Первый раз с термином “Социальная инженерия” я столкнулся несколько лет назад, когда во время поиска материала для очередной статьи набрел в сети на один форум, он находился на “темной стороне” – в даркнете.
Там обитают всяческого рода жулики, кидалы и прочие лица с криминальными наклонностями, которые обсуждают и "оттачивают" не совсем честные способы заработка.
В своих обсуждениях злоумышленники подчеркивали важность прокачивания в своей работе техник социальной инженерии, которые помогают манипулировать людьми с целью выуживать конфиденциальные данные или просто обманывать.
Могу вам сказать, что это очень интересная дисциплина и методы, используемые в социальной инженерии, нужно знать хотя бы поверхностно, так как понимание основ может спасти когда-нибудь ваш кошелек, помните, предупрежден – значит, вооружен! Сейчас разберем основные технологии.
Что такое социальная инженерия простыми словами
Социальная инженерия – это простыми словами один из способов “взлома человека”, манипуляции с целью получения выгоды, а именно – конфиденциальной информации, денежных средств или каких-либо услуг на халяву.
Мошенники всегда использовали техники социальной инженерии, но интернет подарил им массу новых возможностей для развития навыков обмана людей, разгадывания их мыслей, управления поступками.
Причем сам человек порой даже не догадывается, что попал в ловушку, он реально до конца уверен в том, что это его личное решение, и он полностью контролирует ситуацию. По этому поводу хорошо высказался известный криптограф Брюс Шнайер:
При этом злоумышленник работает больше с людьми, чем с компьютерами. Электронная машина здесь – просто инструмент и средство коммуникации.
Несмотря на все внешние различия, взгляды, мировоззрение, поведение человека в целом шаблонно, чем активно пользуются жулики: они отлично знают модель поведения человека в той или иной ситуации.
Поэтому можно встретить массу случаев, когда звонок по телефону от якобы банка и мошенником на другом конце провода приводит к потере всех денег с банковской карты, тут как раз во всю используются методы социальной инженерии.
Социальная инженерия: инструменты психологического программирования
Принципы социальной инженерии очень разнообразны, но в их основе лежат так называемые когнитивные искажения, а если говорить простыми словами, то человеческая глупость и невнимательность.
Основы социальной инженерии учат “хакера сознания”, манипулятора, злоумышленника использовать информацию, которая доступна всем.
Профили ваших социальных сетей, форумы, увлечения, проблемы, болезни, успехи – все это может быть использовано умелым мошенником! Такой предварительный сбор информации называется претекстинг.
Причем использована может быть абсолютно любая информация, даже та, которая для вас кажется совсем незначительной:
- имя умершего хомяка;
- номер вашей квартиры;
- адрес начальника;
- кличка собаки;
- марка и номер автомобиля.
К примеру, в 2015 году мошенники от имени топ-менеджеров разных компаний рассылали письма сотрудникам с просьбой перевести денег. Просто зная адрес корпоративной электронной почты и будучи уверенными в авторитетности руководства было похищено 40 миллионов долларов.
“Веские” аргументы
Приемы социальной инженерии разнообразны, самый распространенный – это уверенная аргументация всего. Если вы обращаетесь к человеку с просьбой, при этом в конце указываете причину, то вероятность отказа уменьшается.
Например, я обращаюсь к человеку с просьбой: ”Пропустите меня, пожалуйста, я очень тороплюсь” или: ”Займи мне денег, у меня нет денег”. В обоих случаях я озвучиваю очевидные причины, ведь и так понятно, что человек торопится или у него нет денег.
Но несмотря на банальность и очевидность причины, просьба выполняется в большинстве случаев! Даже эксперимент проводился по этому поводу: девушка “спешила” сделать ксерокопию, если она не называла причину, ее пропускали без очереди в 60% случаев, но с обозначением причины проценты увеличивались до 94.
Этим незамысловатым, но очень действенным приемом умело пользуются разводилы в том же ВК.
Вы могли слышать о таких ситуациях, как после знакомства через социальную сеть девушка просит энную сумму “на телефон”, “билет до мамы”, “лечение зуба” и так далее. При этом решившийся оказать услугу даже не догадывается, что за аватаркой девушки может скрываться хитренький дедушка с навыками социальной инженерии.
“Общие” интересы и цели
Анализируя информацию выложенную в открытый доступ, хакер делает вывод об интересах человека и на основе этого строит с жертвой дальнейшее взаимодействие, линию поведения, даже манеру вести диалог. Это также один из приемов, что входит в методы социальной инженерии.
Например, жертва увлекается фотографией, и ей в личку профиля социальной сети стучится представитель редактора журнала о моде, охоте, стройке, в зависимости от того, что любит снимать фотограф.
Постепенно хакер, занимаясь программированием и вооруженный основами техники социальной инженерии, втирается к жертве в доверие: он буквально “открывает душу”, используя похожие с жертвой словосочетания и речевые конструкции.
Вскоре оказывается, что жулик может выполнить “голубую мечту” жертвы, например, достать дешевый стройматериал, недорого выкопать на участке колодец, устроить персональную фотовыставку... вариаций множество.
Дальше, как говорится, “дело техники”, ведь жертва даже не догадывается, что имеет дело с хакером, она готова если не на все, то на многое – перевести часть денег “для аренды выставочного зала” под персональную фотовыставку или оплатить работу грузовика, который “уже везет ваш стройматериал”.
“Авторитетное” мнение в сети
Вообще, поскольку человек живет в социуме и с ним взаимодействует, то он подвержен определенным стереотипам поведения, которые успешно используют мошенники: речь идет про разных “авторитетов” и их суждения. Причем зачастую этих самых “авторитетов” мы сами себе придумываем.
Разные “эксперты” и “авторитеты” в сети возникают невесть откуда, и мы просто принимаем их слова на веру, потому что они себя преподнесли красиво, да еще и рекомендуют что-то.
И мы, к сожалению, рекомендацию воспринимаем как простое человеческое желание нам помочь, не догадываясь даже об истинных мотивах такого поступка и что к нам применили техники социальной инженерии.
Яркими примерами являются популярные блогеры на Youtube, которые периодически могут рекламировать финансовую пирамиду или капперов-мошенников, часть аудитории при этом верит влогеру на слово.
Или еще один, где очень часто используются приемы социальной инженерии – это одностраничники с разными БАДами, где обязательно есть фото врача, который рекомендует данный препарат к применению, хотя на него нет ни лицензии, ничего, да и врач просто ряженый актер.
В том же инфобизнесе, если говорить не о конкретном продукте, а о типичной продаже “воздуха”, действует аналогичная схема. Вкратце она выглядит так: анализ интересов плюс коммуникация с достижением выполнения требуемых действий жертвой мошенника – и вот вы купили курс, который вам не нужен, к тому же бесполезный.
Банальный фишинг
Методы, используемые в социальной инженерии, не ограничиваются прямым вербальным воздействием на жертву, сюда же относят и фишинг как средство хищения данных, в основном банковских карт.
Например, вам на почту пришло письмо из банка, где вы обслуживаетесь, с просьбой перейти на сайт и выполнить простое действие, но при переходе на страницу (с виду похожей на личный кабинет банка) жертве предлагается залогинится и ввести к тому же данные карты. Несложно догадаться, что сайт банка являлся точной копией, а оставленные данные будут использованы для доступа к счету и кражи денег.
Еще одним примером служит потеря аккаунта от Вконтакте, его часто взламывают, потому что пользователи легко ведутся на приемы социальной инженерии. Как это происходит? С вами в ВК завязал разговор совершенно случайный человек и под определенным предлогом дает ссылку на “классный сайт”, где вы якобы можете решить свои проблемы.
На сайте исключена регистрация, там можно только авторизоваться через социальные сети. Войти с первого раза у вас не получится, но вы упорно хотите попасть на сайт, ведь его рекомендовал человек, с которым вы общались и уже доверяете. И со второго раза наконец-то входите на рекомендованный ресурс.
Итогом потери данных становится попрошайничество у списка ваших друзей денег в долг от вашего имени. Кто-то понимает, что вас взломали, а кто-то может с легкостью отдать деньги.Более подробная информация про фишинг и его разновидности читайте в нашем материале на эту тему здесь.
Социальная инженерия как уровень социологического знания
Но социальной инженерией пользуются, конечно, не только мошенники. Само это понятие гораздо шире, нежели можно рассказать в рамках заметки. Методы, используемые в социальной инженерии, действуют везде, где есть информация, то есть и в офлайне. Интересными уловками пользуются сотрудники правоохранительных органов, торговцы, журналисты и просто халявщики.
Например, полицейские – истинные мастера социальной инженерии, они ей пользуются, когда закон мешает получению информации. “Мы вас ни в чем не обвиняем, просто расскажите честно, как все было” – это наиболее распространенный обход 51 статьи Конституции РФ.
Ну и, конечно, социальная инженерия – это хлеб рекламщиков, хотя уже появились более серьезные направления вроде нейромаркетинга, но классика всегда в моде. Тут в качестве приемов используется повторное, многократное проговаривание информации о товаре, отсылки к “авторитетным” или “экспертным” мнениям, эксплуатация стереотипных образов.
СМИ тоже не стесняются и являются кладезью различных техник социальной инженерии. Посмотрите программу любого пропагандиста или просто новости, реалити-шоу.
Даже не придется особо напрягаться, чтобы увидеть настоящее навязывание определенных мыслей, ложные причинно-следственные связи, манипуляции чувствами, подмену понятий.
У вас, уважаемый читатель, может сложится мнение, что социальной инженерией пользуются мошенники, что это язык пропаганды, нечистых на руку торгашей и лохотронщиков. Не стоит делать поспешные выводы и унывать раньше времени, ведь навыки социальной инженерии могут быть полезны и вам.
Например, если вы хотите получить скидку где-либо, просто попросите! Только не забудьте спросить, что для скидки нужно и "напомните" о праве продавца отказать вам. Ну или если захочется куда-то пролезть без очереди, просто назовите рандомную причину – я проверял, работает :)
Как защититься от популярных применяемых методов социальной инженерии
Вам не о чем беспокоиться, если вы будете знать основные методы и приемы социальной инженерии, а также понимать, как инженеры могут применить их на вас.
Например, вам поступил звонок от наших ярых государственных защитников, представить которых вам спокойно рассказывает, что ваш любимый родственник сбил какого-то несчастного человека, и если вы хотите дело "замять", то лучше быстренько перевести денюжки на определенный счет.
Конечно же, это психологическая уловка и манипуляция. Если вы будете пытаться отсрочить время, полицейский будет давить, что еще чуть-чуть – и будет совсем поздно. Необдуманные и поспешные решения – то, на чем они концентрируются при мошенничестве.
Итак, рассказываю, что нужно делать. Для начала "побудьте дурачком" и спросите, как же зовут вашего такого неосторожного кровного друга, и на какой машине он сегодня выехал. А также нужно обязательно узнать все подробности касательно ДТП: город, улицу, около какого дома, время, имя жертвы – да все что угодно.
Ну и, конечно, в срочном порядке уточните, в каком же отделении служит наш прекрасный служитель закона, который так яро хочет защитить вашего родственничка, чтобы потом проверить в участке, существует ли такой добродетель на самом-то деле.
Скорее всего, полицейский, мягко говоря, офигеет от всей запрашиваемой информации, и легенда рассеется, как сигаретный дым. Вообще, лучше всего сказать мошеннику, что вы не совсем уверенный пользователь смартфона (возраст, все дела) и вам нужно на время завершить звонок, чтобы проверить баланс на карточке, но вы обязательно перезвоните! Ведь родственника нужно спасать! За это время позвоните вашей кровинушке и уточните, подрабатывает ли он сегодня преступников или нет.
И да, друзья, запомните, что нужно быть бдительным ко всем сообщениям, которые приходят к вам на почту и на всякого рода мессенджеры. Если, к примеру, банк вдруг решил с вами "пообщаться", лучше внимательно сравнить номера (если банк писал вам и ранее), а если представители государственной конторы пишут вам впервые, то разве это не выглядит подозрительным с самого начала? Лучше позвоните по официальному номеру и уточните.
Сюда же можно отнести ситуацию, когда банк вам пишет, что ваша карта заблокирована. Поверьте, банк явно о таком не предупреждает, и о том, что ваша карта тю-тю вы узнаете, когда захотите расплатиться в магазине и потерпите фиаско.
А теперь перейдем к основам компьютерной безопасности. Друзья, прошу, смотрите внимательно, что вы скачиваете и по каким ссылкам путешествуете. Не нужно бесприкословно верить названию файла: даже если файл назван "установочник Fallout", совсем не факт, что вы качаете то, что вам нужно, а не вредоносный код. Зачастую люди именно на такие уловки и попадают.
И ни в коем случае не распространяйте личную информацию во всяких социальных сетях, как бы вам ни хотелось о себе заявить. Даже ерунду (о которой вы и в жизни не подумаете) инженеры могут использовать против вас, а они, поверьте, в этом мастера те еще.
Совсем забавно, если вы сгенерируйте пароль с вашей фамилией и годом рождения, вы удивитесь, насколько часто такое происходит. Над такими случаями мошенникам даже стараться не нужно: пару кликов, и вот ваша страница уже взломана, и всем вашим друзьям приходит рассылка, как вы страдаете сейчас без денег и просите о помощи.
Самое главное, что нужно помнить – включайте мозг, будите свою адекватность и не верьте незнакомцам в сети с первой же переписки. Вы не знаете, кто может скрываться по ту сторону экрана, даже если фотографии на аккаунте у вашего новоиспеченного друга выглядят вполне правдоподобно.
Основные выводы
Социальная инженерия – мощнейший инструмент, области применения его безграничны и все зависит от того, в чьи руки он попал. Противостоять "науке" в руках мошенников и какому-либо психологическому давлению гораздо проще, чем кажется. Тут всегда обязательно нужно помнить одно важное правило:
Приемы социальной инженерии бывают разные, но их суть остаётся неизменной. Критическое отношение к входящей информации, настороженность и здравый смысл помогут не стать жертвой обмана.
Ну и помните, что нельзя разглашать конфиденциальные данные своего паспорта или данные карты, даже если человек представился сотрудником банка или налоговым инспектором.
Интересно, сколько читателей блога пользуются навыками социальной инженерии или попадали под манипуляции “хакеров сознания”? Отпишитесь в комментариях, эта информация будет интересна всем и даже может кому-то пригодится.
Надеюсь, что из статьи вы узнали, что такое социальная инженерия и как защитить себя от мошенников и злоумышленников. Если остались вопросы, или вы хотите дополнить информацию статьи, пишите, пожалуйста, свои мысли, опыт и мнение в комментариях ниже. Они 100% пригодятся всем читателям ?
Всех вам благ и будьте осторожны!
Оставить комментарий