В глобальной сети Интеренет множество людей заходят на различные сайты и регистрируется взамен на какие-либо бесплатные услуги, функционал или информацию. При регистрации пользователь вводит свой пароль и логин, в некоторых случаях и другие данные.
Для того чтобы сохранить вашу личную информация в безопасности и чтобы она не попала в чужие руки, необходимо придерживаться несколько простых правил, в основном это надежный пароль.
В большинстве случаев пользователи ленятся ввести сложный пароль и просто набирают первые попавшиеся на клавиатуре буквы или цифры. И делают грубейшую ошибку. Подобрать, методом брутфорса, такой пароль для хакера не составит особого труда. При взломе аккаунта этот способ стоит на первом месте и не требует особых знаний и действий со стороны злоумышленника.
Для того, чтобы избежать многих проблем, надо использовать сложный пароль, но даже в таком случае, есть специальные люди, которые используют в действии приемы социальной инженерии и этим специалистам неважно какой у вас пароль.
Какие методы социальной инженерии используются
Рассылка битых ссылок
Социальные инженеры непосредственно воздействуют на человека отправляя на его электронный ящик или пишут сообщение в социальных сетях с соблазнительным содержанием, призывающим перейти по ссылке. Ссылка может вести на фишинговый, лохотронный или зараженный вирусом сайт.
В случаях с фишинговыми сайтами ссылка будут отличаться от настоящего оригинального сайта. То есть есть сайт Вконтакте, а фишинговый сайт будут выглядеть одинаково но адрес в браузере будут отличаться на несколько букв или цифр. Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных своей кредитной карты или логина с паролем эта информация сразу направится к злоумышленнику.
Одним из наиболее известных примеров глобальной фишинговой рассылки служит кража данных 2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых утверждалось, что их учетная запись была заблокирована, и для её разблокировки требуется обновить данные о кредитных картах. Во всех этих письмах присутствовала ссылка, ведущая на поддельную веб-страницу, в точности похожую на официальную.
Брендовые сообщения
Этот способ схож с первым методом, однако в таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учетные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефонной связи.
Бесплатная халява
Пользователь всегда хочет получить товар или услугу как можно выгоднее или вообще бесплатно. И этим пользуются мошенники используя один из методов социальной инженерии, основанный на бесплатном предоставлении чего-либо. Жертва может получить заманчивое предложение, которые затрагивают главные струны души большинства людей -- это жадность и любопытство, например: Вы видите сообщение, в котором предоставляются бесплатные способы заработка или выигрышные стратегии в онлайн казино или играх. Даже был такой случай, что мне на электронный адрес приходило два-три сообщения с одинаковым содержанием: «Вы выиграли 150 тысяч рублей, спешите забрать свои деньги».
Претекстинг
Претекстинг - атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию выуживает конфиденциальную информацию. Эта атака подразумевает предварительную подготовку по получению данных, будь то: паспортные, банковские, водительские данные, ИНН и др., для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется по телефону или электронной почте.
Телефонный фишинг
Телефонный фишинг - это один из методов мошенничества с использованием принципов социальной инженерии, который заключается в том, что злоумышленники, используя телефонную связь играют определенную роль (сотрудника банка, покупателя, владельца и т.п.), под разными предлогами выманивают у сотрудника конфиденциальную информацию или стимулируют к совершению определенных действий.
Телефонный фрикинг
Фрикинг - мошенничество, связанное с телефонными (а в последнее время и с мобильными) сетями, один из подвидов хакерства. Данный термин, описывает эксперименты и взлом телефонных систем с помощью звуковых манипуляций с частотой и тоновым набором.
Этот метод появился в конце 50-х в Америке. Телефонная корпорация Bell, которая тогда покрывала практически всю территорию соединенных штатов, использовала тоновый набор для передачи различных служебных сигналов. Энтузиасты, попытавшиеся повторить некоторые из этих сигналов, получали возможность бесплатно звонить, организовывать телефонные конференции и администрировать телефонную сеть. Способ телефонной манипуляции активно исользовался до 2000 годов и ярко представлен в письменных материалах 90-х. Например в биографии Кевина Митника в самом начале повествования можно найти описание, как он взламывал, а в последствие бесплатно пользовался телефонной связью.
Дорожное яблоко
Этот метод атаки представляет собой адаптацию троянского коня, включающее внедрение вируса в устройство, и состоит в использовании физических носителей. Злоумышленник подбрасывает «зараженные» носители информации (флешки, карты памяти, диски и т.п.) в общественные места, где эти носители могут быть легко найдены, такими как кафе, парковки, столовые, или на рабочем месте атакуемого сотрудника. Человек по незнанию может подобрать зараженное устройство и вставить его в компьютер, чтобы удовлетворить своё любопытство.
Услуга за услугу
Квид про кво - в английском языке этот фразеологизм обычно используется в значении «услуга за услугу». Данный вид атаки подразумевает обращение злоумышленника в компанию к техническим специалистам или поддержке, сообщая о проблемах, которые возникли у них. Зачастую злоумышленник предлагает помощь в их устранении. В процессе «решения» технических проблем, злоумышленник проникает в систему, устанавливая вредоносное ПО и ведет удаленные действия.
Сбор информации из открытых источников
Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как «Одноклассники», «ВКонтакте», содержат огромное количество открытой информации, которые люди выкладывают в открытый доступ. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.
Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети.
Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал жертву и создал фальшивый аккаунт человека из её окружения — её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часов исследователь добился добавления в друзья от жертвы. Тем самым, исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.
Личные наблюдения, шпионаж
Наверное каждый человек видел данные у друзей, знакомых или был случайным очевидцем, которые он мог использовать в корыстных целях. Много информации можно подсмотреть в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте. Подавляющие большинство паролей и логинов было выкрано таким способом.
Обратная социальная инженерия
Обратная социальная инженерия используется довольно часто. Она происходит тогда, когда жертва сама предлагает злоумышленнику нужную ему информацию. Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.
Это не все способы, которые используются в социальной инженерии, множество новых методов появляются с каждым днем. Поэтому знать все 100% способов нельзя, можно лишь быть бдительным и осторожным.