ли вы подобные фразы? В эру цифровых технологий мы часто сталкиваемся с тем, что наши персональные данные «утекают». И часто бывает, что даже самые бдительные и образованные люди поддаются на уловки. А все потому, что методы социальной инженерии становятся искуснее, прицельнее, а технологии — совершеннее. Звонок от сына, попавшего в аварию, или письмо от работодателя с просьбой заполнить данные для получения премии — злоумышленники знают наши слабые места и активно используют психологические приемы для получения желаемого.

В этой статье, предназначенной для широкого круга читателей, доступно рассказываем об основных принципах и методах социальной инженерии, ее видах, а также о способах защиты от мошеннических схем.

ЧТО ТАКОЕ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

Социальная инженерия это метод манипуляции и обмана, используемый злоумышленниками для получения конфиденциальной информации или доступа к защищенным системам.

Ее истоки уходят к временам Древнего Рима и Древней Греции — тогда были популярны специально подготовленные ораторы, которые участвовали в дипломатических переговорах и были способны убедить собеседника в том, что он не прав. Социальная инженерия как метод атаки на информационные системы появилась в середине XX века. Одним из первых известных случаев была история Фрэнка Абангалса, который в 1960-х годах выдавал себя за пилота авиакомпании Pan Am и летал бесплатно по всему миру, обманывая персонал аэропортов. Его история послужила основой для фильма «Поймай меня, если сможешь» с Леонардо Ди Каприо в главной роли.

В 1980-х годах социальная инженерия стала широко использоваться хакерами для получения доступа к компьютерным системам. Они применяли методы манипуляции и обмана, чтобы убедить сотрудников компаний предоставить им доступ к защищенным данным. Такие методы обмана не всегда связаны с техническими навыками взлома — часто для успешной реализации достаточно хорошего понимания психологии и умения манипулировать людьми.

С течением времени социотехнический фактор стал все более распространенным и разнообразным. С развитием интернета и социальных сетей злоумышленники нашли новые способы манипулировать людьми для получения конфиденциальной информации.
ВИДЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
i
Рассмотрим самые популярные техники и методы социальной инженерии:

  • Фишинг (от fishing – рыбалка) — это одна из наиболее распространенных и эффективных техник. Злоумышленники отправляют поддельные электронные письма или сообщения, которые выглядят как официальные запросы от банков, компаний или госучреждений. Цель фишинга — обмануть пользователей и заставить их предоставить личные данные, такие как пароли, три цифры на обороте карты и другую конфиденциальную информацию.

  • Фейковые звонки (вишинг, от voice fishing – голосовой фишинг) — эта техника включает в себя использование телефонных звонков для манипуляции людьми. Злоумышленники могут представляться сотрудниками банков, правоохранительных органов или других организаций и убеждать жертв предоставить им личные данные или совершить финансовые операции.

  • Перехват информации, или «плечевой серфинг»— это метод, при котором злоумышленник наблюдает за действиями жертвы, чтобы получить доступ к ее конфиденциальной информации. Например, злоумышленник может следить за вводом пароля или пин-кода на клавиатуре или экране устройства.

  • Физический доступ — эта техника включает в себя использование доверия или дружелюбного обмана для проникновения в ограниченные зоны или помещения. Злоумышленник может проскользнуть за спиной сотрудника в здание или офис.

  • Квид про кво (от лат. quid pro quo — то за это) — обращение злоумышленника в компанию, например, с предложением помочь в решении технических проблем.  В процессе «решения» злоумышленник вынуждает сотрудника совершать определенные действия на рабочем компьютере, позволяющие атакующему получить доступ к системе. Иногда сотрудники готовы поделиться конфиденциальной информацией за какую-либо услугу или вознаграждение.

  • Инженерия общения — этот метод социального инжиниринга основан на создании вымышленной истории или правдоподобного предлога для получения доступа к конфиденциальной информации. Злоумышленники могут выдавать себя за сотрудников компании или других лиц и убеждать жертв предоставить им доступ к данным.

  • Подбрасывание носителей информации («дорожное яблоко»)  — метод, при котором злоумышленник подбрасывает цифровой носитель информации в место, где его может найти потенциальная жертва. Жертва, обнаружив носитель, может подключить его к своему устройству и автоматически предоставить злоумышленнику доступ к системе.
По статистике реализованных Центром кибербезопасности УЦСБ проектов, каждый третий сотрудник рискует запустить вредоносный код на рабочем компьютере,
а каждый пятый вводит учетные данные в поддельную форму аутентификации

ПОСЛЕДСТВИЯ УСПЕШНЫХ АТАК

Последствия успешной атаки могут быть катастрофическими как для компании, так и для частного лица. В случае успешной атаки на компанию последствиями могут быть утечка конфиденциальных данных, финансовые потери, повреждение репутации и даже закрытие бизнеса.

Для частного лица последствия могут быть также серьезными. Возможна кража персональных данных, денежных средств, доступа к личным аккаунтам и даже «кража личности». Злоумышленники могут использовать номера телефонов, даты рождения, адреса и другие личные сведения, чтобы получить доступ к финансовым счетам, оформить кредиты или даже совершить преступления от имени пострадавшего лица.

Осведомленность о методах и практиках социальной инженерии поможет компаниям и частным лицам укрепить кибербезопасность и предотвратить подобные атаки в будущем.

ТЕНДЕНЦИИ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ —
К ЧЕМУ ГОТОВИТЬСЯ

С увеличением числа онлайн-платформ, социальных сетей и цифровых технологий можно ожидать, что методы злоумышленников будут развиваться в будущем.

Вот несколько тенденций, которые можно ожидать в области социального инжиниринга:

1.   Использование искусственного интеллекта (ИИ)
Атакующие используют ИИ для создания более реалистичных и персонализированных атак. ИИ может помочь в анализе данных о потенциальных жертвах, создании поддельных профилей и генерации более убедительных сообщений.

2.   Мультиплатформенные атаки
С развитием технологий для мобильных устройств и интернета вещей можно ожидать, что атаки будут охватывать не только компьютеры, но и мобильные устройства, умные дома, автомобили и другие устройства, подключенные к интернету.

3.   Фишинг через социальные сети
С увеличением популярности социальных сетей можно ожидать роста атак фишинга через эти платформы. Атакующие могут использовать ложные аккаунты или скомпрометированные аккаунты для обмана пользователей.

4. Социальная инженерия в облаке
С ростом облачных технологий и хранения данных в облаке можно ожидать, что атакующие будут использовать социальный инжиниринг для получения доступа к конфиденциальным данным, хранящимся в облаке.

ПРАКТИЧЕСКИЕ СОВЕТЫ —
КАК НЕ ПОПАСТЬ В ЛОВУШКУ СОЦИАЛЬНЫХ ИНЖЕНЕРОВ

Начнем с бытового списка, который может пригодится многим:

1. Будьте бдительны и не доверяйте непроверенным источникам информации.
2. Не разглашайте личные данные, пароли или информацию о финансах по телефону или по электронной почте.
3. Проверяйте подлинность запросов на предоставление информации, особенно если они поступают от неожиданных или неизвестных источников.
4. Используйте сложные пароли и двухфакторную аутентификацию для защиты своих аккаунтов.
5. Будьте осторожны в социальных сетях: не разглашайте слишком много личной информации и не приглашайте незнакомцев в свой круг общения.
6. Следите за своими финансовыми операциями и быстро реагируйте на подозрительную активность на своих счетах.
7. Если у вас возникли подозрения на атаку мошенников, сообщите об этом своему банку или компетентным службам безопасности.
8. Воспользуйтесь услугой у мобильных операторов блокировкой спам-звонков или определителем номера с функцией отслеживание нежелательных звонков.

А вот  ряд рекомендаций для корпоративного применения — то, о чем стоит позаботиться в компаниях:
1. Организуйте обучение сотрудников основам кибербезопасности и способам распознавания фишинговых писем и сайтов.
2. Обязательно используйте антивирусное программное обеспечение и регулярно обновляйте его.
3. Обеспечьте проверку и защиту корпоративной электронной почты — используйте средства защиты, фильтрации спама и проверки вложений и ссылок перед их открытием.
4. Применяйте двухфакторную  аутентификацию: для повышения безопасности при входе в системы и аккаунты.
5. Проводите регулярный мониторинг и обновление систем защиты, включая брандмауэры, обновления операционных систем и программного обеспечения.
6. Разработайте и внедрите политики безопасности информации, которые будут включать процедуры реагирования на инциденты безопасности и обучение сотрудников.
7. Ограничьте доступ к чувствительным данным и регулярно проверяйте права доступа.
8. Проводите аудиты и проверки наличия уязвимостей в системах для выявления возможных слабых мест.

ОБУЧЕНИЕ СОТРУДНИКОВ —
КАК СФОРМИРОВАТЬ КОРПОРАТИВНУЮ ОСОЗНАННОСТЬ

Использование платформ по обучению навыкам безопасного поведения в сети Интернет становится важным элементом цифровой грамотности. Из проверенных нами платформ можем рекомендовать  решения от компаний Start X и Phishman.
Такие платформы предлагают обширный набор материалов и уроков, которые помогают пользователям разобраться в основных принципах безопасности в сети, узнать о типичных угрозах и способах их предотвращения. Они также дают рекомендации по созданию надежных паролей, защите личной информации и обеспечению безопасности при использовании публичных Wi-Fi сетей.

Использование такой платформы поможет слушателям осознать важность безопасности в сети Интернет, приобрести необходимые знания и навыки для защиты себя и своей личной информации в онлайн-среде.

Обучение сотрудников организовано через проведение тренировок навыков безопасной работы в онлайн-среде и контроль уровня полученных знаний. Кроме того, платформы предоставляет возможность отслеживать наличие уязвимостей в клиентских приложениях и реализует другие функции, направленные на повышение уровня безопасности в организации. Все это помогает укрепить защиту данных и информации, обеспечивая более надежное функционирование бизнес-процессов и защиту конфиденциальности информации.

Среди основных курсов, которые есть на платформах, можно отметить обучение по безопасной работе с электронной почтой, обучение основам информационной безопасности для пользователей, мобильной безопасности, физической безопасности, безопасности удаленной работы, правилам безопасной работы с паролями, защите информации, использованию электронной подписи, безопасной работе с сайтами (веб-сервисами). Платформы предоставляют возможность загружать собственные курсы, специально разработанные для обучения сотрудников в соответствии с уникальными потребностями организации. Это позволяет создавать персонализированные образовательные программы и обеспечивать максимальную адаптацию курсов к конкретным задачам и требованиям компании.

Некоторые платформы предоставляют функционал для имитации фишинговых атак на сотрудников компании. Эти имитированные атаки создаются с учетом потребностей Заказчика и могут быть уникальными для каждой компании. После каждой имитированной фишинговой атаки доступен отчет или статистика, которые помогают анализировать результаты и корректировать программы обучения для различных групп сотрудников. Также есть возможность создавать новые шаблоны атак и редактировать.

Благодаря применению специальной образовательной платформы автоматизируются многие повседневные задачи. Например, можно устанавливать расписание для обучения сотрудников или для проведения определенных событий. Кроме того, можно планировать имитированные фишинговые атаки, устанавливая параметры и время их проведения. Автоматизация этих процессов помогает оптимизировать ресурсы на управление безопасностью и обучение персонала в организации.

ВЫВОДЫ

Методы социальной инженерии остаются распространенными методами киберпреступности. Важно понимать, что защита от злоумышленников требует не только технических мер безопасности, но также информирования и обучения сотрудников и пользователей, постоянного мониторинга угроз.

Для предотвращения атак необходимо проводить аудиты безопасности, применять передовые технологии защиты и следить за последними тенденциями в области кибербезопасности. Только комплексный подход к защите информации может обеспечить надежную защиту от атак методами социальной инженерии и сохранность конфиденциальных данных.


Евгений Новоселов, старший инженер направления «Автоматизация ИБ», УЦСБ

Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы