Под маской законности. Социальная инженерия

Мы часто слышим об угрозах нашей сетевой безопасности и предполагаем, что это новые проблемы, которые появились в цифровую эпоху. Но когда вы начинаете подробно изучать хакерские атаки, фишинг, вредоносное ПО, программы-вымогатели и другие онлайн-угрозы, вы понимаете, что многие из этих атак и угроз успешны не из-за новых или несовершенных технологий, а благодаря человеческой природе.

Действительно, одна из основных причин, по которой мы не можем полностью защитить наши компьютеры, мобильные устройства и онлайн-аккаунты от хакеров и других угроз, заключается не в том, что наши технологии недостаточно развиты, а в том, что люди подвержены ошибкам и склонны верить в лучшее, доверять другим людям, даже тем, кого мы не знаем.

В результате наша человечность означает, что даже самые технически подкованные из нас могут стать жертвой различных мошеннических схем, с помощью которых злоумышленник сможет получить доступ к нашим банковским счетам, нашей электронной почте и нашим компьютерам. Все это обобщенно широко известно, как социальная инженерия.

В этой статье мы рассмотрим, что такое социальная инженерия и на что нужно обратить внимание, а также основные меры безопасности, которые вы можете применить, чтобы снизить вероятность того, чтобы не стать жертвой.

Что такое социальная инженерия?

Чтобы полностью понять, что такое социальная инженерия, вам нужно сначала подумать о том, что является нормальным или «исходным» для того места, где вы живете или работаете. Когда кто-то делает что-то, что отклоняется от исходного, условно нормального уровня, он привлекает к себе внимание с какой-то целью.

Например, допустим, вы работаете в непринужденной офисной обстановке с парнем по имени Борис. Если бы однажды Борис появился, красиво одетый в дорогой костюм, все заметили бы его и подумали, что он идет на собеседование или какую-то важную встречу. Если бы он не хотел, чтобы его заметили, он скорее всего, оставил бы этот фирменный костюм в машине и пришел бы на работу в том, в чем обычно приходил до этого каждый день. С другой стороны, возможно Борис просто хотел, чтобы босс подумал, что у него собеседование в новой крутой компании, и для достижения цели ему даже не придется лгать.

Это может звучать немного противно и сложно, но на самом деле большинство из нас постоянно занимается различными формами социальной инженерии.

Представьте себе, вы посетили известную конференцию или корпоративную вечеринку и в рамках подготовки к ней, потратили деньги на дорогую одежду или украшения, которые вы обычно не купили бы, и все это для того, чтобы выглядеть так, будто вы частый гость подобных мероприятий. Или, может быть, вы изменили свой акцент или манеру речи — даже перестали ругаться — чтобы люди не смотрели на вас свысока и подумали, чтобы вы вообще весьма культурный человек. Или, вы наклеиваете наклейку на свою машину, заявляющую, что вы поддерживаете полицию в надежде не получить штраф. Все перечисленное — примеры социальной инженерии, и в большинстве случаев она безвредна.

Проблема в том, что люди могут использовать наши ожидания в отношении того, что «нормально» против нас, чтобы обмануть нас, заполучить доступ к закрытым зонам на нашем рабочем месте или даже украсть наши пароли и получить доступ к нашим цифровым учетным записям.

Именно на этих формах социальной инженерии мы сосредоточимся в оставшейся части статьи.

Как социальная инженерия проявляется в нашей повседневной жизни

Преступники используют тактику социальной инженерии множеством способов для совершения преступлений и мошеннических действий. Люди используют наши ожидания против нас.

Представьте, что кто-то подходит к вам в магазине с бейджем и с блокнотом. Вы автоматически подумаете, что это сотрудник магазина. Если кто-то подойдет к вам в комбинезоне и каске, вы, вероятно, подумаете, что это сотрудник из коммунальной компании или строитель. Все это примеры людей, которые надевают «униформу», чтобы выглядеть более солидно и социально утверждающе.

Вот реальный пример социальной инженерии в действии. Моей подруге Наталье (которая дала мне разрешение рассказать ее историю) недавно позвонили из местного банка. Звонивший сказал ей, что хочет сообщить о потенциально мошеннических действиях с ее дебетовой картой, и назвал последние четыре цифры номера ее карты. В идентификаторе звонящего при этом было указано название банка, поэтому Наталья знала, что это скорее всего законно.

«Сотрудник банка» спросил, делала ли она три крупные покупки в последнее время, и Наталья быстро ответила, что не делала. «Сотрудник» сказал ей, что вам не о чем беспокоиться, поскольку платежи были заблокированы «банком». Он подтвердил еще раз последние четыре цифры карты Натальи и дату истечения срока действия, а затем сказал ей, что «банк» аннулирует карту и сразу же отправит Наталье новую по почте, но сначала нужно провести некоторое разбирательство.

Моя подруга проверила свой банковский аккаунт, пока разговаривала с якобы сотрудником банка по телефону, и не увидела никаких действий и движений по своим счетам. Но затем по ходу разговора «сотрудник банка» спросил (как бы невзначай) PIN-код дебетовой карты. Наталья засомневалась, но «сотрудник» заверил ее, что он банковский служащий, и даже сказал ей, что она может подтвердить номер, с которого он звонит, посмотрев его на веб-сайте банка. «Сотрудник» продолжал уверять, что ему нужен PIN-код для расследования инцидента, связанного с теми тремя крупными покупками, которые якобы были совершены при помощи дебетовой карты.

Когда Наталья сказала «сотруднику», что не предоставит ему свой PIN-код, он быстро повесил трубку и более не перезванивал.

Затем Наталья позвонила в свой банк по номеру телефона, указанному на официальном сайте, и в банке подтвердили, что с ее счетами не было никаких проблем и не было инициировано каких-либо разбирательств. Но на всякий случай, уже реальный сотрудник банка, предложил аннулировать карту и выпустить новую, т.к. очевидно, что текущая банковская карта была где-то «засвечена» в интернете, скорее всего вследствие утечки данных.

О чем говорит описанная выше ситуация? Моя подруга испытала на себе классическую аферу с социальной инженерией, когда у звонящего было достаточно подробностей, чтобы его рассказ звучал убедительно. К сожалению, в наши дни достать где-то информацию о банковских картах (с номерами и именами владельцев), а также паспортными данными владельцев, не так сложно. Многие онлайн-магазины и даже крупные уважаемые сервисы периодически допускают утечки данных своих клиентов. Каждый номер кредитной и дебетовой карты включает в себя информацию об эмитенте, и, поскольку у мошенника уже была значительная часть информации, ему не составило большого труда, найти адрес и номер телефона владельца, а именно моей подруги. Затем, применив небольшую социальную инженерию, он попытался получить PIN-код банковской карты, и в случае успеха он мог бы использовать окончательные данные для снятия денежных средств с банковского счета.

Цифровой мир: примеры социальной инженерии в нем

Многие угрозы сетевой безопасности начинаются с того, что кто-то пытается проверить вашу личную «цифровую броню» на предмет ее надежности и уязвимости.

Если вы ведете успешный блог или онлайн-бизнес, если вы активны, откровенны и весьма открыты в социальных сетях, или вы просто чем-то приметились злоумышленнику, то ваши онлайн-аккаунты под угрозой. Вне зависимости от популярности — каждый человек или онлайн-сервис может стать целью мошенников.

Один из самых известных примеров онлайн-социальной инженерии случился с Мэттом Хонаном еще в 2012 году. Мэтт один из основных авторов журнала Wired Magazine, довольно технически подкованный человек. Тем не менее, из-за серии чрезвычайно умных усилий социальной инженерии, в которых хакер звонил в службу поддержки клиентов Amazon и Apple, Хонан потерял доступ к своим аккаунтам в Google и Twitter. Затем хакер смог получить доступ к его Apple ID и удаленно стереть все данные с его устройств Apple.

Это достаточно, чтобы кого-нибудь сильно напугать. Более того, хакеры атакуют не только ваши личные аккаунты. Если вы работаете в известной компании, особенно в той, которая предоставляет онлайн-услуги населению, в какой-то момент вы можете стать целью мошенника, который пытается получить доступ к данным на серверах вашей компании. Он может звонить и писать вам, и быть невероятно убедительным, жонглировать отдельными малоизвестными данными.

В ходе все более распространенной атаки, известной как «целевой фишинг», мошенники обычно отправляют конкретным сотрудникам поддельные электронные письма или текстовые сообщения, якобы от имени генерального директора или других руководителей компании, или независимых приглашенных компанией экспертов. Цель мошенников — заставить нас переходить по ссылкам или предоставлять информацию, которая может поставить под угрозу наши рабочие учетные записи или раскрыть данные клиентов компании.

В качестве совсем свежего примера. Twitter стал жертвой громкого взлома в июле 2020 года, который позволил небольшой группе лиц с помощью социальной инженерии получить доступ к учетным записям 130 известных пользователей Twitter. Согласно New York Times, хакеры захватили учетные записи Билла Гейтса, главы SpaceX Илона Маска и многих других популярных деятелей, включая политиков. Они также атаковали несколько аккаунтов голливудских актеров, разместив в их Твиттере сообщения, призывающие фанатов помочь в сборе средств, отправив деньги на благотворительные цели. Разумеется, деньги фактически пошли напрямую к хакерам.

Данный крупный инцидент все еще расследуется правоохранительными органами США и ЕС, и согласно официальному заявлению Twitter: «Атака была нацелена на небольшое количество сотрудников поддержки Twitter с помощью адресной фишинг-атаки по телефону. Для успешной атаки злоумышленники должны были получить доступ как к внутренней сети, так и к конкретным учетным данным сотрудников Twitter, которые открывали доступ к инструментам внутренней поддержки пользователей соц.сети».

Как защитить себя от схем социальной инженерии

Полностью защититься весьма сложно, но можно в значительной степени снизить риски и повысить уровень безопасности своих данных, и даже своей жизни.

Социальная инженерия происходит постоянно вокруг, и в какой-то момент каждый из нас встретит кого-то, кто пытается манипулировать нами в мошеннических вредоносных целях. Вот несколько советов, которые помогут защититься от наиболее частых попыток.

Проверяйте. Не стесняйте включать «внутреннего параноика». Если кто-то подходит к вам на улице и просит заполнить или ответить на что-то, пройти куда-то, — всегда просите предъявить удостоверение личности с фотографией и рабочий бейдж. Сюда входят люди в официальной корпоративной форме, сотрудники полиции и любых других служб. В идеале эти люди должны показать вам удостоверение личности еще до того, как вы что-то ответите или откроете дверь в квартиру. Всегда требуйте удостоверение личности, документы подтверждающие реальную принадлежность человека к какой-либо гос.службе, компании. Прежде чем впускать неизвестного в свой дом или на что-то отвечать! А если кто-то из них свяжется с вами по телефону или электронной почте, свяжитесь напрямую с компанией или гос.организацией и проверьте запрос, прежде чем предоставлять какую-либо информацию о себе.

Используйте только надежные пароли. Иногда первой точкой входа и доступа к вашим данным, будет ваша учетная запись с легко угадываемым паролем. Например, если у вас есть домашние животные или дети, использовать их имена в качестве паролей — очень плохая идея. Например, если вы часто хвастаетесь своей кошкой на Facebook, хакер, скорее всего, попробует имя вашей кошки в качестве пароля, пытаясь получить доступ к вашей учетной записи.

Используйте уникальные, не повторяющиеся пароли для каждой своей учетной записи в интернете. Если вы используете один и тот же пароль в своей учетной записи Gmail, что и для какой-нибудь онлайн-игры, угадайте, что произойдет? Когда база данных этой игры будет взломана (а веб-сайты взламываются постоянно и очень часто), у хакеров теперь есть доступ к вашей учетной записи Gmail… и это плохие новости.

Включите и используйте 2FA (двухфакторную идентификацию, авторизацию). Этот простой шаг, который в значительной степени предотвратит попытки поставить под угрозу безопасность вашей учетной записи. Защищая свои аккаунты, как с помощью пароля, так и с помощью второго фактора (например, USB ключа, такого как YubiKey или одноразовых кодов, генерируемых приложением Google Authenticator), вы очень сильно затрудняете доступ третьей стороне (злоумышленникам) к аккаунту.

Защитите свою электронную почту и социальные сети. Как показывает история Мэтта Хонана, ваша электронная почта (особенно Gmail, поскольку она привязана к вашей учетной записи Google), учетные записи Apple, Facebook/Twitter, Amazon и других крупных веб-сайтов являются основными (но не единственными) целями для хакеров. Хуже того, многие пользователи часто используют одну и ту же учетную запись для доступа к другим аккаунтам (например: «войти в систему с помощью Google/Facebook»). В этом случае, если кто-то взломает одну учетную запись, другие аккаунты становятся максимально уязвимыми, поскольку хакеры могут получить доступ к большему количеству учетных данных.

Никому не сообщайте пароли, одноразовые и PIN коды. Вы никогда и никому не должны сообщать свои постоянные пароли, банковский PIN-код или одноразовые коды доступа. Не существует никаких исключений в этом. Всегда знайте, если вас просят предоставить указанные выше данные — это мошенничество!

Никогда не сообщайте личную информацию тем, кто неожиданно связывается с вами. Отслеживайте неожиданные (незапланированные) телефонные звонки или электронные письма, поступившие якобы из таких мест, как ваш банк, хостинг-провайдер, обслуживающая компания, какой-либо сервис, правительственное учреждение или организация. Помните, что идентификатора номера телефона, который высвечивается во время звонка на вашем смартфоне, недостаточно для подтверждения. Номера телефонов можно легко подделать, включая как числовые, так и текстовые идентификаторы. Если с вами когда-либо свяжутся, и вы почувствуете, что вас вводят в заблуждение, немедленно прекратите разговор и перезвоните самостоятельно — в ту организацию, от которой якобы поступил звонок, чтобы точно убедиться в законности и реальности происходящего. Важно, когда вы перезваниваете самостоятельно, вы должны обязательно убедиться в верности номера телефона — например, проверив его на официальном сайте организации.

Вывод

Тема социальной инженерии может быть немного пугающей и сложной. Но вместо того, чтобы избегать разговоров на сложные темы, мы считаем важным объяснить вам, как эти вещи работают, чтобы вы могли принять меры, помогающие предотвратить плохие последствия.

Указанные меры защиты от атак социальной инженерии и типы этих атак не окончательные, но соблюдение и знание уже описанного значительно снизит уровень опасности и улучшит вашу осведомленность.