Достижения.рф

Фишинг и социальная инженерия: как мошенники манипулируют людьми? Виды и самые эффективные способы защиты от киберугроз

Фото: iStock/Dima Berlin

Социальная инженерия всегда нацелена на людей. Ее задача — заставить человека поделиться личной информацией или перевести деньги. Существует множество сценариев и методов таких атак, и все они используют человеческие слабости и психологию. Подробнее о видах социальной инженерии и борьбе с ней расскажем в материале «Радио 1».



Что такое социальная инженерия

Социальная инженерия — это набор методов манипуляции, направленных на получение доступа к конфиденциальной информации через влияние на человека. В кибербезопасности атаки такого рода фокусируются на пользователе, а не на системе. Мошенники создают правдоподобные сценарии, используя страх или жадность, чтобы заставить жертву раскрыть пароли или перевести деньги.

Существует также обратная социальная инженерия. В этом случае злоумышленник создает ситуацию, при которой жертва сама инициирует контакт. Например, мошенник может саботировать работу сети и затем представиться техническим специалистом, чтобы помочь решить возникшую проблему.

Методы и виды социальной инженерии

Методы социальной инженерии можно классифицировать по каналу воздействия и используемым психологическим триггерам. Понимание этих видов и механизмов — первый шаг к созданию надежного щита.

Претекстинг


Претекстинг — это метод социальной инженерии, при котором мошенник выдает себя за представителя банка, службы поддержки или правоохранительных органов. Он использует заранее подготовленный сценарий и элементы легитимности, чтобы получить информацию. Например, злоумышленник может позвонить «из техподдержки» с сообщением о критическом сбое и попросить продиктовать код из смс. Важно создать ощущение срочности и авторитета, чтобы жертва действовала быстро, не задумываясь.

Вишинг


Вишинг — это голосовой фишинг через звонки. Мошенники используют автоматизированные системы IVR, чтобы имитировать банковские голосовые меню. Жертве могут отправить фишинговое смс с просьбой перезвонить для отмены подозрительной транзакции. На другом конце отвечает робот, который запрашивает PIN-код или данные карты. Угроза заключается в правдоподобном звуковом оформлении и психологическом давлении, вызывающем страх и желание быстро решить проблему.

Фишинг


Фишинг — это распространенный вид угроз. Его суть заключается в подделке легитимного сообщения от известной организации, такой как банк, социальная сеть или государственная служба, либо даже от знакомого человека. Мошенники стремятся заставить получателя перейти по вредоносной ссылке или открыть зараженное вложение. Классический пример — письмо о блокировке счета с кнопкой «Восстановить доступ», которая ведет на фальшивый сайт.

Более сложная версия — таргетированный фишинг (spear-phishing). В этом случае атака направлена на конкретного человека или компанию. Мошенники используют личные данные из социальных сетей, что увеличивает уровень доверия.

Смишинг и аудиофишинг


Смишинг — это фишинг через SMS. Мошенники отправляют сообщения о проблемах с доставкой, выигрышах или компрометации аккаунта. Аудиофишинг использует голосовые клоны. Злоумышленники могут создать фразу, используя короткую аудиозапись человека. Например, они отправляют сообщение в семейный чат с просьбой о помощи. Этот метод показывает, как мошенники адаптируются к новым технологиям.

Фото: iStock/Yuliia Kaveshnikova

Байтинг


Байтинг — это психологический прием, который использует жадность или желание получить выгоду. В интернете это может проявляться в виде предложений скачать бесплатный пиратский софт, фильм или игру. Мошенники привлекают пользователей заманчивыми условиями. Люди могут потерять свои данные или заразить устройство вирусами.

Дорожное яблоко


Злоумышленник оставляет флеш-накопитель в общественном месте организации с заманчивой надписью, например, «Расчет зарплат руководства. Конфиденциально». Заинтересованный сотрудник, найдя его, вставляет накопитель в рабочий компьютер, что может привести к компрометации всей корпоративной системы.

Услуга за услугу


Еще один вариант мошенничества — схема «услуга за услугу» (quid pro quo). Мошенник может позвонить в офис, представившись техническим специалистом интернет-провайдера, и предложить «повысить скорость соединения» или «установить важное обновление безопасности». В обмен на мнимую помощь он может попросить установить программу с удаленным доступом или предоставить учетные данные для входа в систему.

Плечевой серфинг и тэйлгейтинг


Не все методы требуют использования цифровых технологий. Иногда самый эффективный способ — это простое наблюдение, известное как «плечевой серфинг». В общественном транспорте, кафе или офисе злоумышленник может увидеть, как жертва вводит PIN-код на карте или пароль от компьютера.

Более агрессивным является тэйлгейтинг (проход «на хвосте»), когда мошенник проникает в охраняемую зону (например, офисное здание или серверную) вместе с авторизованным сотрудником, придерживая дверь для него.

OSINT (Open Source Intelligence)


Отдельного внимания заслуживает сбор информации из открытых источников (OSINT). Прежде чем осуществить целевую атаку, злоумышленник тщательно анализирует цифровой след человека или компании: социальные сети, корпоративные сайты, публичные реестры. Узнав имена коллег, график отпусков руководства или данные о недавних сделках, он создает убедительную легенду для телефонного разговора или фишингового письма.

Какие принципы социальной инженерии используют мошенники

Принципы социальной инженерии основаны на понимании человеческой психологии. Мошенники манипулируют эмоциями и слабостями, чтобы заставить жертву совершить определенные действия. Атаки проходят в несколько этапов:
  • Подготовка. Мошенники исследуют жертву или группу, используя информацию из открытых источников, таких как соцсети и корпоративные сайты;
  • Установление контакта. Злоумышленник создает доверительные отношения, ссылаясь на факты, знакомых или события, касающиеся жертвы;
  • Начало атаки. После установления доверия мошенник просит выполнить действия: перейти по ссылке, открыть файл или перевести деньги;
  • Отключение. Как только жертва выполняет требования, контакт прекращается. Жертва осознает обман позже, иногда долго не замечая атаки.
Фото: iStock/nevodka

Как распознать манипуляции и защитить себя и близких: 6 главных правил

В современном мире киберугрозы становятся все более распространенными. Чтобы защитить себя и свои данные, следуйте этим простым, но эффективным советам.

1. Будьте бдительны к нежелательным обращениям


Не предоставляйте личную информацию: никогда не делитесь личными данными или информацией о вашей организации, если не уверены в том, кто запрашивает. проверяйте источники: если получили звонок или сообщение от «главного следователя» или «руководителя отдела», прекратите общение и свяжитесь с ними напрямую.

2. Будьте осторожны с электронной почтой


Не открывайте подозрительные письма: не отвечайте на сообщения с просьбой раскрыть финансовую информацию и не переходите по ссылкам из них. Проверяйте адреса отправителей: киберпреступники могут использовать адреса, похожие на оригинальные. убедитесь, что адрес правильный.

3. Безопасность веб-сайтов


Ищите «https» в URL: сайты с этим протоколом используют шифрование, что делает их более безопасными. Обратите внимание на замок в адресной строке: он указывает на защищенное соединение.

4. Используйте антивирусные программы


Устанавливайте обновления: поддерживайте антивирусные программы, брандмауэры и фильтры электронной почты в актуальном состоянии для защиты от вредоносного ПО.

5. Защита от фишинга


Используйте функции защиты: воспользуйтесь всеми доступными инструментами защиты от фишинга в вашем почтовом клиенте и браузере.

6. Многофакторная аутентификация (MFA)


Активируйте MFA: используйте многофакторную аутентификацию для доступа к почте, социальным сетям и банковским приложениям для дополнительного уровня безопасности.

Следуя этим рекомендациям, вы значительно снизите риск стать жертвой киберпреступников и защитите свои личные и корпоративные данные.
Дарья Осипова

Что думаешь?

0 0 0 0 0 0