Найпопулярніші методи соціальної інженерії кібершахраїв
Найпопулярніші методи соціальної інженерії кібершахраїв
За останні кілька років кібершахраї, що спеціалізуються на соціальній інженерії, почали використовувати більш просунуті методи для отримання доступу до необхідної інформації, що враховують сучасну психологію як корпоративних службовців, так і людства в цілому.
За останні кілька років кібершахраї, що спеціалізуються на соціальній інженерії, почали використовувати більш просунуті методи для отримання доступу до необхідної інформації, що враховують сучасну психологію як корпоративних службовців, так і людства в цілому. Щоб навчитися протистояти різного роду хитрощам, необхідно зрозуміти загальну тактику, яку використовують зловмисники. У цій статті ми розглянемо найпоширеніші підходи у соціальній інженерії.
Вступ
Вперше термін «Соціальна інженерія» з'явився в побуті у 90-х роках з подачі дуже відомого фахівця з кібербезпеки та колишнього хакера Кевіна Мітника. Проте зловмисники користувалися подібними методами задовго до того, як оформилася офіційна концепція. Експерти вважають, що сучасні кібершахраї мають дві основні цілі: крадіжку паролів і встановлення шкідливих даних. Зловмисники користуються соціальною інженерією за допомогою телефону, електронної пошти та сторінок у всесвітньому павутинні. Нижче наведено основні методи отримання конфіденційної інформації.
Тактика №1. Теорія шести рукостискань
Ключова мета зловмисника при використанні соціальної інженерії по телефону – переконати жертву, що телефонує або колега по роботі, або представник державних органів (наприклад, співробітник правоохоронних органів чи аудитор). Коли шахрай хоче зібрати інформацію на конкретного людини, то спочатку може спробувати отримати необхідну інформацію у колег по роботі жертви. Згідно з однією старою теорією, зловмисника відокремлює від жертви всього шість рукостискань. Експерти рекомендують виявляти особливу пильність, якщо не дуже зрозуміло, що хоче від вас колега по роботі.
Зазвичай зловмисник пов'язується із секретарем (або співробітником на подібній посаді), щоб зібрати інформацію на людей із вищим становищем у корпоративній ієрархії. Експерти вважають, що шахраям багато в чому допомагає доброзичливий тон. Повільно, але наполегливо, кримінальні елементи підбирають до вас правильні ключі, і отримання потрібної інформації, якої ви ніколи не поділилися б, часто є лише питанням часу.
Тактика №2. Використання корпоративної лексики
У кожній індустрії є свої специфічні терміни. Щоб бути більш переконливим і витонченим при використання соціальної інженерії, зловмисники вивчатимуть особливості корпоративної мови та культури. Якщо шахрай розмовлятиме з жертвою однією мовою, то набагато швидше почне викликати довіру, а отже, швидше отримає потрібну інформацію.
Тактика №3. Використання знайомих мелодій
Щоб успішно реалізувати атаку, у зловмисника має бути час, наполегливість та терпіння. Зазвичай, кібератаки з використанням соціальної інженерії проходять повільно і дані про майбутні жертви збираються регулярно. Основна мета – завоювання довіри та подальший обман. Наприклад, зловмисник може переконати, що розмовляє з кимось від імені колеги по роботі. Один із ключових прийомів у цій ситуації – мелодія, яка використовується в компанії під час очікування виклику. Зловмисник спочатку слухає та записує мелодію, а потім під час розмови з жертвою може несподівано перервати розмову і сказати щось у дусі «Почекай, у мене вхідний дзвінок на другій лінії». Жертва чує знайому музику та переконується ще більше, що на іншому кінці дроту знаходиться співробітник компанії. Насправді цей трюк – просто грамотне використання психології.
Тактика №4. Підробка CallerID
Зловмисники часто вдаються до підробки телефонних номерів, змінюючи Caller ID. Наприклад, шахрай може дзвонити зі свого будинку, а на дисплеї жертви буде відображатися корпоративний номер компанії. Звичайно, в більшості випадків працівник, який нічого не підозрює, передасть конфіденційну інформацію, включаючи паролі. Цей трюк також допомагає замістити сліди, оскільки зворотний виклик за номером, що відображається, буде здійснюватися всередині корпоративної мережі.
Тактика №5. Використання фону новин
Поза Залежно від поточних новин зловмисники завжди знайдуть спосіб використати поточну ситуацію, наприклад, президентську кампанію або економічну кризу для спаму, фішингу та інших схем обману. Подібні повідомлення часто містять посилання на інфіковані сайти зі шкідливими даними, замаскованими під корисні програми.
Фішингові атаки на банки багато в чому схожі між собою. Все починається з електронного листа приблизно наступного змісту: «Інший Банк [назва] набуває ваш Банк [назва]. Будь ласка, пройдіть посилання і перевірте, що ваші дані актуальні». Чи треба каже, що ми маємо справу зі спробою отримати інформацію, яку зловмисник може або продати на бік, або використати для крадіжки грошей із вашого рахунку.
Тактика №6. Зламування облікового запису в соціальних мережах
Ні для кого не секрет, що Facebook та LinkedIn – надзвичайно найпопулярніші соціальні мережі. Багато досліджень показують, що користувачі мають схильність довіряти цим платформам. Випадки цілеспрямованого фішингу проти користувачів в LinkedIn підтверджують цю гіпотезу. Часто стратегія зловмисників будується на тому, що надсилаються підроблені повідомлення про технічні роботи в соціальній мережі, і користувачі запрошуються оновити інформацію. Тому в різних пам'ятках рекомендується, щоб співробітники компаній вводили адреси вручну, а не натискали на фішингові посилання в листах. Крім того, слід зазначити, що сайти рідко розсилають запити користувачам на оновлення персональної інформації.
Тактика №7.Тайпсквоттінг
Ця техніка ґрунтується на тому, що люди роблять помилки під час набору адрес у браузері. Відповідно, під час помилкового введення жертва може бути перенаправлена на сайт, створений зловмисником. Спочатку кібершахраї ґрунтовно готують ґрунт для реалізації цієї схеми. Прикидають варіанти друкарських помилок і створюють сайт, як дві краплі води схожий на легітимний. Таким чином, друкарська помилка в одному символі може призвести вас на копію, метою якої є збір персональних даних або розповсюдження шкідливих даних.
Тактика №8.FUD
Страх, невпевненість та сумніви (fear, uncertainty, doubt; FUD) часто є основною психологічних маніпуляцій, що використовуються в маркетингу. Суть багатьох технік зводиться до того, що користувач стає невпевненим або сумнівається в чомусь (наприклад, у продукті або компанії) і в результаті починає відчувати страх і необдумані дії. Нещодавні дослідження показують, що безпека та вразливість продуктів може впливати на ринок акцій. Наприклад, дослідники відстежували, як впливає подія Patch Tuesday на акції компанії Microsoft. Результати показують, що після виходу звітів про вразливості на графіку акцій були серйозні коливання. Також можна згадати історію, коли зловмисники 2008 року розповсюджували фальшиві новини про стан Стіва Джобса, після яких акції компанії Еппл різко падали. Це найбільш яскравий приклад використання техніки FUD у шкідливих цілях. Крім того, слід остерігатися спам-повідомлень, спрямованих на штучне підвищення цін, наприклад, на фондовому ринку або на ринку криптовалют. У таких випадках зловмисники можуть розсилати листи з розповіддю про приголомшливий потенціал конкретних акцій/монет, куплених заздалегідь. Далі багато хто захоче купити ці акції якнайшвидше, і ціни злетять вгору. Після того, як шахраї продадуть свої акції, ціну впадуть знову.
Висновок
Кібершахраї зазвичай вдаються до дуже витончених технік соціальної інженерії Після ознайомлення з методами вище можна дійти невтішного висновку, що зловмисники досягають своєї мети з допомогою різних психологічних трюків. Таким чином, важливо приділяти увагу кожній дрібниці, яка може розкрити шахраїв. Перевіряйте та перевіряйте ще раз інформацію про людей, які намагаються з вами контактувати, особливо якщо йдеться про розголошення конфіденційної інформації.