Социальная инженерия (Social engineering)
Социальная инженерия (social engineering, социнжиниринг) — это метод манипулирования мыслями и поступками людей. Он базируется на психологических особенностях личности и закономерностях человеческого мышления.
Иногда можно встретить трактовку социальной инженерии как метода несанкционированного получения доступа к секретным данным, что не вполне соответствует действительности: ряд техник психологического воздействия может применяться законно. Впрочем, в наши дни получение закрытой информации, имеющей ценность, все же является одной из основных сфер применения социнжиниринга.
В социальной инженерии есть несколько техник, используемых для достижения поставленных задач. Все они основаны на ошибках, допускаемых человеком в поведении. Например, фишинг применяется для сбора логинов и паролей пользователей путем рассылки писем и сообщений, побуждающих жертву сообщить интересующую злоумышленника информацию. Претекстинг состоит в выдаче себя за другого человека для получения желаемых данных. Такая атака выполняется по телефону или почте. К ней предварительно готовятся, чтобы вызвать доверие пользователя.
Получить информацию о человеке можно через источники с открытым доступом, в основном — из социальных сетей. Одной из техник социальной инженерии является «плечевой серфинг», который применяется в транспорте, в кафе и других общественных местах, позволяющих через плечо жертвы наблюдать за компьютерными устройствами и телефонами. Бывают ситуации, в которых пользователь сам предлагает мошеннику необходимую информацию, будучи уверенным в порядочности человека. В таком случае говорят об обратной социальной инженерии.
Классификация угроз социальной инженерии (social engineering)
Все угрозы, направленные на пользователя посредством социальной инженерии, можно разделить на несколько групп.
- Угрозы, исходящие от использования телефона. Телефон является самым популярным средством общения, поэтому служит отличным инструментом для воздействия на человека. По телефону легко выдать себя за другого, поэтому, применяя актерское мастерство, злоумышленник легко убеждает жертву перевести определенную сумму на банковский счет или сообщить личные данные. Распространены способы выуживания денег посредством сообщений («смишинг») и телефонных звонков о выигрышах в конкурсах или лотереях, просьб о перечислении денег на неотложные нужды. Для безопасности рекомендуется скептически относиться к SMS-сообщениям сомнительного характера, игнорировать приходящие в них ссылки. Необходимо проверять личность абонента, использовать услугу определения номера.
- Угрозы, исходящие от электронных писем (фишинг). По электронной почте могут приходить письма, содержащие ложную информацию от имени банков и других учреждений, вынуждающую переходить по ссылке и вводить свои личные данные. По почте, как и на телефон, могут приходить ложные просьбы о помощи близким людям, сообщения о подарках, выигрышах и прочих бесплатных бонусах, для получения которых необходимо перевести деньги. Обезопасить себя от злоумышленников можно игнорированием писем от неизвестных адресатов.
- Угрозы при использовании службы мгновенного обмена сообщениями. Пользователи быстро оценили удобство мессенджеров. Доступность и быстрота такого способа общения делают его открытым для всевозможных атак. Для безопасности стоит игнорировать сообщения от неизвестных пользователей, не сообщать им личную информацию, не переходить по присланным ссылкам.
Объект воздействия
Социальная инженерия направлена не на компьютерную технику, а на ее пользователя. Интерес представляют все платежеспособные лица, а также пользователи, обладающие ценной информацией, сотрудники предприятий и государственных учреждений.
Метод применяется с целью выполнения финансовых операций, взлома, кражи сведений (например, клиентских баз, персональных данных) и другого несанкционированного доступа к информации. Социальная инженерия помогает конкурентам осуществлять разведку, выявлять слабые стороны организации, переманивать сотрудников.
Источник угрозы
Злоумышленники используют социальную инженерию для получения материальной выгоды или для добычи данных для перепродажи. Социальная инженерия может использоваться в качестве одного из инструментов сложных целевых кибератак.
Источником угрозы могут быть электронные письма, текстовые сообщения в любых мессенджерах, SMS-сообщения и телефонные звонки. Мошенники могут выдавать себя за сотрудников банков и других финансовых организаций, государственных служащих, сотрудников силовых ведомств, интернет-провайдеров, представителей почтовых сервисов и крупных веб-ресурсов и т.п.
Анализ риска
Для защиты компании от мошенничества необходимо обучать персонал распознавать социальную инженерию и правильно на нее реагировать, запретить сотрудникам обмениваться паролями или иметь один общий, обеспечить защиту клиентских баз и другой конфиденциальной информации, применять особую процедуру подтверждения для лиц, запрашивающих доступ к каким-либо данным.
В браузерах появилась опция «антифишинг», предупреждающая посетителей сайта о ненадежности или опасности ресурса. Защититься от угроз, присылаемых в электронных письмах, помогут спам-фильтры. Существует услуга мониторинга, востребованная компаниями, которые наиболее часто подвергаются атакам злоумышленников. Снизят риски и более сложные методы авторизации.