Время чтения: 5 минут (-ы)

Возможно, вы слышали такой термин , как социальная инженерия. Звучит красиво, но если бы все точно знали, что речь идет не про инженеров в их классическом виде, случаев обмана и мошенничества было бы на порядок меньше.

Итак, что такое социальная инженерия?

Дословный перевод означает “атака на человека”, и более точно не скажешь. Если говорить простыми словами, то вашу конфиденциальную информацию пытаются заполучить с применением различных психологических приемов: давление на больные точки, запугивание, угрозы и прочее.

Вы удивитесь, но теория социальной инженерии зародилась еще во времена Древней Греции. Тогда особенно ценились люди, которые обладали ораторскими навыками и могли переубедить нужного собеседника. Эти “специалисты” чаще всего участвовали в дипломатических переговорах и работали на государство.

Следующей вехой в развитии социальной инженерии стало массовое расширение телефонной связи – от звонков шутки ради хулиганы перешли к профессиональным атакам, буквально выпытывая у доверчивых людей конфиденциальную информацию.

В наше время социальные инженеры перебрались в интернет. Базовый пример – это взлом аккаунта в социальной сети и рассылка по контактам сообщений с просьбой дать в долг какую-то денежную сумму, например, на лечение родственника. Ну, какой друг или знакомый не поможет в такой ситуации?! На это идет расчет мошенников – сыграть на сочувствии. Или жадности, невнимательности, доверчивости – у каждого метода свой рычаг давления.

Масштабы социальной инженерии не ограничиваются обманом обычных людей. С помощью такого рода манипуляций грабят целые корпорации, вывозят из банков драгоценные камни на десятки миллионов долларов и заполняют половину мира фальшивыми купюрами – имена Виктора Люстига и Карлоса Гектора Фломенбаума считаются легендарными в мире социальных хакеров.

Методы социальной инженерии

Самый известный и уже привычный нам метод социальной инженерии – это спам. Например, нежелательные письма, которые рассылаются огромному количеству адресатов и чаще всего на электронную почту, но могут приходить и в виде СМС или сообщений в социальных сетях.

Сам спам – это не социальная инженерия, но письма могут содержать вредоносные ссылки, на которые под разным предлогом вас будут призывать кликнуть.

Благо, современные системы умеют распознавать спам и сразу помещать его в специальную папку.

Но если социальной инженерией занимается профессионал, эти письма могут быть максимально реалистичными, а вредоносные ссылки практически полностью совпадать с официальными сайтами и электронными адресами банков или платежных систем.

Фишинг – второй по известности метод социальной инженерии, потому как часто практикуется мошенниками на различных площадках для продажи вещей. Фишинг дословно означает «рыбалка». Мошенник будет пытаться выудить у вас информацию, например, данные платежной карточки. В механике часто используется фишинговая ссылка – она ведет на созданную мошенником страницу, которая ворует ваши данные.

Если вы продаете свои вещи через интернет, мошенник может купить ваш товар, а для создания иллюзии его оплаты и оформления доставки подсунуть вам фишинговую ссылку, которая запросит данные вашей карты. Поэтому всегда стоит помнить, что любые сделки нужно проводить только внутри официального приложения, а при возникновении подозрительных ситуаций обращаться в техподдержку.

В фишинге может использоваться еще одна механика, предполагающая рассылку на электронный ящик поддельных писем якобы от банков или платежных систем. По легенде, ваши данные запрашиваются под предлогом их потери или по причине блокировки какого-то вашего аккаунта.

  • Вишинг и смишинг отличаются формой взаимодействия с потенциальной жертвой. При вишинге используются телефонные звонки, при смишинге – жертву обрабатывают с помощью SMS.
  • Претекстинг – метод, при котором мошенник выдает себя за человека, которому жертва изначально доверяет: друзья, знакомые, сотрудники банка, где вы обслуживаетесь. Чтобы жертва нисколько не сомневалась в доверии, мошенник может сообщить о ней какие-то данные: имя, дату рождения, город проживания, номер банковского счета или проблему, с которой раньше обращались (если речь про банк).
  • Троянский конь – метод, который играет на жадности человека. Он был так назван, потому что работает по принципу древнегреческого троянского коня, когда подарок играет роль приманки, а вы верите и совершаете нужные мошеннику действия.
Скорее всего, вы уже сталкивались с этим методом, когда получали на почту эти завлекающие письма по типу “Поздравляем! Вы выиграли IPhone!” В письме вас попросят скачать файл или перейти по ссылке и вуаля – в подарок вы получите не новенький IPhone, а свеженький вирус.

Методы социальной инженерии бывают еще и обратные, когда жертва сама обращается за помощью к мошеннику. Например, вам могут установить вредоносное программное обеспечение на компьютере. Бывает, что какая-то программа отлично работала, а потом происходит сбой, который вы сами исправить не можете, и приходится обращаться к специалисту. Вся ситуация выстраивается таким образом, чтобы жертва сама обратилась к социальному хакеру, а тот практически с позволения владельца установит на компьютер вредоносную программу или произведет взлом.

Как защититься?

Проблема социальной инженерии для ее жертв в том, что большинство методов не требует каких-то сверхнавыков, то есть обучиться этому “ремеслу” может любой человек.

  • Пожалуй, главное правило, которое поможет не попасться на удочку мошенников – это все внимательно проверять: ссылки, личность того, кто вам звонит и пишет. Иногда лучше прекратить беседу и самостоятельно перезвонить человеку, от имени которого у вас просят деньги или данные.
  • Если вам звонят из банка и сообщают о проблемах с картой или просят обновить данные, можно сказать, что вы лично зайдете в отделение своего банка и проконсультируетесь со специалистом. После этого можно самостоятельно перезвонить на официальный номер телефона и уточнить, действительно ли есть какие-то проблемы с вашим обслуживанием.
  • Следующее правило особенно актуально, потому что все мы любим решать свои дела с помощью телефона на ходу, а ведь ваши данные можно элементарно подсмотреть через плечо даже в обычной очереди. Поэтому без надобности не вводите пароли и любую другую конфиденциальную информацию среди большого количества людей.
  • Не используйте одинаковый пароль на нескольких сайтах и заведите привычку периодически менять пароли от аккаунтов в соцсетях, а в идеале установите двухфакторную аутентификацию, когда для входа в аккаунт потребуется не только пароль, но и сгенерированный в момент входа числовой код – он придет вам в виде смс на телефон или в специальное приложение.
  • Не переходите по подозрительным ссылкам и тем более не скачивайте файлы из писем-рассылок.
  • Установите на свой компьютер хороший антивирус, он будет помогать распознавать вредоносные ссылки и файлы.
  • Если вы сотрудник крупной компании, ознакомьтесь с правилами поведения при незаконном проникновении и с политикой конфиденциальности. И следуйте им.

Приемы социальной инженерии могут быть очень коварными и застать вас врасплох. К тому же социальная инженерия быстро прогрессирует, мошенники создают все новые методы воздействия на людей и тестируют усовершенствованные сценарии. Нам остается лишь быть максимально бдительными во всем. Желаем внимательности!

Читайте нас в Telegram и Яндекс.Дзен первыми узнавайте о новых статьях!