Соціальна інженерія - що це?

Соціальна інженерія, або нейролінгвістичне програмування, є загальним терміном для різних підходів, щоб змусити людей думати або робити те, що ви хочете.

Можливо, вам буде цікаво ознайомитися з нашими іншими антивірусними засобами:
Trojan Killer, Trojan Scanner.

Що таке соціальна інженерія | Методи нападу та запобігання | Gridinsoft

Соціальна інженерія

КОМАНДА GRIDINSOFT
Деякі люди мають природний талант переконувати інших робити щось або думати так, як вони хочуть. Деякі кажуть, що це через харизму та ораторські здібності. Деякі звинувачують у довірливості людей. Але наслідки ті самі – і вони рідко приносять щось позитивне пасивній стороні.

Соціальна інженерія - це маса підходів і технік, які описують способи впливу на думки та дії інших. Це можуть бути як окремі особини, так і натовпи. Ці методи, як правило, акцентують увагу на проблемах і пропонують обране як рішення цієї проблеми. Завдяки розвитку комунікацій стало елементарно проводити заходи соціальної інженерії – у месенджерах, соціальних мережах, електронною поштою чи навіть телефоном. Соціальна інженерія – це специфічний метод прямої реклами.

Соціальна інженерія

У сфері кібербезпеки соціальна інженерія відіграє велику роль у поширенні зловмисного програмного забезпечення. Його універсальність дозволяє хакерам використовувати його як для кібератак на корпорації, так і для масових спам-кампаній проти окремих осіб. А загальна кількість інженерних методів дозволяє зробити його ефективним у різних середовищах. Це також відносно легко застосувати - все, що вам потрібно, це текст, який буде мотивувати жертву або навіть змусити її відреагувати. Жодного складного програмного забезпечення, жодної надії на випадкові події – він ідеальний для будь-якої категорії кіберзлочинців.

Як працює соціальна інженерія?

Важливо зазначити, що ми розглянемо методи соціальної інженерії, які використовуються під час кібератак. Є багато інших методів, але вони здебільшого схожі, а загальні відмінності криються в тому, як вони використовуються. Як ми зазначали вище, кіберзлочини з використанням суб’єкта можуть здійснюватися через електронну пошту або у вигляді повідомлень по різних каналах зв’язку (месенджери, форуми, внутрішньоігрові чати). Однією з найпоширеніших цілей соціальної інженерії є змусити людей довіряти вам і робити те, що ви говорите. Це не миттєва річ і може зайняти дні або навіть тижні. Але варто витратити певний час, коли націлені на велику аудиторію. Очевидно, що чим більше довіри ви завойовуєте - тим більше шансів, що люди з'їдять вашу наживку. Однак чим більше людей ви намагаєтеся обдурити, тим більше часу вам потрібно.

Соціальна інженерія

Під час здійснення спуфінгу електронної пошти вам потрібно набагато менше зусиль, щоб змусити когось повірити вам. Ви не збираєтесь на прямий контакт – все, що вам потрібно зробити, це замаскувати своє повідомлення як повідомлення від справжнього відправника. Деякі аналітики навіть відокремлюють спуфінг від соціальної інженерії, оскільки він надто простий. Але над усіма іншими практиками вам доведеться працювати набагато більше. Давайте розглянемо кілька прикладів соціальної інженерії, які мали місце в реальному житті.

Приклади атак соціальної інженерії:

1. Фішинг

Найпоширеніший спосіб застосування тактики соціальної інженерії полягає в тому, що хакери використовують оманливі електронні листи, веб-сайти та текстові повідомлення, щоб викрасти конфіденційну особисту чи організаційну інформацію від нічого не підозрюючих жертв.

2. Цільовий фішинг

Це шахрайство електронною поштою використовується для цілеспрямованих атак на окремих осіб або компанії. Цільовий фішинг є складнішим, ніж звичайний масовий фішинговий електронний лист, тому вимагає поглибленого дослідження потенційних цілей та їхніх організацій.

Ми згадали спуфінг електронної пошти як один із прикладів елементарної соціальної інженерії. Однак під час різних кібератак траплялися набагато складніші випадки. Під час зараження компанії через підроблене повідомлення електронної пошти вам потрібно виконати багато роботи, щоб змусити читача повірити, що повідомлення та відправник є законними. Наприклад, шахрай може представитися офіційним дистриб'ютором певної компанії і запропонувати вам укласти з нею договір. Зрештою ви отримаєте файл із «умовами та деталями договору» – документ Word або таблицю Excel, яка містить макрос. Останній є одним із елементів, які найчастіше можна використовувати продуктів Microsoft. Хакери додають сценарій завантаження зловмисного програмного забезпечення до макросів; щойно ви відкриваєте файл і дозволяєте макроси, ваш ПК заражається.

3. Приманювання

Цей тип атаки може бути здійснений онлайн або у фізичному середовищі. Жертва зазвичай обіцяє винагороду в обмін на конфіденційну інформацію або знання про її місцезнаходження.

4. Зловмисне програмне забезпечення

У категорії атак програм-вимагачів жертвам надсилається термінове повідомлення та обманом змушується встановити зловмисне програмне забезпечення на їхні пристрої. За іронією долі, популярна тактика полягає в тому, щоб повідомити жертві, що зловмисне програмне забезпечення вже встановлено на її комп’ютері, і що відправник видалить програмне забезпечення, якщо він сплатить комісію.

Наприклад, Discord став місцем спілкування для різних категорій людей. Проте більшу частину його аудиторії складають геймери та програмісти. Користувачі можуть приєднатися до каналу, щоб поставити запитання в обох категоріях. Як це налаштувати, пройти цей рівень, який фреймворк найкращий – ці теми типові для тієї соціальної мережі. І водночас для відповідей на ці запитання можуть знадобитися спеціальні програми.

Останнє є основною поверхнею атаки. Ви можете підставити зловмисне програмне забезпечення замість усієї програми та заразити багатьох користувачів одним повідомленням. А щоб усі повірили, що цей файл заслуговує довіри, можна застосувати соціальну інженерію. Група шахраїв зробила це в лютому 2021 року. Ланцюжок чатів атакували з облікових записів, які були присутні протягом кількох місяців і вважалися надійними та законними. Звичайно, ті самі атаки траплялися раніше й пізніше, але ніколи у такому великому масштабі. Цей випадок призвів до появи терміну «Вірус Discord».

5. Претекст

Ця атака полягає в тому, що зловмисник видає фальшиву особу, щоб обманом змусити жертв надати інформацію. Перетекстування часто використовують проти організацій, які мають багато клієнтських даних, як-от банки, постачальники кредитних карток і комунальні компанії.

6. Quid Pro Quo (Щось за щось)

Ця атака спрямована на обмін інформацією чи послугами, щоб переконати жертву діяти. Зазвичай кіберзлочинці, які реалізують ці схеми, не проводять поглиблених цільових досліджень і пропонують надати «допомогу», припускаючи себе як спеціалісти з технічної підтримки.

7. Захист

Ця атака спрямована на особу, яка може надати злочинцю фізичний доступ до безпечної будівлі чи території. Ці шахрайства часто досягають успіху завдяки помилковій ввічливості жертви, наприклад, якщо вона затримує двері для незнайомого «співробітника».

8. Вішинг

У цьому сценарії кіберзлочинці залишатимуть термінові повідомлення голосової пошти, щоб переконати жертв, що вони повинні діяти швидко, щоб захистити себе від арешту чи іншого ризику. Крім того, банки, державні установи та правоохоронні органи зазвичай видають за себе під час шахрайства.

9. Очищення води

Ця атака використовує передові методи соціальної інженерії для зараження веб-сайту та його відвідувачів зловмисним програмним забезпеченням. Інфекція зазвичай поширюється через спеціальний сайт для індустрії жертв, як-от популярний веб-сайт, який регулярно відвідують.

10. Телефонні дзвінки

Ви, мабуть, чули про фільм "Вовк з Уолл-стріт". Він показує, що означає соціальна інженерія через телефонні дзвінки. Жертва отримує дзвінок, де гарантується, що вона щось купить або передасть гроші абоненту. У часи, зображені у фільмі (90-ті), продаж по телефону був дуже ефективним. Досить легко переконати людину, що ви експерт у певній галузі, переважно якщо ви використовуєте багато професійних термінів і ваша мова дуже послідовна. Потім, коли людина вірить у ваш професіоналізм, її легко підштовхнути робити те, що ви хочете.

Найпомітнішим прикладом соціальної інженерії по телефону є шахрайство з технічною підтримкою. Він з’явився наприкінці 2021 року й існує в різних формах сьогодні. На початку ви бачите страшний банер над вікном веб-переглядача з повідомленням, що у вас є комп’ютер заражений і повинен звернутися до служби підтримки. Крім того, ці заяви можуть сповіщати вас про законний акт перегляду порно або відвідування заборонених веб-сайтів. У будь-якому випадку, вам пропонують зателефонувати за номером, вказаним на банері.

По телефону шахраї переконаються, що все, що ви побачили на банері, правдиве. Вони детально опишуть, як це сталося та які катастрофічні події стануться, якщо ви не будете виконувати їхні вказівки. Встановіть «зловмисник» (шахрайське програмне забезпечення), передайте «штраф» або навіть дайте шахраям повну інформацію про вашу особу - вони можуть запитати у наляканої жертви будь-що.

Чи є соціальна інженерія незаконною?

Після наведених вище абзаців ви можете подумати, що соціальна інженерія — це доля кіберзлочинців і шахраїв. Однак справжня суть цієї техніки полягає лише в мистецтві навіювання. У деяких випадках його можна використовувати в доброзичливих цілях - наприклад, щоб відрадити людей від протизаконних дій або вживання наркотиків. Різні релігії є чудовим прикладом доброзичливого використання соціальної інженерії – наприклад, аббат гарантує, що люди діють так, як каже Бог. Це просто ввічливий спосіб життя, тому практично релігія направляє парафію на правильний шлях.

Тим не менш, це точно можна назвати палкою з двома кінцями. Будучи сформованим як доброзичливий, він знаходив застосування в багатьох сумнівних ситуаціях, часто навіть зловмисних. Ви не отримаєте покарання за соціальну інженерію, як є, але ймовірно зіткнетеся з судовим позовом за шахрайство, якщо ви використовуєте її, щоб обдурити когось. Однак це не заважає кіберзлочинцям використовувати його тут і там.

Як захистити себе?

На це запитання неможливо відповісти однозначно. Кожна людина має свій рівень довірливості. Тому кожен матиме свої способи віддзеркалити спробу обдурити. Тому ми вирішили описати лише основні поради.

  • Ніколи не нехтуйте перевіркою альтернативних шляхів. Навіть якщо хтось пропонує вам дуже ефективний спосіб вирішення проблеми, було б чудовою ідеєю переглянути цей спосіб і знайти кілька інших. Можливо, перегляд запропонованого дозволить виявити шахрайство.
  • Ніколи не довіряйте пропонованим програмам. На вищезгаданих платформах онлайн-комунікації люди можуть запропонувати використовувати власні програми. Оскільки навіть легальні програми можуть активувати антивірусні програми, порада ігнорувати або вимикати антивірус не звучить як загроза. Тим не менш, все одно важливо переконатися, що ця програма в порядку.
  • Мисліть раціонально. Ніхто не дасть вам безкоштовну пораду інвестувати в щось або придбати універсальну річ просто так. Навіть якщо такі пропозиції могли бути актуальними протягом останнього десятиліття, вони не є хорошими сьогодні. І вони повинні викликати ще більше підозр, якщо пропозиція дає вам якийсь нереальний прибуток або близько того. Якщо це звучить надто добре, щоб бути правдою, можливо, це так.
  • Перевірте інформацію про особу, яка пропонувала вам річ. Якщо у вас є тільки номер телефону - перевірте його. Цього може бути достатньо, щоб зрозуміти, чого очікувати. Інтернет дав можливість перевіряти кожен номер, і чим більше людей отримувало дзвінки з цього номера - тим більше шансів побачити повну інформацію про абонента та його наміри.< /li>
  • Постійно оновлюйте своє антивірусне/антишкідливе ПЗ – переконайтеся, що ввімкнено автоматичні оновлення, або візьміть за звичку щодня завантажувати найновіші сигнатури. Періодично перевіряйте, чи застосовано оновлення, і скануйте систему на наявність можливих інфекцій.

3 способи, як організації запобігають атакам соціальної інженерії

Наведені нижче заходи можуть допомогти запобігти атакам соціальної інженерії на вашу організацію:

1️⃣ Навчання з безпеки


Навчання з питань безпеки повинно бути постійним заходом будь-якої компанії. Співробітники можуть не усвідомлювати небезпеки соціальної інженерії, а якщо й усвідомлюють, то з часом можуть забути деталі. Тому проведення та постійне оновлення обізнаності про безпеку серед працівників є першою лінією захисту від соціальної інженерії. Співробітники всіх рівнів компанії повинні бути навчені уникати передачі будь-якої інформації через електронну пошту або по телефону «продавцям» на тему того, яке апаратне забезпечення, програмне забезпечення, програми та ресурси зазвичай використовуються.

2️⃣ Антивірусні засоби та інструменти безпеки кінцевих точок


Основним заходом є встановлення антивірусного/антишкідливого програмного забезпечення та інших засобів безпеки кінцевої точки на пристроях користувача. Сучасні засоби захисту кінцевих точок можуть ідентифікувати та блокувати очевидні фішингові повідомлення або будь-які повідомлення, які посилаються на шкідливі веб-сайти чи IP-адреси в базах даних аналізу загроз. Вони також можуть перехоплювати та зупиняти шкідливі процеси, що виконуються на пристрої користувача. Хоча складні атаки призначені для обходу або вимкнення кінцевих точок і AV-агентів, ці атаки, як правило, залишають інші сигнальні ознаки успішної атаки.

3️⃣ Тестування на проникнення


Існує незліченна кількість творчих способів проникнення в захист організації за допомогою соціальної інженерії. Використання етичного хакера для проведення тестування на проникнення дозволяє людині з хакерськими навичками виявити та використати слабкі місця у вашій організації. Коли тест на проникнення успішно скомпрометує чутливі системи, він може допомогти вам виявити співробітників або методи, на захисті яких ви повинні зосередитися, або методи соціальної інженерії, до яких ви можете бути особливо чутливі.