Социальная инженерия (Social engineering)

Социальная инженери это метод, используя который, выполняется управление действиями человека. Метод базируется на особенностях психологического поведения личности, технические средства при этом не задействуются.

Можно встретить трактовку социальной инженерии как метода несанкционированного получения доступа к секретным данным, что не совсем соответствует действительности. Техники социальной инженерии могут применяться вполне законно для того, чтобы человек совершил определенные действия. В нынешнее время цель использования метода во всемирной паутине – получение закрытой информации, имеющей ценность.

Социальная инженерия (Social engineering)

В социальной инженерии есть несколько техник, используемых для достижения поставленных задач. Все они основаны на ошибках, допускаемых человеком в поведении. Например, фишинг применяется для сбора логинов и паролей пользователей путем рассылки писем и сообщений, побуждающих жертву сообщить интересующую информацию. Претекстинг состоит в выдаче жертве себя за другого человека для получения желаемых данных. Такая атака выполняется по телефону или почте. К ней предварительно готовятся, чтобы вызвать доверие пользователя.

Получить информацию о человеке можно через источники открытого доступа, в основном из страниц социальных сетей. Одной из техник социальной инженерии является плечевой серфинг. Он применяется в транспорте, в кафе и других общественных местах, позволяющих через плечо жертвы наблюдать за компьютерными устройствами и телефонами. Бывают ситуации, в которых пользователь сам предлагает мошеннику необходимую информацию, будучи уверенным в порядочности человека. В таком случае говорят об обратной социальной инженерии.

Классификация угроз социальной инженерии (social engineering)

Все угрозы, направленные на пользователя посредством социальной инженерии, можно разделить на несколько групп.

  • Угрозы, исходящие от использования телефона. Телефон является самым популярным средством общения, поэтому служит отличным инструментом для воздействия на человека. По телефону легко выдать себя за другого человека, поэтому, применяя актерское мастерство, злоумышленник легко убеждает жертву перевести определенную сумму на банковский счет или сообщить данные. Распространены способы выуживания денег посредством рассылки сообщений (смишинг) и телефонных звонков о выигрышах в конкурсах, лотереях, просьбах перечисления денег.

Для безопасности рекомендуется скептически относиться к SMS сомнительного характера, игнорировать приходящие в них ссылки. Необходимо проверять личность абонента, использовать услугу определения номера.

  • Угрозы, исходящие от электронных писем (фишинг). По электронной почте могут приходить письма, содержащие ложную информацию от банков и других учреждений, вынуждающую переходить по ссылке и вводить свои личные данные. По почте, как и на телефон, могут приходить ложные просьбы о помощи близким людям, сообщения о подарках, выигрышах и прочих бесплатных бонусах, для получения которых необходимо перевести деньги. Обезопасить себя от злоумышленников можно игнорированием писем от неизвестных адресатов.
  • Угрозы при использовании службы мгновенного обмена сообщениями. Пользователи быстро оценили удобство обмена сообщениями в режиме реального времени с помощью сетей Skype, Yahoo!, ICQ, AIM, IRC и др. Доступность и быстрота такого способа общения делает его открытым для всевозможных атак. Для безопасности стоит игнорировать сообщения от неизвестных пользователей, не сообщать им личную информацию, не переходить по присланным ссылкам.

Объект воздействия

Социальная инженерия направлена не на компьютерную технику, а на ее пользователя. Интерес представляют все платежеспособные лица, а также пользователи, обладающие ценной информацией, сотрудники предприятий и государственных учреждений.

Метод применяется с целью выполнения финансовых операций, взлома, кражи данных, например, клиентских баз, персональных данных и другого несанкционированного доступа к информации. Социальная инженерия помогает конкурентам осуществлять разведку, выявлять слабые стороны организации, переманивать сотрудников.

Источник угрозы

Злоумышленники используют социальную инженерию для получения материальной выгоды или для добычи данных для перепродажи. Социальная инженерия может использоваться в качестве одного из инструментов сложных целевых кибератак.

Источником угрозы могут быть электронные письма, текстовые сообщения в любых мессенджерах, смс-сообщения и телефонные звонки. Мошенники могут выдавать себя за сотрудников банков и других финансовых организаций, государственных служащих, сотрудников силовых ведомств, интернет-провайдеров, представителей почтовых сервисов и крупных веб-ресурсов и т.п.

Анализ риска 

Для защиты компании от мошенничества необходимо обучать персонал распознавать социальную инженерию и правильно на нее реагировать, запретить сотрудникам обмениваться паролями или иметь один общий, обеспечить защиту клиентских баз и другой конфиденциальной информации, применять особую процедуру подтверждения для лиц, запрашивающих доступ к каким-либо данным.

В браузерах появилась опция “антифишинг”, предупреждающая посетителей сайта о ненадежности данного ресурса. Защититься от угроз, присылаемых в электронных письмах, помогут спам-фильтры. Существует услуга мониторинга, востребованная у компаний, наиболее часто подвергающихся атакам злоумышленников. Снизят риски более сложные методы авторизации.