История

3609

Социальная инженерия, или Как не пасть жертвой психологического манипулирования

В большинстве случаев люди теряют свои сбережения не потому, что их счета взламывают хакеры. Владельцы банковских карт чаще всего сами сообщают мошенникам их полные реквизиты, включая номер, срок действия, трехзначный CVV/CVC-код, а также пароли и коды из sms, которые банки присылают для подтверждения операций. Выманиванием таких сведений чаще всего занимаются «специалисты» по социальной инженерии.

В контексте информационной безопасности социальная инженерия — это психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальных данных. Используемые такими «инженерами» уловки, применяющиеся для сбора информации, создания подделок или несанкционированного доступа к чему-либо, отличаются от традиционного мошенничества тем, что часто являются лишь частью более сложной схемы преступного деяния.

 

Статистика

По данным Банка России, в 2020 году на фоне пандемии коронавирусной инфекции число атак, которые мошенники совершили с помощью методов социальной инженерии, выросло на 88%. В 84% случаев злоумышленники связывались с потенциальной жертвой по телефону. Вторым по популярности каналом оказались sms: на них пришлось 15% эпизодов мошенничества. Реже всего злоумышленники пытались связаться с жертвой через мессенджеры. При этом в 57% от общего количества случаев, чтобы получить доступ к деньгам клиентов финансовых организаций, мошенники представлялись сотрудниками служб безопасности банков.

Согласно наблюдениям регулятора, чаще всего от мошенничества с применением социальной инженерии страдают школьники, домохозяйки и пожилые люди. Кроме того, статистика указывает на то, что в 65% случаев жертвами злоумышленников становятся женщины.

В 2021 году ситуация продолжает оставаться крайне напряженной: аферисты продолжают придумывать всё новые и новые схемы обмана.

Единственный способ избежать денежных потерь при встрече с мошенниками — критически воспринимать любые предложения, перепроверять информацию и никогда не торопиться при принятии финансовых решений.

 

Методы манипуляторов

Тот или иной метод взаимодействия с потенциальной жертвой мошенники выбирают в зависимости не только от уже имеющихся знаний об объекте воздействия, но и от непосредственной ситуативной практики. Однако все техники социальной инженерии так или иначе основаны на когнитивных искажениях или ошибках в поведении, которые и используются социальными инженерами для получения конфиденциальной информации. Очень часто это происходит с согласия самой жертвы.

Простой пример: некий человек, возможно, даже одетый в некое подобие корпоративной формы, входит в здание компании и вешает на информационный стенд объявление, выглядящее как официальное и содержащее информацию об изменении телефона справочной службы интернет-провайдера. Когда сотрудники компании звонят по этому номеру, злоумышленник может запрашивать их личные пароли и идентификаторы для получения доступа к конфиденциальной информации.

Самые распространенные техники, используемые в социальной инженерии:

•          фишинг;

Здесь много вариантов взаимодействия с жертвой: отправление несуществующих ссылок, мошенничество с использованием брендов известных корпораций, подложные лотереи, ложные антивирусы и программы для обеспечения безопасности, а также телефонный фишинг или вишинг, который основан на использовании банками и другими учреждениями и организациями системы предварительно записанных голосовых сообщений. Однако на самом деле любой может записать типичный текст вроде: «Нажмите единицу, чтобы сменить пароль. Нажмите двойку, чтобы получить ответ оператора» — и воспроизвести ее вручную в нужный момент времени, создавая впечатление работающей в данный момент системы предварительно записанных голосовых сообщений. Таким образом жертву могут попросить связаться с банком и подтвердить или обновить какую-либо информацию. Поскольку система требует аутентификации пользователя посредством ввода PIN-кода или пароля, мошенники, предварительно записав ключевую фразу, могут выведать всю нужную информацию.

•          претекстинг;

Этот метод, когда злоумышленник представляется другим человеком, чтобы получить конфиденциальную информацию, требует от мошенника заранее подготовленного сценария и часто знания таких сведений, как дата рождения, ИНН, номер паспорта либо последние цифры счета жертвы, чтобы не вызвать у нее подозрений. Этой техникой пользуются, связываясь с потенциальной жертвой посредством телефона или электронной почты.

•          сбор информации из открытых источников;

Обычно такими источниками оказываются страницы пользователей социальных сетей, где часто в свободном доступе можно найти такие данные и сведения, как номер телефона, дата рождения, фотографии, друзья и т.д.

•          плечевой серфинг;

Удивительно, но данный метод получения личной информации о других людях основан на наблюдение за жертвой буквально через ее плечо! Проще всего делать это в общественных местах (кафе, торговых центрах, аэропортах, вокзалах, общественном транспорте), где ничего не подозревающие потенциальные жертвы социальных инженеров не считают нужным позаботиться о том, чтобы отображаемую на экранах их электронных устройств информацию не могли увидеть посторонние лица.

•          обратная социальная инженерия.

Это те случаи, когда жертва сама предлагает злоумышленнику нужную ему информацию. Кажется абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация, однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно ничего спрашивать!

 

Как спастись от «инженеров»?

Чтобы не пасть жертвой мошенников, следуйте базовым правилам финансовой безопасности:

  • никому ни при каких обстоятельствах не сообщайте полные реквизиты банковской карты, включая трехзначный код с обратной стороны; а также ПИН-коды и пароли из sms от банка;
  • не переходите по сомнительным ссылкам из сообщений и писем;
  • не переводите незнакомцам деньги по первому требованию;
  • не храните много средств на карте, которой расплачиваетесь в Интернете, кладите только ту сумму, которую собираетесь потратить в ближайший момент. В этом случае, даже если мошенники попытаются украсть деньги, им не удастся вывести слишком много;
  • получив внезапный звонок из какой-либо финансовой организации со срочным вопросом или предложением, положите трубку и позвоните туда сами, найдя номер на официальном сайте. Набирайте этот номер вручную. Если с вами связались из компании, клиентом которой вы не являетесь, сначала проверьте ее по справочнику финансовых организаций;
  • не соглашайтесь сходу ни на какие «заманчивые предложения», будь то «выгодный кредит» или внезапная «компенсация». Дайте себе время на размышление, посоветуйтесь со знакомыми, пробейте в Интернете информацию о компании и «уникальной акции», которую вам отрекламировали;
  • не публикуйте в открытом доступе свои персональные данные (номер телефона, домашний адрес, данные паспорта), иначе мошенники охотно задействуют эту информацию в своих аферах.

Будьте бдительны, не наступайте на чужие грабли!

 

Светлана Малевич, руководитель проекта «Основы финансовой грамотности» МБУДО «Центр внешкольной работы» г. Отрадное

Вернуться к списку новостей