Сьогодні найбільшою загрозою кібербезпеці як великих компаній, так і звичайних користувачів, є методи соціальної інженерії, що застосовують для зламу існуючих засобів захисту. Основною причиною цього є те, що застосування соціальної інженерії не вимагає значних фінансових витрат і досконалого знання інформаційних технологій.
Що таке соціальна інженерія?
Соціальна інженерія – метод несанкціонованого доступу до інформації або до систем зберігання інформації без використання технічних засобів. Дослідження показують, що людям притаманні деякі поведінкові схильності, які можна використати для маніпулювання.
Соціальна інженерія використовує людські слабкості, такі як довіра, страх або жадібність, для отримання доступу до конфіденційної інформації або отримання несанкціонованого доступу до комп’ютерної системи. Більшість зламів систем безпеки відбуваються саме завдяки використанню соціальної інженерії, а не електронному зламу.
Методи соціальної інженерії
Існує багато різних методів соціальної інженерії, але деякі з найпоширеніших включають:
Цілеспрямований фішинг
Або фішинг зі списом (spear phishing) – це вид фішингу, який спрямований на конкретну людину або групу людей. Зловмисники проводять дослідження, щоб дізнатися більше про жертву, наприклад, її ім’я, посаду та компанію, в якій вона працює. Цю інформацію вони використовують для створення більш переконливого фішингового електронного листа.
Фішингові електронні листи зі списом часто містять посилання на підроблену веб-сторінку, яка схожа на реальну веб-сторінку, наприклад, веб-сторінку банку, електронної пошти або соціальної мережі. Коли жертва натискає на посилання, вона перенаправляється на підроблену веб-сторінку, де її просять ввести особисту інформацію, наприклад, номер кредитної картки або паролі.
Наприклад:
Зловмисник дізнається, що жертва працює в компанії XYZ. Він створює фішинговий електронний лист, який виглядає як електронний лист від компанії XYZ. У електронному листі зловмисник повідомляє жертві, що її обліковий запис електронної пошти був заблокований через підозру на шахрайство. Зловмисник просить жертву підтвердити її особисту інформацію, наприклад, пароль для облікового запису електронної пошти.
Фішинг зі списом може бути дуже ефективним методом шахрайства, оскільки він використовує особисту інформацію жертви, щоб створити відчуття довіри. Щоб захиститися від фішингу зі списом, важливо бути обережним з тим, яку інформацію ви розкриваєте незнайомим людям. Якщо ви отримали електронний лист, який здається підозрілим, краще не відповідати на нього і не надавати будь-яку інформацію.
Претекстинг
Претекстинг – це метод соціальної інженерії, який використовує спеціально розроблений сценарій (претекст) для спонукання жертви до розкриття інформації або виконання дій, до яких вона в звичайних обставинах не вдалася б.
Претекстинг часто використовується для отримання конфіденційної інформації, наприклад, даних про кредитну картку або паролів. Зловмисники можуть використовувати претекстинг, щоб зв’язатися з жертвою по телефону, електронній пошті або в соціальних мережах.
Ось приклад претекстингу:
Зловмисник дзвонить жертві і представляється співробітником банку. Він повідомляє жертві, що її кредитна карта була заблокована через підозру на шахрайство. Зловмисник просить жертву підтвердити її особисту інформацію, наприклад, номер кредитної картки та дату народження.
Претекстинг використовує психологічні прийоми, щоб вплинути на поведінку жертви. Зловмисники часто проводять дослідження, щоб дізнатися більше про жертву та її слабкі місця. Це дозволяє їм розробити більш переконливий претекст.
Ін’єкція людського фактора
Ін’єкція людського фактора (HFIP) – це метод соціальної інженерії, який використовує людські помилки, щоб отримати несанкціонований доступ до комп’ютерної системи. Зловмисники часто використовують цей метод, щоб отримати доступ до облікових записів або конфіденційної інформації.
Ін’єкція людського фактора може бути здійснена різними способами. Один із способів – це використання підроблених електронних листів або веб-сайтів, які містять помилки. Коли жертва відкриває підроблений електронний лист або переходить на підроблений веб-сайт, вона може зробити помилку, наприклад, ввести неправильний пароль або надати особисту інформацію.
Інший спосіб здійснення ін’єкції людського фактора – це використання соціальних прийомів, щоб змусити жертву зробити помилку. Наприклад, зловмисник може зателефонувати жертві і представитися співробітником компанії. Зловмисник може використовувати різні прийоми, щоб змусити жертву розкрити особисту інформацію, наприклад, повідомити жертві, що її обліковий запис був заблокований або що вона виграла приз.
Як здійснюються атаки з використанням соціальної інженерії?
Існує декілька ознак, які допоможуть ідентифікувати таку атаку. Зокрема, одна з них — погана граматика та правопис. Ще однією помітною ознакою є почуття терміновості, яке зловмисники намагаються створити для зменшення пильності жертви. Будь-який запит щодо конфіденційних даних також має викликати підозру: авторитетні компанії ніколи не просять відправити їм паролі або інші особисті дані електронною поштою або текстовими повідомленнями.
Деякі з ознак, які допоможуть виявити соціальну інженерію:
1. Погана граматика або занадто офіційна лексика.
Зазвичай, зловмисники не приділяють увагу деталям та надсилають повідомлення з помилками, пропущеними словами та поганою граматикою. Ще один мовний елемент, який може сигналізувати про можливу атаку — це формальні привітання та фрази.
2. Дивна адреса відправника.
Більшість зловмисників не витрачають час на створення правдоподібного імені або домена відправника. Отже, якщо електронний лист надходить з адреси, яка є набором випадкових чисел та символів, або одержувач взагалі невідомий, варто перемістити цей лист до папки спам.
3. Почуття терміновості.
Злочинці часто намагаються залякати жертв за допомогою фраз, які викликають тривогу, наприклад «терміново надішліть нам свої дані, або ваша посилка буде скасована» або «якщо ви не оновите свій профіль зараз, ми його видалимо». Банки, компанії з доставки, державні установи і навіть внутрішні відділи, зазвичай, спілкуються нейтрально і лише констатують факт. Тому, якщо у повідомленні намагаються змусити одержувача діяти дуже швидко, це може бути ознакою атаки.
4. Запит на конфіденційну інформацію.
Офіційні установи та навіть відділи компанії, зазвичай, не вимагають надсилання конфіденційної інформації електронною поштою або телефоном, якщо про це попередньо не домовлялися.
5. Щось звучить занадто добре, щоб бути правдою.
Це стосується розіграшів подарунків у соціальних мережах, а також електронних листів з унікальними та обмеженими пропозиціями.
Хто такий “соціальний хакер”?
Для кращого усвідомлення характеру атаки, потрібно звернути увагу на образ соціального інженера та навички якими він має володіти.
Соціальний хакер вмiє психологiчно впливати на людину, цим самим манiпулювати нею та спонукати її до певних дiй. Також він має бути навчений збирати необхiдну iнформацiю будь-якими способами та володіти глибокими знаннями у сфері кібербезпеки, у сфері ІТ, комп’ютерних систем та мереж. Зазвичай злодій гарно орієнтується в термінології, володіє професійним жаргоном та знає внутрішні порядки компанії-жертви.
Як захиститись від загроз, основою яких є соціальна інженерія?
Експерти з кіберзахисту стверджують, що “основним способом захисту від соціальної інженерії є навчання. Персонал підприємства повинен мати чіткі інструкції щодо спілкування зі сторонніми людьми“.
Не менш важливим є те, що поширення мобільних технологій, які дають змогу користувачам підключатись до корпоративних мереж вдома або в дорозі, є серйозною загрозою для компаній. Організація безпеки систем співробітників, які працюють вдома, у більшості випадків, обмежується технічними засобами. Політика безпеки повинна вимагати, щоб домашні системи даних працівників були захищені брандмауерами (міжмережевими екранами), які блокуватимуть спроби зловмисників отримати доступ до мережі ззовні.
Ось кілька порад, які допоможуть вам захиститися від соціальної інженерії:
- Будьте обережні з тими електронними листами, які ви відкриваєте. Якщо ви не впевнені, чи є електронний лист від надійного джерела, краще не відкривати його.
- Будьте обережні з посиланнями, які ви натискаєте. Якщо адреса веб-сайту виглядає підозріло, краще не переходити на нього.
- Перевіряйте адреси веб-сайтів, на які ви переходите. Якщо адреса веб-сайту виглядає підозріло, краще не переходити на нього.
- Не вступайте в діалог з так званими “представниками служби безпеки банку”, які дзвонять з невідомих номерів. Краще покладіть слухавку та перетелефонуйте самі в підтримку банку, щоб дізнатися, чи є якісь проблеми з вашими картками.
- Не відповідайте на СМС, які повідомляють вас про виграш, особливо, якщо ні в яких розіграшах ви не брали участь.
- Не поспішайте приймати будь-які рішення стосовно операцій з вашими грошима. Зупиніться, покладіть трубку, подумайте, порадьтеся з людьми, яким ви довіряєте. Шахраї зазвичай тримають людину “на дзвінку” та змушують терміново робити якісь дії, не даючі можливість тверезо подумати.
- Використовуйте антивірусне програмне забезпечення та брандмауер. Ці програми можуть допомогти захистити ваш комп’ютер від шкідливого програмного забезпечення, яке може бути використано для соціальної інженерії.
Якщо ви вважаєте, що стали жертвою соціальної інженерії, негайно змініть свої паролі та зв’яжіться зі своїм банком або іншою компанією, яку ви вважаєте, що могли атакувати.
