Что такое социальная инженерия и где она применяется

Социальная инженерия — это нетехническая стратегия, используемая киберпреступниками, которая в значительной степени опирается на человеческое взаимодействие и часто включает в себя манипулирование людьми с целью нарушения стандартных практик и процедур безопасности с целью получения несанкционированного доступа к системам или информации.

Некоторые области ее применения:

Кибербезопасность и взлом: Манипуляции с людьми — основной инструмент киберпреступников для взлома систем. Вместо поиска технических уязвимостей, злоумышленники атакуют человеческий фактор, так как это проще и дешевле. Путем обмана они вынуждают людей раскрывать пароли или совершать опасные действия, например, переходить по вредоносным ссылкам, что ставит под угрозу безопасность.

Методы допроса: Правоохранительные органы часто используют социальную инженерию во время допросов. К примеру, они могут наладить контакт с подозреваемыми, чтобы повысить вероятность раскрытия ими информации, или они могут делать вид, что знают больше, чем есть на самом деле, чтобы добиться признания.

Мошенники и мошенничество: Социальная инженерия по сути является хлебом насущным для мошенников. Они могут использовать такие приемы, как представление себя за сотрудника банка, представителя лотереи или нуждающегося человека, чтобы обманом заставить своих жертв отдать им деньги.

Как работает социальная инженерия?

Она использует психологию и поведение человека, чтобы обманом заставить людей предоставить конфиденциальную информацию или предоставить доступ к системам или ресурсам. Общие шаги часто включают:

• Расследование или исследование: злоумышленник идентифицирует цель и собирает как можно больше информации, чтобы понять ее интересы, привычки, отношения, должностные обязанности и т. д. Эта информация часто собирается из профилей в социальных сетях, веб-сайтов компаний или других общедоступных источников.
• Разработка стратегии: на основе собранной информации злоумышленник придумывает правдоподобный сценарий или предлог. Это может быть выдача себя за коллегу, которому нужна помощь, специалиста по поддержке из компании-разработчика ПО или даже за розыгрыш с привлекательным призом, к примеру.
• Установление взаимопонимания: злоумышленник устанавливает первоначальный контакт с целью и работает над построением доверия. Он может использовать собранную ранее информацию для построения связи или завоевания доверия.
• Эксплуатация: Когда доверие установлено, злоумышленник манипулирует жертвой, заставляя её выполнить нужное действие — перейти по вредоносной ссылке, раскрыть пароль или перевести деньги. Часто используется давление через панику или срочность, например, угрозы блокировки карты или заражения вирусом.
• Исполнение: злоумышленник использует полученную информацию или доступ в вредоносных целях. Это может включать кражу средств, доступ к конфиденциальным данным или установку вредоносного ПО для дальнейших атак.
• Выход: после достижения своей цели злоумышленник обычно заметает следы, чтобы избежать обнаружения и, возможно, использовать тот же маршрут доступа в будущем.

Известные тактики и методы социальной инженерии

Фишинг: это метод, при котором злоумышленник отправляет сообщение, обычно электронное письмо, которое, получено из "надежного источника", и запрашивает конфиденциальную информацию, такую ​​как имена пользователей, пароли или данные кредитной карты. Получателя обманывают, заставляя поверить, что данное сообщение - это то, что ему нужно, а после он нажимает ссылку или загружает вложение.

Целевой фишинг: это более целенаправленная форма фишинга, при которой злоумышленник изучает свою жертву и персонализирует свои сообщения, чтобы они казались более законными. Это может включать использование имени жертвы, должности или другой личной информации. Атаки целевого фишинга особенно эффективны, поскольку они в высокой степени персонализированы и часто кажутся исходящими из надежного источника.

Атака Watering Hole: Злоумышленник выявляет веб-сайты, которые часто посещает целевая группа людей или организация, и заражает их вредоносным ПО. Когда члены группы заходят на эти сайты, их компьютеры подвергаются заражению, что даёт преступнику доступ к системе. Этот метод особенно опасен, так как атакуются не сами пользователи напрямую, а ресурсы, которым они доверяют, что упрощает проникновение в защищённые сети.

Медовая ловушка: злоумышленник создает фальшивый профиль в соцсетях или на сайтах знакомств, чтобы выманить у жертвы конфиденциальную информацию через романтические или дружеские отношения.

Приманка: злоумышленник предлагает жертве заманчивое предложение, например, загрузку файла или оставленный USB-накопитель. К примеру, предлагая заманчивую загрузку фильма, или это может быть связано с USB-накопителем с надписью «План увольнения Q1», намеренно оставленным в общественном месте, чтобы жертва могла его обнаружить. После взаимодействия с приманкой устройство жертвы заражается, что даёт преступнику доступ к системе.

Вот примеры нескольких значительных инцидентов, связанных с социальной инженерией:

Хакерская карьера Кевина Митника: Кевин Митник, пожалуй, самый известный социальный инженер. В 1980-х и 1990-х годах Митник использовал социальную инженерию, среди прочих приемов, для взлома десятков систем, в том числе систем таких крупных корпораций, как IBM и Nokia. Он часто обманывал людей, выдавая себя за системного администратора.

Операция «Аврора»: в 2009 году хакеры, предположительно базирующиеся в Китае, провели серию кибератак, известных как «Операция «Аврора». В ходе атак, нацеленных на десятки крупных компаний, включая Google и Adobe, использовались фишинговые письма, чтобы обманом заставить сотрудников щелкнуть ссылку, которая устанавливала на их компьютеры скрытого троянского коня.

Мошенничество с биткоинами в Twitter в 2020 году: в 2020 году было взломано 130 известных аккаунтов Twitter, включая аккаунты Илона Маска, Билла Гейтса и Барака Обамы. Злоумышленники опубликовали твиты с просьбой к подписчикам отправить биткоины на определенный адрес, обещая удвоить их деньги. Сообщается, что злоумышленники получили доступ к внутренним системам Twitter, позвонив сотрудникам и выдав себя за ИТ-персонал Twitter, которому нужны были учетные данные для доступа к системе. Взлом является одним из самых громких примеров социальной инженерии за последние годы.