«Троянский конь», «Дорожное яблоко», «Подсматривание через плечо», «Кви про кво» — этими техниками пользуются мошенники, вместо того чтобы нападать на жертву в темном подъезде с ножом. На смену ограблениям со взломом пришли хищения электронных денежных средств. Мы, становясь жертвами, добровольно даем мошенникам доступ к своему онлайн-банку или же переводим деньги на нужный счет. По сути, интернет-мошенники «взламывают» нашу личность. Большинство таких «взломов» относятся к социальной инженерии (от англ. social engineering) — методу получения необходимого доступа к информации, основанному на особенностях психологии людей. Что же это такое и как противостоять преступникам, разбирается независимый финансовый консультант Людмила ДЯГИЛЕВА.
Социальная инженерия (SE) является смесью науки, психологии и искусства. Хотя это удивительно и сложно, это также очень просто. Главная задача мошенника — социального инженера — создать стрессовую ситуацию, выбить человека из привычной колеи и заставить совершить действия, для него не характерные. Например, под угрозой якобы «несанкционированного списания» убедить сообщить мошеннику код из СМС для подтверждения перевода или перепривязки своего счета к другому номеру телефона.
Масштаб проблемы
Банк России называет социальную инженерию одной из главных проблем в информационной безопасности. Если вы считаете, что вас это не касается и во всех хищениях виноваты недобросовестные работники банков, сливающие данные своих клиентов, то это не так. По данным Центра мониторинга и реагирования на кибератаки в финансовой сфере (ФинЦЕРТ ЦБ), допущенные банками утечки баз — лишь капля в море объема персональных данных, которые обращаются на черном рынке. За прошлый год объем хищений у банковских клиентов составил 1,4 млрд рублей, из которых около 97% преступлений совершалось с помощью методов социальной инженерии. Пользователи самостоятельно предоставляли преступнику доступ к средствам — своим собственным или банка.
Кто больше всего страдает от действий мошенников
Исследования, которые ФинЦЕРТ ЦБ провел вместе с банками, показывают, что мошенники переориентировались со старшего и среднего возраста на категорию экономически активных граждан 30–45 лет. Это основная аудитория мошенников, причем около 65% в ней занимают женщины.
Что хочет получить кибермошенник?
Деньги. Все, что делает мошенник, происходит именно ради них.
Если вы считаете, что вас это не касается, то знайте, что, по статистике, 80% хакерских взломов компьютерных сетей и краж личности происходит именно с использованием социнженерных методов. И это достаточный повод, чтобы рассмотреть методы и техники социальной инженерии более внимательнее.
Техники социального инжиниринга
Социальная инженерия включает в себя несколько техник. Каждая из них отличается принципом, но цель остается неизменной.
Фишинг (password harvesting fishing — «ловля паролей»): получение необходимой информации напрямую от владельца при помощи электронной почты, сервисов мгновенных сообщений или СМС-сообщений. Например, вам присылают электронное письмо от имени известного бренда или сайта банка, платежной системы с просьбой авторизоваться из-за технических проблем. В письме находится ссылка на фальшивую веб-страницу, до мелочей имитирующей официальную. Если вы выполните все, что требуют в письме, вы — жертва кибермошенников.
«Троянский конь». Это одна из самых опасных для компьютера и его владельца угроз в интернете. Если вы хорошо знаете историю, то вам нетрудно будет вспомнить, как греки выиграли Троянскую войну, скрываясь в большой полой деревянной лошади, для того чтобы войти в хорошо укрепленную Трою. Программа «троянец» «скрывается» в безобидных программах, таких как игры, изображения, музыка или видеофайлы, но как только эти программы загружаются на устройство, вредоносное ПО начинает свою работу. «Троянцы» могут стереть ваш диск, посылать номера вашей кредитной карточки и пароли незнакомцам или позволить другим использовать ваш компьютер в незаконных целях.
«Дорожное яблоко». Техника, использующая человеческое любопытство. Если, например, сотрудник компании заметит оброненный кем-то диск с корпоративными логотипами и надписью «Зарплаты персонала», велика вероятность, что любопытство возьмет верх, и он постарается ознакомиться с его содержимым. И скачает вредоносное ПО.
«Претекстинг». Мошенник озвучивает заранее заготовленный текст со всеми встроенными психологическими ловушками. Именно поэтому способ называется «претекстинг» (от англ. pretext — «предварительный текст»). Например, социальный инженер звонит под видом сотрудника банка и изобретает повод узнать личные данные или данные банковской карты.
Лайфхак. Даже если разговор с кем-то, кто представился сотрудником банка, выглядит очень реалистично, никогда не сообщайте CVV, кодовое слово или код из СМС. Как только вы услышали эту просьбу, знайте: на линии — мошенник.
ФинЦЕРТ ЦБ рассказал о принципиально новом способе хищений у состоятельных граждан с помощью имитации голосов их знакомых. Самая правильная реакция — это положить трубку и перезвонить, уточнить, в чем дело.
«Подсматривание через плечо». Банальная и опаснейшая техника социального инжиниринга. Заключается в том, что конфиденциальная информация похищается именно таким образом — подсматриванием через плечо.
Важно! Чтобы не стать жертвой, надо выработать привычку, находясь в публичном месте, всегда быть начеку — проверять, не смотрит ли кто за вашими действиями.
Лайфхак. Не пользуйтесь интернет-банкингом через бесплатный Wi-Fi, в общественных местах — мошенники могут похитить ваши деньги. Если Wi-Fi «глючит», открывает странные сайты, а знакомые сайты выглядят «как-то не так» — это повод насторожиться и закончить сессию.
«Кви про кво» (от лат. quid pro quo — «услуга за услугу»). Мошенник обращается к вам по электронной почте или телефону, чтобы получить интересующую его информацию взамен на оказанную «помощь». Например, представляется сотрудником техподдержки, который сообщает о технической проблеме в Сети и предлагает помощь. Во время «решения» диктует вам действия, дающие возможность запустить вредоносное ПО или получить удаленный доступ к вашему устройству.
«Обратная социальная инженерия». Мошенник заставляет пользователя самому обратиться к нему за «помощью». Например, на компьютере жертвы атаки сначала создаются неполадки. А потом тем или иным образом подсовывается объявление вроде «если у вас возникли трудности с компьютером, мы вам поможем».
Как защититься
Есть очень простые правила. Никому и никогда не сообщать пароли для входа в онлайн-банк, номер банковской карты, CVC-код и иную информацию, позволяющую произвести списание. Даже если позвонивший представится сотрудником банка и будет иметь о вас какую-то информацию (знать ФИО, дату рождения и т. д.). Вы всегда должны быть уверены, что разговариваете именно с сотрудником банка, МФО и т. д. Не уверены — перезвоните самостоятельно в банк, в МФО. Например, в случае возможных проблем с банковской картой нужно звонить по телефонам, указанным на обороте карты.
Лайфхак. По закону «О национальной платежной системе» у вас есть два дня, чтобы подтвердить или опровергнуть операцию, приостановленную банком как подозрительную — нет необходимости принимать поспешные решения.
Не открывайте сообщения и не переходите по ссылкам от незнакомых лиц. Даже если от знакомого приходит неожиданное сообщение — уточните, действительно он направлял вам это сообщение или же его почтовый ящик был взломан.
Рассылки от имени друзей по типу «глянь, я хохотал неделю» также могут быть способом привлечь ваше внимание и заставить пройти по предлагаемой ссылке. То же касается сообщений в соцсетях — если друг просит денег взаймы или пополнить баланс телефона, убедитесь, что просьба исходит от друга, а не от взломавшего его аккаунт злоумышленника.
По данным ФинЦЕРТ ЦБ, набирает популярность такой вариант мошенничества, как взлом аккаунтов в соцсетях и рассылка друзьям жертвы просьб о помощи. Если друг просит денег взаймы или пополнить счет его телефона, убедитесь, что просьба исходит от друга, а не от взломавшего его аккаунт мошенника.
Лайфхак. По-настоящему эффективная защита от мошенничества — полное игнорирование подозрительного сообщения в соцсетях, по СМС или по электронной почте. Даже если вы вступаете в переписку с социальным инженером исключительно с целью отказа, вы все равно ставите себя под угрозу — подтверждается адрес электронной почты, ваши данные. И следующие рассылки станут более изощренными.
В заключение хочу привести любимую многими киберэкспертами цитату Фрэнка Уильяма Абигнейла, когда-то знаменитого и изощренного мошенника, а сегодня известного эксперта по безопасности личности: «Полиция не сможет защитить пользователей. Людям нужно быть более осведомленными и больше знать о таких вещах, как взлом личности. Следует стать немного умнее, немного сообразительнее. Нет ничего плохого в том, чтобы быть скептиком. Мы живем в такое время, что, если у вас легко украсть, кто-нибудь обязательно воспользуется возможностью».
В конечном счете все зависит от вас, независимо от того, работаете ли вы в компании или являетесь обычным пользователем социальной сети.
