Сегодня мы хотим поговорить о социальной инженерии – специфическом классе приемов атак на пользователя, как на личность. На самом деле, это очень распространенное явление. Гораздо более повсеместное и опасное, чем вы привыкли думать.
Социальный инжиниринг дает мошеннику возможность узнать ваши пароли, угнать деньги с карты и это далеко не полный перечень бед, которые на самом деле могут приключиться. Мы решили, что должны рассказать о подстерегающих опасностях. Прочитав эту статью, вы будете понимать психологию кибермошенников и сможете защитить от них себя и свои данные.
По сути, интернет-мошенники стремятся взломать вашу личность. И большинство преступлений осуществляется именно таким образом. Шедевры мирового кинематографа «Блеф», «Ва-банк», «Поймай меня, если сможешь» давно и в деталях рассказывают об этом.
Специфика хакера, использующего методы и приемы социального инжиниринга, в том, что мы добровольно передаем в его распоряжение личную конфиденциальную информацию. Он не использует технические средства, просто манипулирует подсознанием.
Проиллюстрируем глобальный эффект опасностей «в сети» фотографией Марка Цукерберга. Не так давно было опубликовано фото его рабочего места, и внимательные люди сразу заметили, что веб-камера и микрофон ноутбука основателя Facebook заклеены изолентой.
Таким образом Марк Цукерберг, как и многие другие предусмотрительные пользователи, защищаются от хакеров. Даже если злоумышленнику удастся удаленно подключиться, ничего, кроме размытого пятна он не увидит. А вот с микрофоном стоит поступить иначе – отключить его физически. Потому что, как минимум рабочие разговоры каждого из нас могут быть очень интересны конкурентам.
Однако не стоит расслабляться, заклеив соответствующие отверстия ноутбука скотчем или цветной изолентой. Тем не менее, веб-камера и микрофон все же технически непростые каналы слежки.
Помните, все, что хакеры украдут или обманом завладеют вашими данными и обязательно используют их против вас. Мы поможем вам стать бдительней и IT-грамотней.
Немного цифр для понимания масштаба проблемы
Ниже представлена динамика потерь от кибермошенничества в РФ за последние несколько лет. Отечественное положение вещей полностью отражает мировую тенденцию.
Тем более что в 2016 году убытки от киберпреступности достигли размера ¼ бюджета нашей страны. В эту сумму входят как прямой финансовый ущерб от деятельности хакеров, так и затраты на ликвидацию последствий их деятельности.
Отметим, что объем убытков от кибер-преступников можно посчитать очень приблизительно. Большинство потерпевших, среди которых много банков и компаний, опасаются репутационных потерь, поэтому не афишируют информацию о взломах и хищениях.
Новые продвинутые мошенники – социальные инженеры
Интернет давно стал привычной и неотъемлемой частью нашей жизни. Качество и количество киберзлоумышленников непрерывно растет, создавая их новых класс – социальных инженеров с преступным умыслом. Этому существует логическое пояснение – IT-технологии стремительно совершенствуются, а люди, их слабости, инстинкты, комплексы, привычки и предрассудки практически не меняются. Поэтому проще, дешевле и эффективней всего взламывать систему безопасности (личную или корпоративную) именно через человека.Кстати, тенденция последних лет – появление кибернаемников, которые в любой момент готовы принять кибер-заказ на взлом личности конкретного человека. Стоимость их услуг варьируется в зависимости от объема и сложности поставленной заказчиком задачи. Взлом почтового ящика и копирование всех имеющихся в нем писем в России стоит порядка 50 тыс. руб.
Кибернаемники стремились объединиться для достижения преступной цели всегда. Это логично – эффективность хакерских групп намного выше усилий одного хакера. Но с 2014 г. подобное явление приобрело массовый характер.
Так, известная хакерская группа объявила войну достаточно крупной компании – сайту знакомств Ashley Madison. Результатом взлома стало то, что подробности об аудитории сайта стали достоянием общественности. Чем не преминули воспользоваться другие киберпреступники. Данные более 30 млн. пользователей ресурса, включая и личную переписку, стали поводом для шантажа и компроментации многих высопоставленных чиновников и влиятельных людей. За неразглашение «утекших» данных супругам и журналистам с зарегистрированных посетителей сайта требовали значительные выкупы.
Заодно выяснился и тот факт, что ресурс знакомств Ashley Madison брал деньги за удаление не просто аккаунтов, но и истории, но на самом деле ничего не удалял.
Что хочет получить кибер-мошенник
Деньги! Все, что делает злоумышленник, происходит именно ради них.Ниже мы классифицируем цели, ради которых совершаются кибер-атаки. Но они всего лишь промежуточное звено на пути к самой главной — деньгам.
На диаграмме представим цели атак.
Наши психокомплексы, которые эксплуатируют хакеры
Психокомплексы – это те струны, играя на которых, можно выключить нашу способность критично оценивать происходящее. Их много, но на вооружении хакеров стоят несколько основных:1) страх;
2) любопытство;
3) жадность;
4) великодушие и жалость;
5) доверчивость.
Социальный инжиниринг использует превосходство так – в разговоре с авторитетным специалистом, пришедшим получить вашу консультацию, можно пойматься на чувстве собственного превосходства, пытаться указать собеседнику на его реальное место. И не заметить, как в ходе словесного боя проговориться о чем-то действительно важном.
Страх же заключается в боязни потерять работу, должность, престиж, сделать что-то не так или выглядеть глупо. И мы опять идем на поводу у хакера.
Тем не менее, самым любимым психокомплексом любых преступников, в том числе и кибер-, является жадность. Именно это чувство полностью отключает критичность мышления практически у любого человека. Манипулировать жадностью очень просто – надо определить систему ценностей, хобби и интересов конкретного пользователя. Не обязательно предлагать именно деньги, мотивирующим предметом могут быть и не они. Надо узнать, что именно входит в круг интересов потенциальной жертвы – информация, предметы коллекционирования, пороки, наконец, секс и пообещать это. Помните, обещать законом не запрещено.
Мы описали 5 основных уязвимостей человеческой психики. Но киберпреступник, в принципе, может использовать в своих целях любую эмоцию – печаль, зависть, ненависть, любовь и секс.
Как мы сами помогаем хакерам взломать нашу личность
Рискованные привычки пользователей с точки зрения киберпреступности:1) посещение порносайтов – 80% риска;
2) ложь о персональных данных – 78% риска;
3) использование открытых WiFi-сетей – 77% риска.
Кто чаще страдает от действий киберпреступников
1) женщины – 65%;2) мужчины – 72%;
3) в возрасте от 18 до 31 года – 75%;
4) в возрасте от 58 до 65 лет – 61%.
Соцсети – основной источник информации о личности, используемый при взломе
Сегодня большая часть «взлома личности» происходит еще до начала хакерской атаки с применением приемов социальной инженерии. И общая для всей пользователей страсть к демонстрации подробностей личной жизни посредством соц. сетей очень на руку заинтересованным лицам.Кратко проанализируем, как конкретные соц. сети способны создать объективный и емкий образ потенциальной жертвы:
1) Фейсбук и Одноклассники подробно расскажут о составе семьи и интересах «объекта».
2) Twitter даст полное представление о привычках и распорядке.
3) LinkedIn многое знает о компании и ее сотрудниках.
Приведем пример того, как социальный инжиниринг способен экономить усилия хакеров, предпочитающих опираться на данные соц. сетей.
Итак, в Фейсбуке находим страницу руководителя компании, который уехал в отпуск, просматриваем список его друзей и достаточно быстро находим среди них подчиненных. Отправляем им письмо с нейтральным текстом наподобие «Здесь действительно круто! Оцените фото». И прикладываем фишинговую ссылку. Большинство подчиненных обязательно пройдут по ссылке. И скачают что-то вредоносное. Несложное и эффективное хакерское решение.
Обычно считается, что социальный инжиниринг – занятие только для хакеров. Мы не будем отрицать этот очевидный факт, но призываем вас быть бдительными всегда – и онлайн, и оффлайн.
Будьте IT-грамотны, друзья!
