Сегодня благодаря разнообразию социальных сетей собрать сведения о человеке очень легко. А опытные мошенники хорошо разбираются в психологии, и могут использовать в своих целях даже минимальные знания о пользователе.
Многие специалисты по информационной безопасности говорят, что, как не защищай программы и системы, но есть одно слабое звено – это сам пользователь. Люди зачастую оказываются очень доверчивыми и сами предоставляют мошенникам конфиденциальную информацию. С помощью специальных практик мошенникам добыть необходимую информацию намного проще, нежели получить ее путем взлома системы безопасности. Этим они и пользуются.
Социальная инженерия – это способ получения конфиденциальной информации с помощью психологического воздействия на человека. Основной целью социальной инженерии является получение выгоды через доступ к паролям, банковским данным и другим защищенным системам.
Социальная инжерерия может принимать разные виды. Вот самые распространенные.
Фишинг - это вид мошенничества, основная суть которого завладение логинами и паролями от важных сайтов, аккаунтов, счетов в банке и другой конфиденциальной информацией путем рассылки писем с ссылками на мошеннический сайт, внешне очень похожий на настоящий. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить его ввести на поддельной странице свои логин и пароль, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.
Фарминг - при фарминге на персональный компьютер жертвы устанавливается вредоносная программа, которая меняет информацию по IP-адресам, в результате чего обманутый пользователь перенаправляется на поддельные сайты без его ведома и согласия.
Вишинг - метод, который заключается в том, что злоумышленники, используя телефонную коммуникацию и, играя определенную роль (сотрудника банка, покупателя и т.д.), под разными предлогами выманивают у держателя платежной карточки конфиденциальную информацию или стимулируют его к совершению каких-то действий со своим счетом или банковской платежной карточкой.
Взлом социальных сетей - взламывается страница пользователя и от его имени идут сообщения его друзьям, чаще всего с просьбой "скинь денег на карточку". Тот, кого взломали, может понять об этом, когда не сможет войти в свой аккаунт, ведь пароль уже изменен.
СМС-атаки - мошенник создает фейковый аккаунт в социальных сетях либо регистрируется, к примеру, в Viber, с симкарты, которая оформлена не на его. Далее высылает объявление: "Помогите на лечение ребенку", размещая фото и реквизиты. Если это действительно реальный человек, то реквизиты легко проверяются. Но, к сожалению, люди не часто проверяют такую информацию.
Претекстинг - набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон, электронная почта и т. п. Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника, должность, название проектов, с которыми он работает, дату рождения). Используя такую информацию, он входит в доверие и получает необходимые ему данные.
Кви про кво (в английском языке это выражение обычно используется в значении "услуга за услугу") - злоумышленник представляется, например, сотрудником технической поддержки и информирует о возникновении каких-то проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе "решения" такой проблемы злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое вредоносное программное обеспечение на компьютере жертвы. Эта техника предполагает обращение злоумышленника к пользователю, как правило, по электронной почте или корпоративному телефону.
Обратная социальная инженерия - создается такая ситуация, при которой жертва вынуждена будет сама обратится к злоумышленнику за "помощью". Например, мошенник может выслать письмо с телефонами и контактами "службы поддержки" и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе "исправления" проблемы злоумышленник сможет получить необходимые ему данные.
Методов мошенничества, которые используют социальную инженерию, – множество. Перечисленные – это всего лишь их часть. Самые распространенные для нашей страны – фишинг, взлом социальных сетей и вишинг.
Главный способ защиты от мошенников, использующих методы социальной инженерии, это проявление бдительности и осторожности. Поэтому предлагаем "на зубок" запомнить следующие правила безопасности:
- Не открывайте вложения электронной почты, отправленные с неизвестных ресурсов.
- При разговоре по телефону с незнакомым человеком следует быть внимательным и принимать какие-либо решения обдуманно.
- Не используйте логины и пароли и другую конфиденциальную информацию, если вы подозреваете что ваш компьютер заражен.
- Не соглашайтесь на загрузку, предлагаемую неизвестным програмным обеспечением.
- Не переходите по ссылкам из электронной почты.
- Не сообщайте реквизиты своей банковской платежной карточки, коды безопасности и другие личные данные незнакомцам ни при каких условиях.
- Остерегайтесь любых не известных предложений помощи.
- Регулярно проверяйте ваш компьютер на вирусы.
Повышайте свой уровень финансовой грамотности, чтобы обезопасить себя и идти в ногу со временем.