Социальная инженерия: что это, методы, виды и приемы с примерами мошеннических атак

Представьте, что крепкая система безопасности — это замок с десятками кодов и камер. И тут приходит человек, звонит в домофон и представляется курьером. Или почтальоном. Или уверяет, что ключ от двери забыл. И его впускают! Разумеется, принципы социальной инженерии, метафору которой мы только что описали, работают не настолько просто. В этом тексте как раз и расскажем, что это за явление, чем опасно и как не пострадать.

Автор: София Янская редактор "Вести.ru"

Павел Карасев Эксперт в области ИБ

Аня Давыдова Гипнолог

Ника Болзан Психолог

Юрий Драченин Замгендиректора Staffcop

Определение социальной инженерии: что это такое простыми словами

Какой бы совершенной ни была система безопасности, в ней есть как минимум одна серьезная уязвимость — человек. Именно им, вернее, человеческими слабостями (доверие, страх, спешку, неуверенность или жажду помощи) манипулируют социальные инженеры. Цель такого поведения — получить доступ к конфиденциальной информации, ресурсам или системам, минуя технические средства защиты.

Проще говоря, вместо того, чтобы взламывать компьютеры, злоумышленники "взламывают" людей — заставляют их добровольно раскрыть нужные данные или выполнить определенные действия.

Причем, как объяснил Павел Карасев, бизнес-партнер компании "Компьютерные технологии", спикер российских и международных конференций по ИТ и ИБ, основатель проекта по бесплатному повышению осведомленности сотрудников малого и среднего бизнеса по вопросам информационной безопасности ибграмотность.рф:

Метод работает, потому что мы устаем, отвлекаемся, не любим сомневаться в авторитетах и боимся выглядеть подозрительными. Звонок из "банка" или письмо от "начальника" в мессенджере — это уже часть повседневности. Все, что нужно преступнику, — это создать видимость знакомой ситуации и немного поторопить. В таких условиях мозг действует автоматически, без анализа. Именно этого от нас и добиваются мошенники.

Название и суть метода

Термин возник еще в XX веке, но в сфере информационной безопасности стал особенно актуален с 1990-х годов. Его популяризировал известный хакер Кевин Митник. Он утверждал: "Мне было проще позвонить человеку и попросить пароль, чем пытаться его взломать".

Собственно, это про:

• обман и манипуляции ради получения выгоды;
• психологическое воздействие, а не хакерские приемы;
• замену или дополнение к техническим атакам.

Как работает и где применяется

Аня Давыдова, гипнолог, магистр психологии МГУ, автор франжипанинга реальности и теории о гипнотипах личности, рассказала:

Злоумышленники знают, как воздействовать на подсознание и использовать слабости. Вот 15 наиболее распространенных методов, которые они применяют:

1. Создание чувства срочности.
2. Игра на эмоциях (страх, вина, радость).
3. Использование авторитетов.
4. Ложное доверие.
5. Обманчивые обещания.
6. Психологическое давление.
7. Поток информации (информационный перегруз).
8. Социальное доказательство (подтверждение от "друзей").
9. Деформация реальности (искажение фактов).
10. Недостаток сна и отдыха.
11. Скрытая манипуляция через вопросы.
12. Использование фальшивых идентичностей.
13. Эмоциональная привязка.
14. Создание иллюзии выбора.
15. Демонстрация "эксклюзивности" предложения.

Используются приемы социальной инженерии:

• В кибератаках — чтобы получить логины, пароли, доступ к системам.
• В офлайн-среде — например, проникновение на охраняемый объект под видом сотрудника.
• В корпоративной среде — для получения доступа к внутренним данным компаний.
• В мошенничестве — звонки от "службы безопасности", SMS о "выигрыше", просьбы о помощи, доставка цветов и так далее.

В чем опасность

Социальную инженерию трудно распознать: не всегда очевидно, что это мошенничество. Причем от уровня технической защиты реализация не зависит — как мы писали выше, скомпрометировать ее можно за счет человеческого фактора. Не говоря уже о том, что применять ее можно как массово, так и точечно, — с негативным исходом разного масштаба — от стресса и финансовых потерь до утечек данных и срыва работы компании.

Виды социальной инженерии

Есть много техник, каждая из которых по-своему эксплуатирует человеческие эмоции и слабости — доверие, страх, спешку или любопытство. Разберем их подробно в этом разделе.

Фишинг

Одна из массовых форм социальной инженерии.

Суть: мошенник рассылает поддельные письма, сообщения или ссылки, которые выглядят как официальные (от банков, сервисов, коллег).

Цель — заставить жертву:

• перейти по вредоносной ссылке;
• ввести логин и пароль на фальшивом сайте;
• скачать зараженный файл.

Вишинг и смишинг

Вишинг — пример вида фишинговых атак через звонки, а смишинг — через SMS или мессенджеры.

Цель — создать ощущение срочности и вызвать панику, чтобы жертва раскрыла личную информацию или совершила нужное действие.

Спир-фишинг и клон-фишинг

Вести.Экономика

Если описанные выше способы были массовыми, то эти считаются персонализированными: атака конкретного человека или организации и копия настоящего письма (например, предыдущей переписки), но с замененной ссылкой или вложением соответственно.

Претекстинг

Мошенник выдумывает сценарий (претекст), чтобы получить доверие и нужную информацию, и под видом "сотрудника из IT-отдела", "юриста компании" или "нового клиента" узнает у жертвы конфиденциальные детали.

Quid pro quo

Злоумышленник обещает помощь, доступ или бонусы, а взамен просит выполнить действие — что-то ввести или установить (как правило, это "что-то" вредоносное).

Scareware

Жертве демонстрируют фальшивое предупреждение, например, о том, что ее устройство заражено. В результате в панике человек соглашается "срочно установить антивирус" (вредоносное ПО).

Watering Hole

Хакер сначала изучает, какие сайты посещает его цель — например, сотрудники конкретной компании или отрасли. Затем он взламывает один из таких сайтов и внедряет вредоносный код. Когда нужные пользователи заходят на этот сайт, их устройства автоматически заражаются — без их ведома.

Обратная социальная инженерия

Злоумышленник сначала создает проблему ("ломает" устройство), а затем предлагает помощь — в итоге пострадавшие сами дают ему доступ.

Возникает вопрос — в чем отличие от других методов социальной инженерии. Все очень просто: жертва сама обращается к атакующему, а не наоборот. Как будто это ее инициатива, а значит, мошенника вроде бы и не в чем обвинить.

Baiting

Жертве предлагают что-то заманчивое ("приманку") — бесплатные программы, флешку и так далее. Только за такими подарками скрывается намерение заразить устройство вирусами или получить доступ к личным данным.

"Дорожное яблоко"

Тоже "приманочный" метод социальной инженерии: в определенном месте специально оставляют зараженный носитель (флешка, диск или даже смартфон) и ждут, пока кто-то "подберет" и воспользуется.

Tailgating

Если выше мы описывали виртуальные методы, то этот — физический. Выглядеть он может так: злоумышленник проникает в охраняемое помещение, следуя за настоящим сотрудником. Часто — с поддельным бейджем или под предлогом "забыл пропуск". А что он будет делать дальше и через какое время его заметят, — неизвестно.

Методы социальной инженерии

В предыдущем разделе мы описали виды атак. А методы — это конкретные приемы воздействия на человека, а именно — поведенческая психология и манипуляции:

• ложь,
• обман,
• убеждение,
• запугивание,
• игра на чувствах.

Цель — вывести человека из состояния критического мышления, поскольку, когда человек эмоционально уязвим — он менее внимателен, не перепроверяет факты.

Эмоциональное давление

Это попытка спровоцировать быструю, иррациональную реакцию. Часто используются такие эмоции, как:

• страх;
• вина
• паника;
• жалость.

Манипуляции доверием и спешкой

Злоумышленник создает видимость авторитетности (например, притворяется начальником, техподдержкой, службой безопасности) и навязывает срочность:

• "Нужно [сделать что-то] прямо сейчас!".
• "От этого зависит безопасность всей системы!".
• "Я тороплюсь, давай без лишних вопросов".

Подделка доверенных источников

Мошенники маскируются под то, чему мы обычно доверяем:

• сайты банков, почты, знакомого бренда (фишинг);
• письмо якобы от коллеги или руководителя (спир-фишинг);
• поддельный телефонный номер, совпадающий с реальным.

Признаки атаки социальной инженерии

Источник: unsplash.com

Главная сложность социальной инженерии — она часто выглядит убедительно и безобидно. Именно поэтому важно уметь замечать косвенные сигналы и детали, которые выдают попытку атак.

А о том, что с ними делать, мы рассказывали в тексте о цифровой безопасности.

Странные e-mail и номера

• Дополнительные символы: support@paypa1.com вместо paypal.com
• Необычные домены: @gmail.com вместо корпоративного @company.com
• Телефонные номера без кода страны, с редкими префиксами.
• Адреса, написанные большими буквами или транслитом.

Совет: всегда наводите курсор на ссылку, не переходя по ней, и проверяйте домен.

Срочность, страх и обман

Как отметила психолог, эксперт-практик, исследователь, автор собственных методик по работе с психологическими травмами Ника Болзан:

К наиболее популярным уловкам мошенников относятся:

• Срочность. Примеры: "Ваша карта заблокирована", "Осталась одна минута", "Это последний шанс".
• Игра на страхе. "Если вы не подтвердите, ваш счет будет аннулирован".
• Маска авторитета. "Я из службы безопасности", "Это проверка от руководства".
• Сочувствие. "Нужна помощь близкому человеку".

Социальные инженеры всегда спешат. Они давят на эмоции, чтобы человек не успел подумать.

Совет: когда слышите "срочно", когда вам становится страшно и так далее — сделайте паузу.

Нарушение конфиденциальности

pixabay.com

Если кто-то просит информацию, на которую не имеет права, — это тревожный знак. Это могут быть вопросы о внутренних процессах компании, просьбы сообщить пароли, коды, PIN или уточнить персональные данные, а также призывы установить какое-то ПО или предоставить удаленный доступ.

Важно: настоящие компании и службы поддержки никогда не просят таких данных.

Ложное чувство безопасности

Иногда все выглядит слишком официально, грамотно, узнаваемо. Это делается для того, чтобы усыпить бдительность. К типичным уловкам относят:

• официальный стиль письма, логотипы, подписи;
• ссылки на реальные регламенты или события (например, "в связи с обновлением политики конфиденциальности");
• обращение по имени, знание должности или других деталей (особенно в спир-фишинге).

Как себя вести

Если вы сомневаетесь, стали ли жертвой социального инженера, Юрий Драченин, заместитель гендиректора Staffcop, посоветовал:

Всегда включайте внутренний "режим проверки". Если вдруг звонит директор с личного номера, спросите себя, почему именно мне и разве он не может решить вопрос сам. Любое неожиданное обращение — особенно от незнакомца или "начальства" — должно вызвать паузу. Если почувствовали подвох — не стесняйтесь прервать звонок или остановить переписку. Дальше действуйте по штатной цепочке: обратитесь к своему непосредственному руководителю, перескажите ситуацию и уточните, был ли запрос реальным. Запомните правило, когда руководитель высшего звена обращается напрямую, обходя вашего менеджера, это почти всегда тревожный сигнал. Сначала пауза и верификация, потом — действия.

Примеры социальной инженерии

• Фишинг. Сотрудник получает e-mail якобы от своего банка. Письмо выглядит официально: есть логотип, фирменные цвета, подпись. В тексте говорится, что кто-то проводил подозрительные действия со счетом, и предлагается пройти по ссылке для подтверждения личности. А на самом деле ссылка ведет на поддельную страницу, где жертва вводит логин, пароль и SMS-код. Этого достаточно, чтобы злоумышленники получили полный доступ к счету.
• Baiting. Сотрудник находит флешку на территории офиса, подключает ее — и автоматически запускает вирус, который мгновенно заражает сеть компании.
• Обратный подход. Хакер сначала вызывает сбой в работе компьютера (например, через вредоносное расширение в браузере), а затем сам звонит сотруднику и предлагает помощь как "представитель IT-службы". Пользователь с радостью соглашается, дает удаленный доступ — и сам открывает дверь злоумышленнику.

Как защититься

Как мы уже подчеркнули, занимающиеся социальной инженерией люди атакуют не компьютеры, а человека. Поэтому и защита должна быть в первую очередь "человеческой": знания, осознанность, внимание.

Павел Карасев подчеркнул:

Ошибочно думать, что такие атаки проходят только с наивными пользователями. На самом деле особенно уязвимы те, кто уверен, что их не обмануть. Люди с опытом, грамотные, знающие терминологию часто не замечают, как попадают в ловушку, потому что атака выстроена точно: в нужный момент, с нужным тоном, через знакомый канал.

Обучение и информированность

Источник: unsplash.com

• Реальные виды атак и их признаки.
• Советы по распознаванию фишинга, вишинга и других техник.
• Четкие инструкции, как реагировать на подозрительные сообщения.
• Обучение "рефлексу паузы": не действовать мгновенно, а думать.

Детей пяти лет и старше, по словам Ани Давыдовой, нужно научить:

• Распознавать свои эмоции и чувства других, чтобы лучше понимать, когда они находятся под давлением или манипуляцией.
• Задавать вопросы и анализировать информацию.
• Считывать невербальные сигналы, такие как тон голоса или язык тела, чтобы лучше понимать намерения других людей и избегать манипуляций.
• Осознавать, что они могут влиять на свою реальность.

Проверка источников и личности

Что важно уточнять:

• кто вам пишет или звонит;
• с какого адреса или номера;
• имеет ли человек право запрашивать такую информацию.

Для этого рекомендуется обращать внимание на e-mail, а не только на имя отправителя, задавать уточняющие вопросы и сверяться с официальными контактами (например, с сайта или CRM).

Использование технических решений

• спам-фильтры — отсеивают фишинговые письма;
• антивирусы — блокируют вредоносные сайты и вложения;
• системы многофакторной аутентификации (MFA) — даже если пароль украден, получить доступ без подтверждения не удастся;
• системы DLP и мониторинга поведения — позволяют быстро отследить подозрительную активность.

Минимизация цифрового следа

Чем больше о вас можно найти в интернете — тем легче подстроить правдоподобную атаку.

Поэтому постарайтесь:

• ограничить количество личной и рабочей информации в открытом доступе (особенно в социальных сетях);
• закрыть профили, скройте даты рождения, номера телефонов, e-mail;
• не публиковать рабочие контакты, внутренние документы, фото с пропусками и экранами.

Часто задаваемые вопросы

Что относится к основным проявлениям социальной инженерии?

Это действия, при которых злоумышленник с помощью обмана, убеждения или давления заставляет человека передать информацию, выполнить команду или нарушить правила безопасности. Объединяет их то, что атака ориентирована на человека, а не на систему.

Объектом атаки в социальной инженерии является …?

…Сам человек — его доверие, внимание, неосведомленность или эмоциональное состояние. Это могут быть:

• сотрудники компании (особенно с доступом к конфиденциальной информации);
• клиенты банков и сервисов;
• технические специалисты;
• обычные пользователи соцсетей.

Цель атаки — заставить человека совершить нужное действие: сообщить пароль или код из SMS, установить вредоносное ПО, предоставить физический доступ, перевести деньги.

То есть, вместо "взлома системы" используется манипуляция поведением человека.

Что такое социальная инженерия в контексте информационной безопасности?

Это способ получения доступа к защищенной информации через обман, манипуляции и психологическое давление на человека, а не через взлом программных средств. В него могут входить:

• убеждение выдать логины и пароли;
• подделку доверенных писем и сайтов;
• создание чувства срочности или авторитетности;
• обман для получения удаленного доступа к устройству.

Почему это опасно:

• мошенничество трудно выявить на ранней стадии, особенно если атака персонализирована;
• злоумышленники обходят даже самые надежные технические меры защиты, — ведь человек сам открыл "дверь";
• в 90% утечек данных замешан человеческий фактор — это подтверждают отчеты мировых компаний, которые занимаются кибербезопасностью.

Как называется разновидность социальной инженерии, при которой жертва сама предлагает свою помощь?

Это проявление обратной социальной инженерии.

В отличие от обычной социальной инженерии, где злоумышленник инициирует контакт, при обратной атаке жертва сама обращается к нему, думая, что получает помощь или поддержку.

Как это работает:

1. Злоумышленник вызывает проблему — например, сбой системы, зависание, странное уведомление.
2. Пострадавшая сторона вынуждена обратиться за помощью, чтобы выйти из этой ситуации.
3. Мошенник представляется специалистом, который может помочь, например, звонит "сотрудником IT-отдела" или другим "помощником".
4. Жертва сама просит помощи и в процессе передает контроль над системой, данными или действиями.

Этот метод социальной инженерии особенно коварен, потому что жертва ощущает, что сама все контролирует, — и это повышает уровень доверия к атакующему и риск "успешной" атаки.