Все про социальную инженерию: что такое, как защититься, методы и инструменты мошенников

Первый раз с термином “Социальная инженерия” я столкнулся несколько лет назад, когда во время поиска материала для очередной статьи набрел в сети на один форум, он находился на “темной стороне” – в даркнете.

Там обитают всяческого рода жулики, кидалы и прочие лица с криминальными наклонностями, которые обсуждают и "оттачивают" не совсем честные способы заработка. 

В своих обсуждениях злоумышленники подчеркивали важность прокачивания в своей работе техник социальной инженерии, которые помогают манипулировать людьми с целью выуживать конфиденциальные данные или просто обманывать.

Могу вам сказать, что это очень интересная дисциплина и методы, используемые в социальной инженерии, нужно знать хотя бы поверхностно, так как понимание основ может спасти когда-нибудь ваш кошелек, помните, предупрежден – значит, вооружен! Сейчас разберем основные технологии.

Что такое социальная инженерия простыми словами

Социальная инженерия – это простыми словами один из способов “взлома человека”, манипуляции с целью получения выгоды, а именно – конфиденциальной информации, денежных средств или каких-либо услуг на халяву.

Мошенники всегда использовали техники социальной инженерии, но интернет подарил им массу новых возможностей для развития навыков обмана людей, разгадывания их мыслей, управления поступками. 

Причем сам человек порой даже не догадывается, что попал в ловушку, он реально до конца уверен в том, что это его личное решение, и он полностью контролирует ситуацию. По этому поводу хорошо высказался известный криптограф Брюс Шнайер:

При этом злоумышленник работает больше с людьми, чем с компьютерами. Электронная машина здесь – просто инструмент и средство коммуникации. 

Несмотря на все внешние различия, взгляды, мировоззрение, поведение человека в целом шаблонно, чем активно пользуются жулики: они отлично знают модель поведения человека в той или иной ситуации.

Поэтому можно встретить массу случаев, когда звонок по телефону от якобы банка и мошенником на другом конце провода приводит к потере всех денег с банковской карты, тут как раз во всю используются методы социальной инженерии.

Социальная инженерия: инструменты психологического программирования

Принципы социальной инженерии очень разнообразны, но в их основе лежат так называемые когнитивные искажения, а если говорить простыми словами, то человеческая глупость и невнимательность.

Основы социальной инженерии учат “хакера сознания”, манипулятора, злоумышленника использовать информацию, которая доступна всем.

Профили ваших социальных сетей, форумы, увлечения, проблемы, болезни, успехи – все это может быть использовано умелым мошенником! Такой предварительный сбор информации называется претекстинг. 

Причем использована может быть абсолютно любая информация, даже та, которая для вас кажется совсем незначительной:

  • имя умершего хомяка; 
  • номер вашей квартиры; 
  • адрес начальника; 
  • кличка собаки;
  • марка и номер автомобиля.

К примеру, в 2015 году мошенники от имени топ-менеджеров разных компаний рассылали письма сотрудникам с просьбой перевести денег. Просто зная адрес корпоративной электронной почты и будучи уверенными в авторитетности руководства было похищено 40 миллионов долларов.

“Веские” аргументы 

Приемы социальной инженерии разнообразны, самый распространенный – это уверенная аргументация всего. Если вы обращаетесь к человеку с просьбой, при этом в конце указываете причину, то вероятность отказа уменьшается.

И что самое интересное – сама причина, ее вескость и логичность решающей роли не играют.

Например, я обращаюсь к человеку с просьбой: ”Пропустите меня, пожалуйста, я очень тороплюсь” или: ”Займи мне денег, у меня нет денег”. В обоих случаях я озвучиваю очевидные причины, ведь и так понятно, что человек торопится или у него нет денег. 

Но несмотря на банальность и очевидность причины, просьба выполняется в большинстве случаев! Даже эксперимент проводился по этому поводу: девушка “спешила” сделать ксерокопию, если она не называла причину, ее пропускали без очереди в 60% случаев, но с обозначением причины проценты увеличивались до 94. 

Этим незамысловатым, но очень действенным приемом умело пользуются разводилы в том же ВК.

Вы могли слышать о таких ситуациях, как после знакомства через социальную сеть девушка просит энную сумму “на телефон”, “билет до мамы”, “лечение зуба” и так далее. При этом решившийся оказать услугу даже не догадывается, что за аватаркой девушки может скрываться хитренький дедушка с навыками социальной инженерии.

“Общие” интересы и цели

Анализируя информацию выложенную в открытый доступ, хакер делает вывод об интересах человека и на основе этого строит с жертвой дальнейшее взаимодействие, линию поведения, даже манеру вести диалог. Это также один из приемов, что входит в методы социальной инженерии.

Например, жертва увлекается фотографией, и ей в личку профиля социальной сети стучится представитель редактора журнала о моде, охоте, стройке, в зависимости от того, что любит снимать фотограф.

Постепенно хакер, занимаясь программированием и вооруженный основами техники социальной инженерии, втирается к жертве в доверие: он буквально “открывает душу”, используя похожие с жертвой словосочетания и речевые конструкции. 

Вскоре оказывается, что жулик может выполнить “голубую мечту” жертвы, например, достать дешевый стройматериал, недорого выкопать на участке колодец, устроить персональную фотовыставку... вариаций множество.

Дальше, как говорится, “дело техники”, ведь жертва даже не догадывается, что имеет дело с хакером, она готова если не на все, то на многое – перевести часть денег “для аренды выставочного зала” под персональную фотовыставку или оплатить работу грузовика, который “уже везет ваш стройматериал”.

“Авторитетное” мнение в сети

Вообще, поскольку человек живет в социуме и с ним взаимодействует, то он подвержен определенным стереотипам поведения, которые успешно используют мошенники: речь идет про разных “авторитетов” и их суждения. Причем зачастую этих самых “авторитетов” мы сами себе придумываем.

Разные “эксперты” и “авторитеты” в сети возникают невесть откуда, и мы просто принимаем их слова на веру, потому что они себя преподнесли красиво, да еще и рекомендуют что-то. 

И мы, к сожалению, рекомендацию воспринимаем как простое человеческое желание нам помочь, не догадываясь даже об истинных мотивах такого поступка и что к нам применили техники социальной инженерии.

Яркими примерами являются популярные блогеры на Youtube, которые периодически могут рекламировать финансовую пирамиду или капперов-мошенников, часть аудитории при этом верит влогеру на слово.

Или еще один, где очень часто используются приемы социальной инженерии – это одностраничники с разными БАДами, где обязательно есть фото врача, который рекомендует данный препарат к применению, хотя на него нет ни лицензии, ничего, да и врач просто ряженый актер. 

В том же инфобизнесе, если говорить не о конкретном продукте, а о типичной продаже “воздуха”, действует аналогичная схема. Вкратце она выглядит так: анализ интересов плюс коммуникация с достижением выполнения требуемых действий жертвой мошенника – и вот вы купили курс, который вам не нужен, к тому же бесполезный. 

Банальный фишинг

Методы, используемые в социальной инженерии, не ограничиваются прямым вербальным воздействием на жертву, сюда же относят и фишинг как средство хищения данных, в основном банковских карт.

Например, вам на почту пришло письмо из банка, где вы обслуживаетесь, с просьбой перейти на сайт и выполнить простое действие, но при переходе на страницу (с виду похожей на личный кабинет банка) жертве предлагается залогинится и ввести к тому же данные карты. Несложно догадаться, что сайт банка являлся точной копией, а оставленные данные будут использованы для доступа к счету и кражи денег. 

Еще одним примером служит потеря аккаунта от Вконтакте, его часто взламывают, потому что пользователи легко ведутся на приемы социальной инженерии. Как это происходит? С вами в ВК завязал разговор совершенно случайный человек и под определенным предлогом дает ссылку на “классный сайт”, где вы якобы можете решить свои проблемы. 

На сайте исключена регистрация, там можно только авторизоваться через социальные сети. Войти с первого раза у вас не получится, но вы упорно хотите попасть на сайт, ведь его рекомендовал человек, с которым вы общались и уже доверяете. И со второго раза наконец-то входите на рекомендованный ресурс.

Почему со второго? Потому что вся введенная вами в первый раз информация отправляется хакеру на почту или сервер, то есть ваши логин и пароль от социальной сети становятся известны другому человеку.

Итогом потери данных становится попрошайничество у списка ваших друзей денег в долг от вашего имени. Кто-то понимает, что вас взломали, а кто-то может с легкостью отдать деньги.Более подробная информация про фишинг и его разновидности читайте в нашем материале на эту тему здесь

Социальная инженерия как уровень социологического знания

Но социальной инженерией пользуются, конечно, не только мошенники. Само это понятие гораздо шире, нежели можно рассказать в рамках заметки. Методы, используемые в социальной инженерии, действуют везде, где есть информация, то есть и в офлайне. Интересными уловками пользуются сотрудники правоохранительных органов, торговцы, журналисты и просто халявщики. 

Например, полицейские – истинные мастера социальной инженерии, они ей пользуются, когда закон мешает получению информации. “Мы вас ни в чем не обвиняем, просто расскажите честно, как все было” – это наиболее распространенный обход 51 статьи Конституции РФ.

Ну и, конечно, социальная инженерия – это хлеб рекламщиков, хотя уже появились более серьезные направления вроде нейромаркетинга, но классика всегда в моде. Тут в качестве приемов используется повторное, многократное проговаривание информации о товаре, отсылки к “авторитетным” или “экспертным” мнениям, эксплуатация стереотипных образов.

СМИ тоже не стесняются и являются кладезью различных техник социальной инженерии. Посмотрите программу любого пропагандиста или просто новости, реалити-шоу.

Даже не придется особо напрягаться, чтобы увидеть настоящее навязывание определенных мыслей, ложные причинно-следственные связи, манипуляции чувствами, подмену понятий. 

У вас, уважаемый читатель, может сложится мнение, что социальной инженерией пользуются мошенники, что это язык пропаганды, нечистых на руку торгашей и лохотронщиков. Не стоит делать поспешные выводы и унывать раньше времени, ведь навыки социальной инженерии могут быть полезны и вам. 

Например, если вы хотите получить скидку где-либо, просто попросите! Только не забудьте спросить, что для скидки нужно и "напомните" о праве продавца отказать вам. Ну или если захочется куда-то пролезть без очереди, просто назовите рандомную причину – я проверял, работает :)

Как защититься от популярных применяемых методов социальной инженерии

Вам не о чем беспокоиться, если вы будете знать основные методы и приемы социальной инженерии, а также понимать, как инженеры могут применить их на вас. 

Например, вам поступил звонок от наших ярых государственных защитников, представить которых вам спокойно рассказывает, что ваш любимый родственник сбил какого-то несчастного человека, и если вы хотите дело "замять", то лучше быстренько перевести денюжки на определенный счет. 

Конечно же, это психологическая уловка и манипуляция. Если вы будете пытаться отсрочить время, полицейский будет давить, что еще чуть-чуть – и будет совсем поздно. Необдуманные и поспешные решения – то, на чем они концентрируются при мошенничестве. 

Главное – не торопитесь, согласитесь, будет обидно обогатить очередного  жулика, а чуть позже вам спокойно позвонит ваш пресловутый родственничек и просто спросит как дела, будучи не в курсе ситуации.

Итак, рассказываю, что нужно делать. Для начала "побудьте дурачком" и спросите, как же зовут вашего такого неосторожного кровного друга, и на какой машине он сегодня выехал. А также нужно обязательно узнать все подробности касательно ДТП: город, улицу, около какого дома, время, имя жертвы – да все что угодно.

Ну и, конечно, в срочном порядке уточните, в каком же отделении служит наш прекрасный служитель закона, который так яро хочет защитить вашего родственничка, чтобы потом проверить в участке, существует ли такой добродетель на самом-то деле. 

Скорее всего, полицейский, мягко говоря, офигеет от всей запрашиваемой информации, и легенда рассеется, как сигаретный дым. Вообще, лучше всего сказать мошеннику, что вы не совсем уверенный пользователь смартфона (возраст, все дела) и вам нужно на время завершить звонок, чтобы проверить баланс на карточке, но вы обязательно перезвоните! Ведь родственника нужно спасать! За это время позвоните вашей кровинушке и уточните, подрабатывает ли он сегодня преступников или нет. 

И да, друзья, запомните, что нужно быть бдительным ко всем сообщениям, которые приходят к вам на почту и на всякого рода мессенджеры. Если, к примеру, банк вдруг решил с вами "пообщаться", лучше внимательно сравнить номера (если банк писал вам и ранее), а если представители государственной конторы пишут вам впервые, то разве это не выглядит подозрительным с самого начала? Лучше позвоните по официальному номеру и уточните. 

Сюда же можно отнести ситуацию, когда банк вам пишет, что ваша карта заблокирована. Поверьте, банк явно о таком не предупреждает, и о том, что ваша карта тю-тю вы узнаете, когда захотите расплатиться в магазине и потерпите фиаско. 

А теперь перейдем к основам компьютерной безопасности. Друзья, прошу, смотрите внимательно, что вы скачиваете и по каким ссылкам путешествуете. Не нужно бесприкословно верить названию файла: даже если файл назван "установочник Fallout", совсем не факт, что вы качаете то, что вам нужно, а не вредоносный код. Зачастую люди именно на такие уловки и попадают.

И ни в коем случае не распространяйте личную информацию во всяких социальных сетях, как бы вам ни хотелось о себе заявить. Даже ерунду (о которой вы и в жизни не подумаете) инженеры могут использовать против вас, а они, поверьте, в этом мастера те еще. 

Совсем забавно, если вы сгенерируйте пароль с вашей фамилией и годом рождения, вы удивитесь, насколько часто такое происходит. Над такими случаями мошенникам даже стараться не нужно: пару кликов, и вот ваша страница уже взломана, и всем вашим друзьям приходит рассылка, как вы страдаете сейчас без денег и просите о помощи. 

Самое главное, что нужно помнить – включайте мозг, будите свою адекватность и не верьте незнакомцам в сети с первой же переписки. Вы не знаете, кто может скрываться по ту сторону экрана, даже если фотографии на аккаунте у вашего новоиспеченного друга выглядят вполне правдоподобно. 

Основные выводы

Социальная инженерия – мощнейший инструмент, области применения его безграничны и все зависит от того, в чьи руки он попал. Противостоять "науке" в руках мошенников и какому-либо психологическому давлению гораздо проще, чем кажется. Тут всегда обязательно нужно помнить одно важное правило:

Вступая в любое общение, обязательно обращайте внимание не только на содержание, но и на сам процесс. Почаще задавайте себе вопрос: "Что на самом деле это может значить?”

Приемы социальной инженерии бывают разные, но их суть остаётся неизменной. Критическое отношение к входящей информации, настороженность и здравый смысл помогут не стать жертвой обмана. 

Ну и помните, что нельзя разглашать конфиденциальные данные своего паспорта или данные карты, даже если человек представился сотрудником банка или налоговым инспектором. 

Интересно, сколько читателей блога пользуются навыками социальной инженерии или попадали под манипуляции “хакеров сознания”? Отпишитесь в комментариях, эта информация будет интересна всем и даже может кому-то пригодится. 

Надеюсь, что из статьи вы узнали, что такое социальная инженерия и как защитить себя от мошенников и злоумышленников. Если остались вопросы, или вы хотите дополнить информацию статьи, пишите, пожалуйста, свои мысли, опыт и мнение в комментариях ниже. Они 100% пригодятся всем читателям ?

Всех вам благ и будьте осторожны!

16 комментариев

Аватар комментатора Та Бу Автор: Та Бу

О, я так два года назад попалась по-крупному. Дело в полиции завели, меня признали потерпевшей, но прогноз неутешительный. Разбойники использовали моё старое резюме, даже не знаю, которое, я когда-то несколько их разместила на разных сайтах для поиска работы. Разумеется, эти резюме со временем опускаются в списке всё ниже, если их не обновлять, и мне в голову не пришло их снять с публикации все. Какие-то сняла, про некоторые забыла. Ну, и позвонили мне с предложением удалённой работы. И так голову заморочили, такие радужные перспективы нарисовали, что я без всяких сомнений перевела им деньги за обучение. Причём не свои, а с кредитной карты. Ведь я вот-вот заработаю гораздо больше! До сих пор расплачиваюсь.

Аватар комментатора Наталья Пожидаева Автор: Наталья Пожидаева

Статья классная! Виктор, спасибо. Но моя ситуация другая. Сейчас идет следствие. Но в банке уже точно сказали, что деньги не вернут. Оказывается в банке есть услуга - страховка денежного потока через ваш онлайн банк.. Я об этом услышала первый раз. Как я поняла, кроме моих кредитов онлайн, депозитов онлайн, коммунальных платежей онлайн, переводы с других карт на мои онлайн банк - существует годовая подписка на страховку и автоматом подключается Касперский на год. При мошеннических действиях я потеряла деньги, не только пенсию, но и перечисленные на мою карту деньги мужа, потому что я со своей карты отправляла переводы на карты всем родственникам (и своим и мужа), оплачивала коммуналку я, оплачивала за обучение колледжа дочери мужа. Т.е. все платежи с моей карты. Если бы была страховка, то банк вернул бы мне все украденные деньги. Я до блокировки успела распечатать чеки переводов, где видны все реквизиты мошенников - от номера телефона до банковского счета в ОСБ ( сейчас СБЕР). А вот теперь у меня самый наболевший вопрос: как можно удаленно подключить мой банк онлайн (логин и пароль у меня в голове, нигде не записан) к другому номеру телефона? На тех же чеках указаны данные плательщика: мои ФИО, а номер телефона МТС (у меня с самого первого телефона ВСЕГДА был билайн). В данных получателя номер телефона МТС и рассчетный счет в ПАО сбербанк. Я естественно никому не подтверждала никакой номер телефона, но и смс о переводах денег я не получала, потому что их получал мошенник. Все произошло в день зачисления пенсии. А через три дня я должна была закрыть свой 2-годичный депозит. Увы, его закрыли тоже в день ограбления, т.е. раньше. Только благодаря этому депозиту я обнаружила, что денег нет, потому что закрывать было нечего. Конечно и с карты были сняты деньги. Я не обнаружила утечку, потому что за покупки расплачивалась другой картой. Вот такая история. Очень удобно не стоять в очередях при оплате коммуналки, всё делала из дома. Теперь вот задумаешься. Хочу все-таки уточнить о "страховке в банке", про которую мне рассказала администратор банка. Может, это тоже обман. Уже не знаешь кому верить. Будьте бдительны. Все случаи из комментариев знакомы, наслышана и знакомые попадались, но я на чужие звонки не отвечаю, если не жду. С банком общаюсь лично через филиал или в офисе, в редких случаях через онлайнбанк, на смс не отвечаю никогда.

Аватар комментатора Айнагуль Автор: Айнагуль

Дааа, и со мной был такой случай несколько лет назад. Сижу на работе, звонит парень и плачет: "Маам, я попал с травкой. Это было случайно. Меня надо отмазать. Быстрее принеси деньги ( называет адрес)". А я говорю: у меня одна дочь, сына у меня нет. И он сразу же отключился. Спасибо за такую полную информацию.

Аватар комментатора Елена Бучина Автор: Елена Бучина

Мошенники звонили мужу от имени зятя, что он попал в аварию и нужно заплатить деньги. Потом подключился якобы полицейский и стал давить на психику. Самое смешное было в том, что зять назвал мужа папой, хотя никогда так не говорит, а зовет просто дедом. Пока наш дед разбирался с любителями халявы, я позвонила по другому телефону дочке и выяснила, что у них все хорошо, и ничего не произошло. Это я громко сообщила мужу, и мошенники тут же отключили телефон.

Аватар комментатора Людмила Автор: Людмила

Года два назад звонок по телефону и срывающийся мужской голос: "Мама, я в полиции, помоги!" Я уже знала про такие звонки, но спросила: "Что случилось, сынок?" - "Пусть тебе сержант расскажет".
Сержант хорошо поставленным голосом и юридически грамотным слогом объясняет, что сын попался с наркотиками и, чтобы не заводили дело, нужно заплатить.
Спрашивает: "Как к вам обращаться?" Отвечаю: "Марфа Васильевна я" (Помните, так звали царицу в фильме "Иван Васильевич меняет профессию"?)
На том конце провода мгновенное замешательство, но потом все же продолжают: "Марфа Васильевна, ваш сын с другом были задержаны..."
"С каким другом?"
"Вы что, не знаете друзей сына?"
"Так ему 47 лет, он сам выбирает друзей!"
После этих слов меня зло обозвали овцой и послали очень далеко...Эх, сорвалась афера!
А друзей наших развели таким образом на 20 тыс. рублей. Будьте бдительны!

Аватар комментатора Aleksandr Автор: Aleksandr

Когда мы сами, по своему желанию, вплетаемся в эту паутину социальной инженерии, важно не переступить черту из за соблазна хорошо заработать...)

Аватар комментатора Оксана Автор: Оксана

Спасибо. Что-то я сама уже знала, на что-то я , к сожалению, повелась, Но что-то было очень полезно, Благодарю.

Аватар комментатора Роберт Автор: Роберт

Отличная статья, захотелось поизучать социальную инженерию :)
Думаю, комментарии будут не менее интересными. Да, мошенники пытаются нас развести на каждом шагу, многое мы уже воспринимаем, как само собой разумеющееся.
Спасибо за статью, прочитал с удовольствием, Виктору респект за отличный материал!

Аватар комментатора Ольга Автор: Ольга

Мне сегодня позвонили из БКИ, причем с официального номера и заявили, что в моей кредитной истории глобальные изменения. Пока разговаривала, набрала отзывы о таких звонках. Послала по известному адресу и заблокировала. Настоящее БКИ не звонят!

Аватар комментатора Татьяна Николаевна Автор: Татьяна Николаевна

Будем бдить, но так обидно, что у слов "мошенничество" и "обман" появился такой красивый синоним.

Оставить комментарий

Отправить комментарий Отменить

Помогаем людям не лохануться LOXOTRONA.NET Основано в 2015

Сообщение