Что такое социальная инженерия (примеры атак)

Социальная инженерия — это тип манипуляции, когда одна сторона выуживает информацию у другой стороны с помощью специальных уловок.

Социальная инженерия в мире информационной безопасности — это тип кибератаки, которая работает, чтобы выудить информацию с помощью уловок и обмана, а не с помощью технологических эксплойтов.

Эти атаки используют человеческие уязвимости, такие как эмоции, доверие или привычки, чтобы убедить людей предпринять определенные действия, например кликнуть мошенническую ссылку или посетить вредоносный веб-сайт.

Хотя социальная инженерия менее изощренна, чем технологичные кибератаки, она может иметь серьезные последствия.

5 наиболее распространенных примеров социальной инженерии

Фишинг: тактика включает вводящие в заблуждение электронные письма, веб-сайты и текстовые сообщения для кражи информации.

Целевой фишинг: электронная почта используется для проведения целевых атак против частных лиц или предприятий.

Приманка: онлайн-атака с применением физической социальной инженерии, которая обещает жертве вознаграждение.

Вредоносное ПО: жертв обманывают, заставляя поверить, что на их компьютере установлено вредоносное ПО и что, если они заплатят, вредоносное ПО будет удалено.

Water-Holing: продвинутая атака социальной инженерии, которая заражает как веб-сайт, так и его посетителей вредоносными программами.

Одна общая нить, связывающая эти методы социальной инженерии, — это человеческий фактор. Киберпреступники знают, что использование человеческих эмоций — лучший способ воровства.

Традиционно компании сосредотачивались на технических аспектах кибербезопасности, но теперь пришло время применить ориентированный на людей подход, который называется социальная инженерия.

Как происходит социальная инженерия?

Киберпреступники понимают, что тщательно сформулированное электронное письмо, голосовая почта или текстовое сообщение может убедить людей перевести деньги, предоставить конфиденциальную информацию или загрузить файл, устанавливающий вредоносное ПО в сети компании.

Рассмотрим этот пример целевого фишинга, который убедил сотрудника перевести 500 000 долларов иностранному инвестору

Благодаря тщательному исследованию целевого фишинга киберпреступник знает, что генеральный директор компании путешествует.
Электронное письмо отправляется сотруднику компании, которое выглядит так, как будто оно пришло от генерального директора. В адресе электронной почты есть небольшое несоответствие, но имя генерального директора написано правильно.

В электронном письме сотрудника просят помочь генеральному директору сделать перевод 500 000 долларов новому иностранному инвестору. В письме используется дружелюбный язык, который убеждает сотрудника в том, что он будет помогать и генеральному директору, и компании.
В электронном письме подчеркивается, что генеральный директор сделал бы этот перевод самостоятельно, но, поскольку она путешествует и у него разница во времени, он не может осуществить перевод средств вовремя, чтобы обеспечить партнерство с иностранными инвесторами.

Не уточняя детали, сотрудник решает действовать. Он искренне верит, что помогает генеральному директору, компании и его коллегам, выполняя такую просьбу.
Через несколько дней пострадавший сотрудник, генеральный директор и коллеги по компании понимают, что они стали жертвой атаки социальной инженерии и потеряли 500 000 долларов.

Примеры атак социальной инженерии

Опытные киберпреступники знают, что социальная инженерия лучше всего работает, когда они сосредоточены на человеческих эмоциях. Воспользоваться человеческими эмоциями намного проще, чем взломать сеть или найти уязвимости в системе безопасности.

Эти примеры социальной инженерии подчеркивают, как эмоции используются для совершения кибератак:

Страх

Вы получаете голосовое сообщение или емейл о том, что в отношении вас ведется расследование по факту налогового мошенничества и что вы должны немедленно позвонить, чтобы предотвратить арест и уголовное расследование. Эта атака социальной инженерии происходит во время налогового сезона, когда люди уже обеспокоены своими налогами. Киберпреступники питаются стрессом и тревогой, которые возникают при подаче налоговой декларации, и используют эти эмоции страха, чтобы заставить людей подчиняться мошенникам.

Жадность

Представьте, если бы вы могли просто перевести 10 долларов инвестору и увидеть, как они вырастут до 10 000 долларов без каких-либо усилий с вашей стороны? Киберпреступники используют основные человеческие эмоции доверия и жадности, чтобы убедить жертв в том, что они действительно могут получить что-то даром. В тщательно сформулированном электронном письме жертвам предлагается предоставить информацию о своем банковском счете, и мол средства будут переведены в тот же день.

Любопытство

Киберпреступники обращают внимание на события, о которых много говорится в новостях, а затем используют человеческое любопытство, чтобы заставить жертв социальной инженерии действовать. Например, после второй авиакатастрофы Boeing MAX8 киберпреступники отправили электронные письма с вложениями, в которых утверждалось, что они содержат утечку данных о катастрофе. На самом деле мошенники же установила на компьютер жертвы версию червя Hworm RAT.

Полезность

Люди хотят доверять друг другу и помогать друг другу. Проведя исследование компании, киберпреступники атакуют двух или трех сотрудников компании с помощью электронного письма, которое выглядит так, как будто оно исходит от менеджера. В электронном письме их просят прислать менеджеру пароль для базы данных бухгалтерского учета, подчеркивая, что он нужен менеджеру, чтобы гарантировать всем своевременную оплату. Электронная почта носит срочный характер, заставляя жертв поверить в то, что они помогают своему менеджеру, действуя быстро.

Острая необходимость

Вы получаете электронное письмо от службы поддержки на веб-сайте онлайн-покупок, который вы часто покупаете, с сообщением о том, что им необходимо подтвердить данные вашей кредитной карты для защиты вашей учетной записи. Недолго думая и доверяя интернет-магазину, вы отправляете не только данные своей кредитной карты, но также свой почтовый адрес и номер телефона. Через несколько дней вам позвонят из компании, выпускающей кредитные карты, и сообщат, что ваша кредитная карта была украдена и использована для совершения мошеннических покупок на тысячи долларов.

Теперь вы понимаете, что такое социальная инженерия и чем она опасна. Будьте бдительны.

Если вас заинтересовала услуга Социальной инженерии, можете смело обращаться к нам hello@herorabbit.com

Leave a Comment