Социальная инженерия представляет собой способ манипулирования, который заключается в обмане человека, введении его заблуждение в целях получения какой-либо информации или доступа к ней.
Суть социальной инженерии сводится к использованию человеческих слабостей. С одной стороны, это личностные качества: сопереживание, доверчивость, страх. С другой — качества профессиональные: недостаток знаний, неумение применять их на практике, игнорирование инструкций.
Злоумышленник получает интересующую его информацию с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего, например, может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе, представиться сотрудником банка и сообщить о попытке списания денежных средств со счета.
Есть несколько видов атак с использованием социальной инженерии:
- Фишинг — сбор пользовательских данных для авторизации (логинов и паролей) в различных онлайн-сервисах. Вы получаете письмо или сообщение от источника, который не вызывает сомнений, кажется надежным, с просьбой предоставить информацию. Хорошо известный пример – письмо якобы от банка, который просит клиентов «подтвердить» конфиденциальную информацию и направляет пользователей для этих целей на поддельный сайт, где их учетные данные будут зафиксированы.
- Троянский конь: техника заключается в подбрасывании «приманки», которая с высокой вероятностью заинтересует потенциальную жертву. Такой приманкой обычно становится носитель информации — например, флеш-карта, CD-диск или карта памяти к телефону. Жертве станет любопытно, что находится на носителе, она вставит их в ноутбук или телефон, а мошенник с помощью специальной программы получит доступ к информации. Приманкой может быть и email-сообщение, которое сулит получение быстрой прибыли, выигрыша, которые точно заинтересуют многих получателей письма и заставят выполнить содержащиеся в нем инструкции.
- Претекстинг - методика психологической манипуляции по заранее подготовленному сценарию. Сценарий реализуется во время голосового общения, в ходе которого жертва сообщает киберпреступнику нужную ему информацию или выполняет действие, которое приведет его к желанной цели. Часто социальные инженеры представляют сотрудниками банков, кредитных сервисов, техподдержки или других служб, которым человек по умолчанию доверяет. Для большей достоверности они сообщают потенциальной жертве какую-либо информацию о ней: имя, номер банковского счета, реальную проблему, с которой она обращалась в эту службу ранее.
Помимо указанных способов есть и другие, кроме того, регулярно появляются новые.
Важно не спешить сообщать данные по телефону или переходить по ссылке. Задумайтесь о том, откуда исходит сообщение, – не доверяйте ему слепо. Лучше перезвоните по официальному номеру или перейдите на официальный сайт, свяжитесь с представителем и попросите подтвердить или опровергнуть сообщение, используйте другой способ связи, чтобы проверить благонадежность источника.
Помощник Боготольского
межрайонного прокурора
юрист 2 класса А.Ю. Литвинова
17.12.2020г.