Социальная инженерия. Методы хищения средств.
Социальная инженерия
- это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным.
Почему данная методика эффективна и люди с легкостью отдают свои деньги злоумышленникам?
1. Теряют бдительность.
2. Легко верят полученной информации, независимо от ее источника.
3. Считают соблюдение политики информационной безопасности пустой тратой времени и сил.
4. Недооценивают значимость информации, которой владеют.
5. Искренне хотят помочь каждому, кто об этом просит.
6. Не осознают пагубных последствий своих действий.
Фактически за счет человеческой слабости и готовности попасть под воздействие мошенник вынуждает жертву к примеру снять свои средства и пойти пополнить чужой банковский счет.
Методы которыми пользуются мошенники, а именно:
1. Фишинг
2. Претекстинг
3. Квид про кво («Услуга за услугу»)
4. Троянский конь («Дорожное яблоко»)
5. Обратная социальная инженерия
6. Сбор информации из открытых источников
7. Серфинг через плечо
8. Впритык
9. Наживка
Все методы подробно изучать не имеет смысла, остановимся на самых частых способах которые используют мошенники:
Фишинг
Данный вид воздействия наиболее из распространенных сегодня. Вы регулярно с ним встречаетесь. Главная цель: получить доступа к персональным данным пользователя (логину, паролю, имени, адресу, банковским данным). Чаще всего, атака подразумевает под собой отправку жертве электронного письма на почту, которое выглядит точно так же, как и письмо от официального представителя (игрового аккаунта, платежной системы, социальной сети, банка). Письмо будет содержать в себе элементы, которые будут воздействовать на эмоции человека и требовать решительных действий «здесь и сейчас». Сообщение может содержать в себе тему, например: «Ваш аккаунт пытались взломать, необходимо изменить пароль», «Поздравляем! Вам начислено 1000$ в честь дня Рождения проекта, остался 1 день, спешите» и т.п.
Подделку отличить от оригинала крайне сложно. Всегда стоит обращать внимание на такие детали, как:
ссылки (не стоит переходить по ссылкам в сообщение, если не уверены, что оно является подлинным. Лучше всего перейти на подлинный ресурс и получить доступ непосредственно через него);
угрозы (сообщения о том, что аккаунт взломали, средства с банковской карты были сняты и т.п. - не стоит сразу реагировать и пытаться что-либо предпринимать. Удостоверьтесь в том, что письмо является действительным);
текст (в нем могут содержаться банальные орфографические, грамматические и пунктуационные ошибки);
дизайн (если Вы уже ранее получали письма от этого ресурса, посмотрите, соответствует ли структура оригиналу: сравните расположения отдельных блоков, элементов, текста, ссылок);
имя и адрес отправителя (скорее всего адрес будет соответствовать оригиналу, т.к. подделать его не вызывает никаких трудностей, тем не менее, возможно электронная почта отличается одним или нескольким символом, цифрой или же вовсе не соответствует)
Претекстинг
Еще одна форма социальной инженерии, где злоумышленник действует по заранее сфабрикованному сценарию, чтобы получить конфиденциальную информацию от своей жертвы. Атака совершается при предварительной подготовки и с базовыми знаниями ( номера паспорта, даты рождения, последних цифр банковской карты и т.п.). Преступник, например, может выдавать себя за сотрудника службы безопасности фирмы и манипулировать жертвой через мобильный телефон.
В отличие от фишинговых писем, использующих эмоции человека в своих интересах, здесь атаки основана на создании ложного чувства доверия с жертвой. Мошенник придумывает «достоверную» историю, которая не оставляет практически никакого места для сомнения жертве и таким образом получая желаемое.
Очень часто у мошенников заранее готов определенный "скрипт" на разговор чтобы заставить жертву поверить мошеннику и выполнять строго его инструкции. Для этого используются:
Психологическое давление
- требуют принятия решения здесь и сейчас
- не дают время на подумать
Грубые манипуляции
- могут манипулировать близкими родственниками
- заявлять об жизненной опасности жертвы
Специальные обороты речи
- профессионально представляются по "форме". Только подготовленный человек сможет выявить не соответствие
Административное давление
- заявляют об уголовной или административной ответственности
Продолжение следует.....