Безопасность в интернете. Часть 2. Могучий арсенал социальной инженерии

Интернет-безопасность не ограничивается созданием надежного пароля и повышенным вниманием к подозрительным ссылкам. Иногда мошенники действуют весьма нетривиальными способами.

Что такое социальная инженерия

Отчасти с методами социальной инженерии вы уже знакомы по предыдущей статье. Фишинг — один из самых популярных, а еще преступники любят выуживать личную информацию из собеседников, втираясь в доверие. И проявляют тем больше выдержки и терпения, чем богаче или важнее «птица», которую они обрабатывают.

Как вы уже, наверное, догадались, термин «социальная инженерия» подразумевает набор методов манипулирования людьми, которые используются для получения конфиденциальной информации и доступа к аккаунтам и различным ресурсам. Эти методы основаны главным образом на психологических приемах и эксплуатируют такие свойства человеческой натуры, как доверие, невнимательность, страх, любопытство, жадность. Социальная инженерия проявляет себя в самых разных формах и может быть очень эффективной, так как о человеческий фактор разбиваются самые надежные системы программной защиты.

Коварные методы социальной инженерии

Чтобы защитить себя от таких психических атак, необходимо быть внимательным и осторожным при общении с незнакомыми людьми и не доверять непроверенным источникам информации. А еще нужно неуклонно повышать свою осведомленность в этом вопросе, чем мы сейчас с вами и займемся. Итак вперед, к самим методам, ведь предупрежден — значит вооружен!

• Фишинг. Суть фишинговых атак проста — разными способами заставить пользователя сообщить регистрационные данные. Например, человек получает email от злоумышленника, очень похожий на те электронные письма, которые рассылает какой-то известный сервис. Человек не замечает подмены, переходит по ссылке, и его данные оказываются в руках мошенников. Одной из разновидностей является голосовой фишинг, когда жертв «разводят», представляясь сотрудниками банков или кредитных организаций. Но бывает и так, что звонит якобы знакомый, причем голос может быть действительно похож, ведь многие охотно разговаривают с незнакомцами по телефону. А их в этот момент записывают, а затем синтезируют голос.
• Смишинг, или СМС-фишинг. Мошенники рассылают сообщения на мобильные телефоны. Один из вариантов: просьба перевести небольшую сумму на благотворительность. Также это может быть тревожное сообщение: например, жертву пугают нецелевым списанием средств с карты. Разумеется, чтобы «проверить» списание, человек должен сообщить личные данные: ФИО, номер паспорта и, конечно, код из СМС.
• Пугалки, или Scareware. Чаще всего это всплывающие сообщения, которые выскакивают на посещенном сайте. Например, «мы обнаружили, что ваш компьютер заражен — чтобы решить проблему, закажите наше ПО». Вот только то ПО, которое человек получит от «доброжелателей», будет действительно заражено шпионской программой, которая без труда выкрадет всю нужную информацию с компьютера жертвы.
• Приманка, или Baiting. Те, кто работает в офисе, вполне могут попасться на этот трюк. А схема банальна до неприличия: злоумышленник оставляет зараженную флешку, будто «забыв» ее. Ничего не подозревающий, но очень любопытный офисный работник, забирает ее и запускает у себя на компьютере. Вот и всё, теперь компьютер под контролем злодея.

Прямые психические воздействия

Чтобы вынудить человека выдать конфиденциальную информацию, порой вовсе не нужно действовать через компьютер или устройства. Например, злоумышленник может попробовать убедить вас в том, что:

• ему нужна важная информация для выполнения не менее важной задачи от руководства;
• он оказывает вам ценную услугу — например, решает проблему безопасности или оптимизации работы вашего ПК;
• вы ему интересны как личность или как объект романтического влечения.

Перечислять все способы обмана можно долго, но если уяснить суть, то с их предотвращением справиться нетрудно.

Как защититься от таких атак

Во многом здесь помогут советы из предыдущей части:

• будьте осторожны с письмами и ссылками в письмах и сообщениях;
• используйте двухфакторную аутентификацию;
• защищайте свои устройства антивирусным и антишпионским ПО;
• выбирайте пароль посложнее и периодически меняйте его.

А еще, как говорил классик, «никогда не разговаривайте с неизвестными». Чем меньше информации о вас (текстовой, графической, голосовой) будет у злоумышленника, тем меньше он сможет навредить вам или вашим знакомым. Поэтому поменьше пишите, поменьше говорите и ничего не пересылайте тем, в ком вы не уверены. А если есть сомнения в личности уже известного собеседника, не постесняйтесь проверить его и задайте вопрос, на который можете знать ответ только вы двое. Лучше быть подозрительным, чем обманутым, тем более если обман может коснуться не только вас, но и ваших близких или коллег.