11089
Основных методов всего 3, зато работают они на все 100. Что важно знать и помнить, чтобы не остаться без денег на счете и без квартиры?
Уже первые хакеры, которые обзавелись компьютерами еще в 80-90-ых годах прошлого века, использовали методы социальной инженерии. Ведь по сути — это практически те же алгоритмы, что и в компьютерах, но как удачно они «дополняют» высокие технологии!
Алгоритм (схема действия) методов социальной инженерии:
- сбор данных о потенциальной жертве (чаще всего через социальные сети)
- установление близких и доверительных отношений с жертвой
- преступные действия
- заметание следов своей деятельности (к примеру, уничтожение аккаунта)
Общий принцип всех методов социальной инженерии — ввести жертву в заблуждение. Для этого используется целый спектр воздействий, которые направлены на те или иные особенности личности:
- влюбленность (отставной «американский генерал» просит влюбленную в него женщину перечислить деньги для покупки авиабилета или разблокировки денежных средств на счете)
- сочувствие (так собирают деньги на помощь больным людям или животным, которых на самом деле не существует)
- жадность (предлагают получить большую сумму или ценный приз — нужно только оплатить доставку)
- страх перед вышестоящим начальством (как вы еще не сделали этого?)
- неопытность и доверчивость
- лень (человек идет на сайт банка не через сам сайт, а переходит на него из странички в социальной сети)
Что же это за методы, и как с ними бороться?
Фишинг
Это вид социальной инженерии направлен на то, чтобы узнать ваши логин, пароль, коды доступа к системам дистанционного банковского обслуживания или получить сведения о данных вашей банковской карточки.
Пример 1.
Создается сайт, внешне похожий на интернет-магазин или портал с очень заманчивыми ценами. Все, что нужно жертве — ввести данные о своей банковской карте: номер, срок действия, имя, CVC-, CVV-код. Затем эти данные похищаются.
Пример 2.
Создается поддельный сайт банка (чаще всего полная копия за исключением адреса) или поддельный аккаунт банка в социальной сети, через который можно пройти на поддельный сайт. С такой фишинговой страницы человека перенаправляют уже в поддельный интернет-банк, где необходимо ввести настоящие логин и пароль.
Как противодействовать?
- не вестись на предложение низких цен на незнакомых сайтах
- не переходить на страницу своего банка из социальных сетей или через ссылки, пришедшие в письмах
- заходить на сайт своего банка или в его интернет-банк, каждый раз вводя адрес (если вы его помните), через закладки в интернет-браузере, через известные поисковые системы: Google, Yandex
Троянские кони
Впервые троянского коня использовали еще несколько тысячелетий назад для того, чтобы напихать в него своих солдат и оставить под воротами осаждаемого города. Осажденные, движимые любопытством, завезли коня внутрь и… потом сильно об этом пожалели.
За прошедшее время схема ничуть не изменилась. В наши дни жертва получает письмо, в котором есть:
- ссылка
- видео- или фотоизображение
- обновление уже установленной у жертвы программы
- любой файл, в котором после точки идет расширение .exe
— после перехода по которым, или сохранения, открытия которых происходит заражение компьютера или целой корпоративной сети.
Далее развитие событий будет зависеть только от фантазии социального инженера: кража логина и пароля для систем дистанционного банковского обслуживания, паролей от электронной почты, слежка за пользователем, уничтожение программного обеспечения…
Создатели «троянских коней» используют любопытство, жадность и страх перед начальством
В последнем случае, бухгалтер может получить пакет документов «для окончательного расчета» с «адреса» контрагента или даже от руководства компании. По этим подложным счет-фактурам и договорам происходит оплата, и… вернуть деньги практически невозможно.
Хотя в последнее время, роль «испуганного бухгалтера» все чаще выполняют сами вирусы, «приехавшие» в троянском коне. Такие зловреды могут полностью опустошить счета компании.
Как противодействовать?
- не открывать письма, автора которых вы не знаете, и письма, которых вы не ждали
- проверять достоверность сведений в письмах, пришедших с известных адресов
- не загружать на компьютер неизвестные программы и не вставлять в него непонятно откуда взявшиеся флешки и другие переносные устройства
С флешками и переносными устройствами ситуация может развиваться еще по одному сценарию. Вы можете обнаружить у себя около офиса или около дома флешку, принадлежащую конкурентам или друзьям. С виду она будет выглядеть обычно и содержать файлы: «Годовой отчет», «Список зарплат», «Вася отжег по полной». Расширения файлов будут тоже вполне будничными: doc, xlsx, pdf, avi. Но при их открытии на компьютере установится вирус.
Претекстинг
Это метод, использующий заранее подготовленные сценарии и страх, доверие или жадность потенциальной жертвы.
Пример 1. На ваш мобильный с телефонного «номера банка» (его легко можно подделать с помощью технических средств) звонит сотрудник банка и просит назвать данные карточки, подтвердить логин и пароль от систем дистанционного банковского обслуживания. Иногда звонков может быть несколько: сначала от «правоохранителей», потом из «банка»
Пример 2. С вами связывается некто (компания «Рога и копыта», ведущий передачи «Момент удачи») по телефону, через электронную почту, в мессенджере или через соцсеть. Вам сообщают, что вы стали счастливым владельцем автомобиля, путевки в Парагвай, швейцарских часов, — остается только оплатить их доставку. После оплаты, как вы понимаете, ничего не происходит
Пример 3. С вами знакомится «американский генерал», «нигерийская принцесса», «австралийский миллионер», у которого возникли проблемы с транспортировкой или разблокировкой счета с 6 нулями в американских долларах. Вам нужно перечислить какую-то сумму заморскому банку, чтобы разблокировать или получить эти деньги. Иногда генерал, принцесса и миллионер могут предварительно вступить с вами в долгую переписку, присылать фото и даже признаваться в любви.
Претекстинг хорош тем, что злоумышленнику не нужно предварительно собирать данные о вас, он и так узнает все необходимое в процессе общения.
Как противодействовать?
- не заговаривать с незнакомцами, которых вы никогда не видели в реальности
- извиняться перед позвонившим «банком» и говорить, что перезвоните ему через 5 минут: «Да, и номер своего банка я знаю!»
- не вестись на слова о победе в розыгрышах!
Кстати, в белорусских банках рассказывают реальные случаи, когда настоящих победителей, выигравших автомобили в рекламной игре, приходилось неделями убеждать в реальности выигрыша. Но… если вы боитесь упустить свое, помните — реальный организатор рекламной игры, в которой вы победили, достанет вас буквально «из-под земли», это в его интересах.
Что важно знать, чтобы не стать жертвой «социальных инженеров»?
- Не размещайте в социальных сетях информацию, которая позволяла бы определить ваше местожительство, местонахождение, материальное положение. А также не размещайте там данные о своих банковских карточках (их фото!) или реквизиты для доступа к системам дистанционного банковского обслуживания
- Остерегайтесь «плечевого серфинга». Человек устроен так, что он реагирует на опасности, которые видит перед собой. Но в ситуации, когда перед вашими глазами экран смартфона, планшета, ноутбука, вы не в состоянии увидеть, кто и что читает на этом экране через ваше плечо. Поэтому старайтесь держаться так, чтобы незнакомцы не могли увидеть информацию на вашем устройстве. Тем более, если это личные или корпоративные данные
- Помните, что существует «обратная социальная инженерия», когда вы обращаетесь за помощью к сотрудникам техподдержки, банка или посторонним, и они могут узнать ваши логин и пароль, ПИН-код или другие данные. По возможности, меняйте скомпрометированные реквизиты, если вы передали их посторонним, а карточку, побывавшую в чужих руках, перевыпускайте.
Скажете: «Паранойя какая-то!» Мы ответим: «Да!» Но именно паранойя позволит сохранить ваши деньги и даже ваш бизнес!
Источник: www.infobank.by
