Жертвой может стать каждый
Одним из самых «надежных» методов современных кибермошенников является социальная инженерия — совокупность приемов и манипуляций, направленных на получение незаконного доступа к информации и включающих в себя психологическое воздействие на человека. Если говорить простыми словами, злоумышленники пользуются слабостями и доверчивостью своих жертв, чтобы достичь желаемого результата.
По данным Positive Technologies,
во II квартале 2018 года в 25% всех кибератак злоумышленники использовали именно методы социальной инженерии.
Больше всего от нее пострадали частные пользователи (34%), государственные органы (13%) и финансовая отрасль (11%).
Как рассказал «Газете.Ru» руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин, несмотря на растущее число сложных атак, заточенных под конкретную организацию и ее сотрудников, история с массовыми атаками рядовых пользователей остается более чем актуальной.
Обыватели гораздо меньше осведомлены о техниках социальной инженерии. Для атак почти всегда используются одни и те же способы — рассылки по электронной почте, социальным сетям, мессенджерам, SMS. Сообщения могут быть как отправлены от незнакомых отправителей, так и от друзей адресата. Злоумышленники могут заранее заразить гаджет жертвы вредоносным программным обеспечением (ВПО), а затем рассылать сообщения с «зараженными» ссылками уже от ее имени.
Не фишингом единым
Кибермошенники пользуются разнообразными техниками социальной инженерии. Одна из самых базовых методик носит название «фишинг». Ее механика довольно проста: пользователю отправляют ссылку по почте или SMS на страницу входа, например в социальную сеть. По словам Бабина, ссылка будет выглядеть практически идентично оригиналу, но, например, будет иметь лишнюю букву в имени домена.
Например, летом 2018 года преступники создали шесть идентичных сайтов «Активный гражданин», где за участие в опросе обещали выплатить 65 тыс. руб. После прохождения опроса участникам предлагалось активировать аккаунт за 170 руб., однако никакого вознаграждения никто из них не получил.
Пользователям также могут прислать ссылку на обновления банковского приложения, при установке которого они расстанутся со своими сбережениями. Так, например, было с трояном Asacub, который распространялся с помощью MMS-сообщения, предлагая просмотреть фото по ссылке, где при клике загружалось вредоносное ПО.
Другой техникой является вишинг, или голосовой фишинг. Техника почти идентична фишингу, однако с той лишь разницей, что злоумышленники пытаются получить информацию с помощью голоса.
Нередко, когда техники комбинируют, например, присылают сообщение от имени банка о том, что карта пользователя заблокирована и оставляют свой номер телефона.
Затем, если пользователь позвонил, просят назвать секретные данные: кодовое слово, данные паспорта и любую другую приватную информацию, с помощью которых потом пытаются украсть деньги со счета.
Метод, при котором мошенник представляется кем-то другим, например, сотрудником банка, называется претекстинг. Как пояснил «Газете.Ru» специалист отдела технического сопровождения продуктов ESET Russia Борис Соболев, злоумышленник, использующий такой метод, после непродолжительной беседы просит назвать ФИО и кодовое слово для продолжения разговора, тем самым получая конфиденциальную информацию жертвы.
Существует и такая техника, как плечевой серфинг. Ее часто применяют в общественном транспорте, лифтах, и других общественных местах с большим скоплением людей. Злоумышленник через плечо жертвы наблюдает за ноутбуками или телефонами, таким образом, получая приватную информацию, например, пароли, которые пользователь вводит для входа в банковское приложение.
Не стоит недооценивать и сбор информации из открытых источников — многие пользователи даже не задумываются о том, сколько информации о себе они оставляют в интернете.
Это могут быть данные о дате рождения, отправленные в соцсети фотографии с вечеринки, профили на сайтах знакомств или поиска работы. Чаще всего эти данные находятся в открытом виде, и для их сбора не требуется особых умений.
Чувства побеждают разум
Между кибер- и обычными мошенниками нет принципиальной разницы — они используют одинаковые манипулятивные тактики, разница лишь в том, что кибермошенники для своих афер применяют еще и технологии, сообщил «Газете.Ru» глава представительства Avast в России и СНГ Алексей Федоров.
«Например, злоумышленники могут позвонить сотрудникам компаний по телефону и, представившись специалистом техподдержки, получить важные данные или заставить собеседника совершить нужное действие. Звонок рано утром в воскресенье с просьбой срочно явиться на работу явно застанет врасплох. Когда же сотруднику скажут, что можно просто продиктовать свой пароль, чтобы «специалисты» разобрались во всем сами, — многие с радостью соглашаются», — рассказал эксперт.
Киберпреступники здесь используют давление на базовые эмоции для повышения эффективности своих атак — страх, жадность, надежду и прочие. Дав волю своим чувствам, люди часто забывают об элементарных правилах безопасности и открывают файл с вредоносной программой.
Что же нужно делать, чтобы не попасться на крючок социальной инженерии? ИБ-эксперты рекомендуют не открывать письма и не переходить по ссылкам от неизвестных адресатов, которые кажутся подозрительными. Кроме того, не стоит выкладывать слишком много своих персональных данных в интернет, так как ими могут воспользоваться злоумышленники. Также необходимо своевременно обновлять программное обеспечение и ОС на всех своих устройствах, чтобы успешно противостоять существующим угрозам.