Что такое социальная инженерия и как с ней бороться?
- 1 августа, 2024
- Для бизнеса
Содержание
Что такое социальная инженерия?
Социальная инженерия — это способ обмана, при котором злоумышленники «взламывают» не компьютер или программу, а самого человека. Вместо использования сложных технических вирусов мошенники применяют психологические манипуляции, чтобы заставить вас добровольно отдать пароли, деньги или секретные данные.
Главное оружие таких преступников — игра на человеческих чувствах и слабостях. Они используют:
• Страх и панику: «Ваш счет взломан, срочно введите пароль!».
• Любопытство: «Посмотри, какие фото с тобой выложили по ссылке!».
• Жажду наживы: «Вы выиграли миллион, перейдите для получения приза».
• Доверие к авторитетам: когда мошенник притворяется вашим начальником. сотрудником банка или полиции.
Каждый раз мошенники придумывают новые методы: любая ситуация, где человека можно вывести на эмоции или поставить в ступор идет в ход.
Основные методы социальной инженерии
Фишинг
Фишинг (phishing)– метод обмана, при котором злоумышленники маскируются под надежные источники (банки, государственные органы, компании) и пытаются выманить у жертв личные данные, пароли или финансовую информацию.
Пример:
Сотрудник получает электронное письмо, якобы от банка, с просьбой обновить данные учетной записи, перейдя по ссылке. После перехода на поддельный сайт он вводит свои данные, которые попадают в руки злоумышленников.
Вишинг
Вишинг, он же голосовой фишинг, (voice phishing) использует телефонные звонки для того, чтобы получить доступ к личной информации. Злоумышленники могут представляться сотрудниками банка или технической поддержки, чтобы завоевать доверие жертвы. Так киберпреступники получают доступ к системе компании.
Пример:
Сотруднику звонят, представляются технической поддержкой компании, сообщают о проблемах с его учетной записью и просят продиктовать пароль для её восстановления.
Претекстинг
Претекстинг (pretexting) – это создание вымышленной истории или личности для обмана. Этот метод требует тщательной подготовки и сбора информации о жертве, чтобы создать убедительный сценарий.
Пример:
Злоумышленник звонит в компанию, представляется сотрудником службы безопасности банка и утверждает, что расследует подозрительную активность. Он запрашивает у сотрудника личные данные для «проверки».
Скимминг
Скимминг (skimming) – использование специальных устройств для кражи данных с пластиковых карт. Чаще всего такие устройства устанавливаются на банкоматы или терминалы оплаты.
Пример:
Сотрудник использует свою корпоративную карту в банкомате, на который установлено скимминговое устройство, копирующее данные карты.
Ниже перечислены виды социальной инженерии, не входящие в ваш список ограничений, на основе предоставленных источников:
Байтинг (Baiting) или «Дорожное яблоко»
Этот метод основан на использовании человеческого любопытства. Злоумышленник оставляет физический носитель информации (флешку, диск) в общедоступном месте, где его может найти потенциальная жертва. На носителе обычно наносится интригующая надпись, побуждающая человека проверить содержимое, вставив устройство в компьютер. Как только носитель подключается к системе, на него проникает вредоносное ПО, которое может шпионить за пользователем или красть данные.
Пример:
Мошенник подбрасывает в офисе компании или на парковке флешку с надписью «Данные о зарплатах руководства» или «Списки на увольнение». Любопытный сотрудник вставляет её в рабочий ПК, после чего скрипт автоматически устанавливает вирус в корпоративную сеть.
Watering hole («Водопой»)
Техника атаки, при которой злоумышленники не атакуют жертву напрямую, а заражают веб-ресурсы, которые она часто посещает. Хакеры заранее изучают предпочтения целевой аудитории (например, сотрудников конкретной отрасли), находят уязвимости на популярных среди них сайтах и внедряют туда вредоносный код или ссылки. Заражение происходит незаметно, когда пользователь заходит на привычный ресурс.
Пример:
Злоумышленники взламывают сайт крупной отраслевой конференции или онлайн-сервис для расчета налогов, которым пользуются бухгалтеры. Когда сотрудники целевой компании заходят на сайт для работы, их устройства заражаются трояном через скрытую загрузку.
Quid pro quo («Услуга за услугу»)
Злоумышленник предлагает жертве некую выгоду или услугу в обмен на конфиденциальную информацию или доступ к системе. Это может быть обещание приза, вознаграждение за участие в опросе или «техническая помощь». Мошенник делает так, чтобы его запрос выглядел как справедливый обмен, снижая бдительность человека.
Пример:
Мошенник звонит сотруднику компании, представляясь специалистом технической поддержки, и сообщает о массовом сбое в сети. Он предлагает «помочь» восстановить доступ, для чего просит пользователя выполнить ряд команд, которые на самом деле устанавливают вредоносное ПО или открывают доступ к системе.
Scareware («Страшилка»)
Метод психологического давления, использующий запугивание для манипуляции поведением жертвы. Обычно это проявляется в виде всплывающих окон или сообщений, утверждающих, что устройство заражено вирусами или аккаунт взломан. Напуганному пользователю немедленно предлагается «решение» — скачать «антивирус» или оплатить услугу по очистке системы, что на самом деле ведет к краже данных или заражению.
Пример реализации: При просмотре сайтов у пользователя всплывает окно, имитирующее системное уведомление: «Ваш компьютер под угрозой! Обнаружено 15 вирусов». Для защиты предлагается нажать кнопку «Установить антивирус», после нажатия которой скачивается вредоносная программа, крадущая пароли.
Обратная социальная инженерия
Техника, при которой жертву обманом заставляют саму инициировать контакт со злоумышленником. Поскольку человек обращается за помощью первым, уровень его доверия к мошеннику изначально выше. Часто это реализуется через предварительное создание искусственной проблемы, которую «эксперт» затем предлагает решить.
Пример:
Хакер сначала саботирует работу сети компании, а затем размещает в офисе или рассылает рекламу «технического специалиста», способного быстро исправить ситуацию. Сотрудник сам звонит мошеннику и добровольно предоставляет ему все доступы для «ремонта».
Рассказываем, почему важно быстро уведомлять об утечке данных, кого нужно уведомлять и как правильно это сделать.
Как избежать атак с использованием социальной инженерии в компании?
Примеры успешных атак показывают, что даже самые защищенные системы могут быть уязвимы из-за человеческого фактора. В период с 30 мая 2019 года по 6 октября 2019 года неавторизованное лицо получило доступ к учетным записям электронной почты сотрудников Golden Entertainment (оператор игровых автоматов в Лас-Вегасе, штат Невада) с помощью фишинг-атаки по email. Злоумышленник получил доступ к одному конкретному электронному письму с вложением, в котором были номера социального страхования, номера паспортов, государственные удостоверения личности и различные личные данные нескольких сотрудников компании и поставщиков. Неясно, была ли раскрыта эта информация.
Причиной того, что люди доверяют злоумышленникам — банальный недостаток знаний о их методах и последствиях утечки. Бороться с этим стоит через постоянное обучение и напоминания о новых мошеннических схемах. Вот, как можно минимизировать риски социальных инженеров на вашу компанию:
Проводите регулярные тренинги
Регулярные тренинги по кибербезопасности могут проходить в формате семинаров или вебинаров, на которых специалисты рассказывают о последних угрозах и методах защиты. Эти тренинги должны быть обязательными для всех сотрудников, чтобы каждый был в курсе современных методов социальной инженерии.
Кроме этого каждый новый сотрудник должен проходить обязательное предварительное обучение и получать допуск к работе только после успешного прохождения теста.
Также можно вырастить внутренних privacy-чемпионов — «лидеров безопасности», которые на местах помогают коллегам соблюдать правила и распознавать угрозы.
Игры и симуляции атак
Это наиболее эффективный метод «боевого» обучения, который, подобно пожарным учениям, имитирует реальные угрозы.
Игры и симуляции атак позволяют сотрудникам на практике отработать навыки распознавания и противодействия социальной инженерии. В таких играх сотрудники играют роли злоумышленников и жертв, чтобы лучше понять методы атак и способы защиты.
Симуляции не должны ограничиваться простым тестом «угадай фишинг по скриншоту». Включаются полноценные сценарии: звонок от «директора» с просьбой оплатить счет или письмо от «подрядчика» с запросом доступа к серверу.
Также можно организовать регулярную рассылка поддельных писем (от 1–2 раз в год до 1–2 раз в месяц в зависимости от зрелости компании) для проверки бдительности.
После симуляции специалисты проводят разбор — кто поддался на манипуляцию, а кто заметил подлог.
Вебинары и онлайн-курсы
Онлайн-курсы и вебинары дают возможность учиться в удобное время, что особенно важно для сотрудников с плотным графиком. Такие тренинги могут охватывать широкий спектр тем, от базовых принципов кибербезопасности до специфических угроз.
Постоянное обновление знаний
Мир киберугроз постоянно меняется, поэтому важно обеспечивать сотрудников актуальной информацией о новых методах и способах защиты. Для этого можно организовывать рассылку новостей и уведомлений о последних инцидентах и мерах предосторожности.
Оценивать знания тоже нужно регулярно. Здесь нет смысла строить огромные дэшборды.
Вполне сработает:
🔹 Фидбек в стиле «понравилось/не понравилось», чтобы понять, насколько «зашел» формат.
🔹 Один вопрос: «Что в своей работе вы стали делать по-другому?»
🔹 Инциденты: стало ли их меньше?
Совет: делайте небольшие дополнения к обучению для «рефреша». Можете добавить туда новые кейсы инцидентов, ответы на вопросы или памятки по процессам, которые даются сложнее всего.
Обратная связь и работа над ошибками
Важной частью обучения является создание культуры прозрачности, где сотрудник знает, куда и как сообщить о подозрительном контакте. В случае реального инцидента или ошибки во время симуляции компания должна провести разбор с командой, чтобы понять, почему атака сработала (например, из-за отсутствия многофакторной аутентификации или давления авторитетом) и как закрыть эту уязвимость в будущем.
Добавьте все материалы в базу знаний в вашем рабочем пространстве (мы, например, любим Notion: он интерактивный и интуитивно понятный 👀).
Создайте блок FAQ с теми вопросами, которые чаще всего звучат от коллег.
Назначьте privacy-чемпионов в командах. Не все пойдут к юристу, но к коллеге по команде — да.
Обучение работает, когда оно встроено в процессы, и его не замечают. По мере появления новых ситуаций, которые требуют особого внимания, создавайте новые простые гайды, при обновлении законодательства, уведомляйте коллег и приводите примеры, как это сказывается на их задачах.
Вы не строите университет. Вы создаете среду, где люди знают, как не нарушить закон, даже если они не юристы.
Иногда простое обучение — лучшее обучение.
Организуем корпоративное обучение в формате полноценного курса, инсценировочной утечки или Privacy Day по темам data privacy и AI Compliance. Решим все: от программы до тестирования, вам останется только согласовать.
Технические меры защиты
Многофакторная аутентификация (MFA)
Это один из самых эффективных методов защиты. Даже если мошенник выманит у жертвы логин и пароль, он не сможет войти в систему без второго фактора (SMS-кода, push-уведомления или биометрии).
Менеджеры паролей
Использование специальных сервисов позволяет создавать уникальные сложные пароли для каждого аккаунта. Это предотвращает ситуацию, когда взлом одного сервиса дает доступ ко всем остальным ресурсам пользователя.
Антивирусное программное обеспечение
Надежные антивирусы блокируют вредоносные программы, которые пользователь может скачать по ошибке. «Песочницы» позволяют безопасно открывать подозрительные файлы в изолированной среде.
Контроль доступа и мониторинг активности
Доступ к ресурсам должен выдаваться только под конкретную задачу и на ограниченное время. Если у сотрудника нет лишних прав, злоумышленник, «взломавший» его, не сможет продвинуться вглубь системы.
Практические советы для сотрудников
Как распознать попытки социальной инженерии?
Будьте внимательны к подозрительным сообщениям, звонкам и просьбам о предоставлении личной информации. Иногда мошеннические письма можно распознать по следующим признакам:
🔹 Большое количество ошибок в сообщениях, расплывчатые формулировки и форматирование.
🔹 Человек в переписке предлагает перейти на обычные СМС или удобную ему платформу.
Правильное поведение при подозрительных контактах
Если вы получили подозрительное сообщение или звонок, не спешите предоставлять информацию. Свяжитесь с официальными представителями организации для подтверждения.
Вложения и ссылки в письмах
В любом электронном письме, которое вызывает малейшее недоверие, не стоит открывать вложения и переходить по ссылкам.
У нас есть бесплатный pdf-гайд по безопасному использованию социальных сетей. Забирайте его по ссылке и делитесь с коллегами.
Предупрежден — значит вооружен. Чем детальнее обсуждать явление социального инжиниринга и совершенствовать знания сотрудников, тем меньше вероятность понести большие финансовые и репутационные потери. Регулярные тренинги, технические меры и практические советы помогут снизить риски и обеспечить безопасность данных компании.
Помогаем настроить системную работу по защите персональных данных с помощью тренингов и консалтинговых услуг. Приведем проекты, процессы и продукты компании в соответствие с международными и национальными правилами защиты данных: GDPR, CCPA, UAE PDPL, PIPL, Закон Республики Беларусь № 99-З, Закон Республики Казахстан № 94-V и другими. Обучающие курсы по защите персональных данных от экспертов с международными сертификациями. Особенность наших программ — их практическая применимость и вовлеченность. Мы даем студентам реальные кейсы и фреймворки, а также превращаем сложные темы в понятные визуальные материалы. Корпоративные программы обучения по защите персональных данных, которые адаптируются под вашу команду. Учитываем уровень сотрудников в приватности, сферу деятельности бизнеса и применимое законодательство.Помощь и поддержка по вопросам защите персональных данных по GDPR и национальным законам
