В очередной беседе обсудим социальную инженерию и основные методы, как не попасться на уловки мошенников.
Самый главный фактор в этой истории с кибербезопасностью – человеческий.
Люди – самое уязвимое звено в этой цепочке, и неудивительно что мы часто попадаемся на, казалось бы, простые хитрости.
Это нормально, так как в основе этого лежат когнитивные искажения (глупость людей, их безалаберность и невнимательность).
Итак, что такое социальная инженерия? Это различные способы обмана пользователей с использованием различных манипуляций и уловок, чтобы раскрыть их личные данные или получить доступ в информационные системы, чаще всего корпоративные.
Главное – понимать логику и механизм действия атак, тогда вам их будет гораздо проще распознать.
Способов бывает масса, опишу некоторые из них
Например, мошенник может оставить «приманку»: бесхозную флешку или внешний жесткий диск. Вы нашли ее, и из любопытства решили посмотреть, что там. Естественно, там уже есть вирус или программа-вымогатель, который активируется при подключении флешки, а сценариев их действия может быть куча – от хищения паролей до физического повреждения компьютера. Не подключайте неизвестные флешки к компьютеру, а любые флешки всегда проверяйте антивирусом.
Атаки с использованием опросов, или иначе – претекстинг, то есть действие по заранее составленному сценарию. Для этого мошенник может позвонить жертве и представиться сотрудником технической поддержки или провести вроде бы безобидный опрос, однако во время разговора может быть собрана значимая информация, например, дата рождения, номер паспорта, ИНН, последние цифры банковского счета.
Сюда же можно отнести звонки или СМС родителям с просьбой о помощи («мама, я попал в аварию, переведи, пожалуйста, деньги на такой-то счет, подробности расскажу позже»). Расчет делается на чувства родителей от неприятной новости и их дезориентированность. Условьтесь с родными заранее о каком-то кодовом слове или вопросе, которые будут известны вам обоим. Так вы обезопасите себя от подобных вещей.
Очень часто мошенники взламывают социальные сети, и потом веером рассылают списку контактов предложения с просьбой занять денег, «отдам вот прям завтра! Клянусь!». Это тоже социальная инженерия, не ведитесь.
Фишинг – очень богатая поляна для мошеннической деятельности. В данном случае, мошенники рассылают сообщения якобы от имени банка или платежной системы, письмо может выглядеть как настоящее, с логотипами банка, корпоративными шрифтами и так далее.
Обычно в письме содержится ссылка на фальшивую страницу в интернете, которая тоже выглядит, как настоящая – с логотипом, оформлением, и самое главное – формой ввода, обычно для банковской карты.
Таким образом мошенники похищают деньги или данные. Поэтому всегда надо проверять адрес отправителя в письме, сравнить письма с предыдущими от банка, не переходить по ссылкам в письме, если они показались подозрительными, обратить внимание на орфографию – в таких письмах часто бывают ошибки.
Также существует подвид фишинга – вишинг (голосовой фишинг), когда злоумышленник может притвориться коллегой из отдела IT, звоня по телефону, и просит у вас, например, учетные данные.
Итог – всегда проверяйте первоисточник, не стоит делать необдуманных действий. Мошенники часто используют фактор срочности в расчете на то, что жертва не особенно будет думать про последствия. Остановитесь и подумайте. Проверьте данные. Перезвоните по официальному телефону или сами зайдите на официальный сайт. Уточняйте данные того, кто вам звонит, или его руководителя. Если сомневаетесь: скажите, что вам надо подумать и вы дадите обратную связь позже.
пример письма
Ну и самое главное – будьте сдержаннее в интернете, не оставляйте свой цифровой след, потому что мошенники часто изучают жертву и входят в доверие, упоминая последние события, о которых вы рассказали на стене.
Старайтесь вести соцсети только для друзей, если вы, конечно, не публичный человек, если размещаете резюме в соцсети, удалите оттуда свои контактные данные.
Анатолий САЗОНОВ
