Соціальна інженерія стала невід’ємною частиною кібершахраїв. Мова йде про спеціальну методику маніпуляції, яка допомагає змусити людину віддати зловмисникам необхідні дані. Яким чином? Використовуючи людські слабкості – тобто емоції та природну поведінку жертви.
Сьогодні існує чимало методів використання соціальної інженерії. В основі – маніпуляція людськими страхами, зацікавленістю або довірою. Жертвою соціальної інженерії можна стати як під час особистого спілкування, так і по телефону або через цифрові гаджети.
«Кіберзлочинці знайшли нові способи експлуатації людського фактору – інстинктів цікавості й довіри, – які призводять до того, що люди з добрими намірами потрапляють у руки зловмисників. Це може статися у формі замаскованої URL-адреси або, здавалося б, нешкідливого додатку в електронному листі. Але все, що потрібно, – це один клік, і негайно почнеться поширення шкідливої програми», – пояснює стратег із кібербезпеки Аденікі Косґроув виданню Forbes.
Найпопулярніший серед численних сучасних інструментів соціальної інженерії – так званий фішинг. Метою може бути заволодіння інформацією приватного характеру обманним шляхом. Попри те, що про нього широко відомо, успіх фішингу продовжує зростати через недостатню цифрову освіченість людей.
Як це працює?
Зловмисники можуть «маскуватися» під установи, яким довіряє людина. Наприклад, прикидаючись представниками оператора мобільного зв’язку або працівниками банку, вони можуть надсилати електронні листи з додатком або посиланням, за яким людина має ввести свої особисті дані.
Жертві також можуть додатково зателефонувати із проханням відкрити цей додаток або ж перейти за посиланням. Вважається, що таке «живе» спілкування додає ситуації чималої правдоподібності і зазвичай змушує людей відкривати вкладення.
На такий «гачок» потрапляли навіть досвідчені експерти з кібербезпеки. Нещодавно, наприклад, трьох українців заарештували за підозрою у викраденні – саме за допомогою фішингу – мільйонів номерів кредитних карток та атаках на більш ніж 100 американських компаній, що в результаті завдало збитків американським бізнесам у розмірі десятків мільйонів доларів.
Приклад
Часто власники гаджетів Apple отримують електронні листи, в яких служба підтримки компанії начебто повідомляє їх про здійснення платежів із їхніх карток – чи то купівля музичного альбому, застосунків тощо.
Так людина отримує «рахунок від Apple». Електронний лист, на перший погляд, маає досить реалістичний вигляд – клієнта сповіщають про зняття 40 доларів за внутрішні покупки в застосунку.
Зазвичай люди стурбовані таким несанкціонованим зняттям коштів і переходять за посиланням, щоб швидше вирішити проблему. Відправник і сам, розуміючи це, може порадити в листі ознайомитися з деталями платежу або ж скасувати його, відкривши додаток або посилання.
Проте якщо вивчити електронний лист як слід, можна помітити, що навіть сама електронна адреса має неправдоподібний вигляд. У даному випадку: tropica-emailapple.-mobileid-number.781397112769@app-store77.com.
Дружні листи
Дуже поширеним різновидом соціальної інженерії також є надсилання електронних листів, у яких особу повідомляють про отримання спадщини чи дружнього переказу грошей. Зазвичай лист звертається до адресата за прізвищем і містить детальну історію для привернення його уваги.
Такі листи містять довгі історії з багатьма деталями, що мають додати ситуації правдоподібності. Коли людина виходить на зв’язок, у неї просять надати дані для підтвердження особи й прискорення процесу. Таким чином зловмисники можуть просто обікрасти жертву.
Наприклад, текст одного з таких листів має такий вигляд:
Привіт, мій любий друже,
Я адвокат Джеймс Волкотт. Можливо, ти не пам’ятаєш останній раз, коли ти допоміг мені в транзакції, але я не забув твою допомогу і мужність, яку ти надав мені в минулому. Як ти та твоя сім’я? Я сподіваюся, що в них все добре. Я радий тобі повідомити, що я тоді успішно завершив цю транзакцію з іншим партнером. Повна сума спадкових грошей була передана новому партнерові…
Але я не забув і про твої минулі зусилля й допомогу мені в тому, що кошти були схвалені банком. Тому я дав своєму секретареві чек на твоє ім’я на суму 850 тисяч доларів, щоб відправити його тобі в твою країну, в будь-який час, коли ти з нею зв’яжешся. Будь ласка, прийми цю маленьку винагороду. Нижче вказано ім’я та адресу електронної пошти мого секретаря, повне ім’я: Вікторія Джонсон, адреса електронної пошти: (victoriajohnson500@gmail.com)
Тобі треба зв’язатися з моїм секретарем якомога швидше, щоб чек був проадресований і відправлений у вашу країну. Бажаю успіхів у всіх твоїх справах. Я також можу тобі зателефонувати, коли зручно.
Твій брат і партнер
Адвокат Джеймс Волкотт
Вішинг
Голосова версія фішінгу називається вішинг. Тут мова йде вже про телефонне шахрайство, метою якого є отримання реквізитів банківських карток або будь-якої іншої конфіденційної інформації. Він також може включати в себе змушення жертви перевести гроші на банківський рахунок зловмисника.
Шахраї телефонують власникам банківських карток і представляються співробітником банку, волонтерами або навіть службовцями поліції. Так, використовуючи певні трюки, вони намагаються під різними приводами зібрати конфіденційні дані, в тому числі CVV-код картки або ж кодове слово для ідентифікації клієнта.
В Україні такий різновид шахрайства є досить поширеним.
Контакти
Іще один із методів соціальної інженерії – це розсилання спаму від імені знайомих. Тобто, заволодівши чиїмось акаунтом, чи то в соціальній мережі, чи в електронній пошті, зловмисники можуть спробувати надсилати від його імені посилання.
Справа в тому, що люди схильні довіряти своїм знайомим і рідко замислюються двічі, коли отримають від них пропозицію відкрити посилання.
Як захистити себе
Для того, щоб захистити себе, експерти з кібербезпеки пропонують почати зі встановлення якісної антивірусної програми, яка допомагатиме, наприклад, у спробах виявлення фішингу.
Також завжди слід бути пильним щодо джерела, яке запитує конфіденційні дані. Банк, наприклад, навряд чи буде телефонувати, щоб дізнатися код на зворотному боці картки.
Ніколи не слід відкривати вміст додатків або переходити за посиланням, не вивчивши всіх деталей. Часто адреса відправника містить помилки в назвах, а посилання мають неправдоподібний вигляд.
Якщо людину просять ввести особисті дані – краще окремо зайти на сайт компанії, наприклад, банку. Ще краще – зателефонувати на офіційний номер установи для уточнення інформації.
Варто також критично ставитися до отриманих повідомлень: наскільки правдоподібною може бути інформація про те, що принц із Саудівської Аравії міг залишити вам спадщину?
Не слід також забувати і про сповіщення про такі небезпеки інших членів сімей. Адже часто літні люди, наприклад, можуть не знати про те, що розголошення CVV-коду банківської картки може призвести до викрадення грошей.
Наскільки б банальний вигляд не мали методи соціальної інженерії у сучасному цифровому світі, люди все ще продовжують потрапляти на її «гачок».
