Соціальна інженерія

Соціальна інженерія - це психологічне маніпулювання людьми, щоб змусити їх вчинити певні дії, наприклад повідомити свої персональні дані, перейти та завантажити файл за посиланням тощо, які особа не вчинила б, якщо б нею не маніпулювали.

Які зовнішні фактори хакери можуть використовувати на свою користь для планування та здійснення атак із використанням методів соціальної інженерії?

Епідемії, поширення хвороб, стихійні лиха. Прикладом може бути пандемія COVID-19. На малюнку нижче Ви бачите приклад фішингового листа, який, як приманку, використовує страх пандемії COVID-19, та схиляє користувача завантажити нібито інформаційний бюлетень, як захистити себе та рідних від зараження. Насправді у додатку до листа знаходиться вірус. 

Ще один приклад фішингової атаки із використанням пандемії COVID-19, як важеля впливу на жертву, наведено на малюнку. Хакери надсилали нібито мапу розповсюдження COVID-19, яка була у формі Java-архіву і коли користувач його завантажував, на його комп’ютер потрапляв вірус, найчастіше це був вірус типу «викрадач інформації». 

Ще один приклад стосується фішингових атак на українські державні структури, де як приманку використовували електронні листи із вкладеним нібито документом щодо ситуації на лінії зіткнення в Донецькій та Луганській областях. Документ містив шкідливий макрос, який завантажував троянську програму. 

Чому хакери використовують Соціальну інженерію (СІ)?

1. Це дешево і СІ не вимагає таких значних затрат, як на розробку ШПЗ (шкідливого програмного забезпечення) чи експлойтів; 

1. Це  ефективно. Атаки із використанням СІ є передумовою та відправною точкою атак із використанням ШПЗ. Хакери застосовують СІ для отримання первинного доступ до мережі, а вже потім застосовують складне ШПЗ, щоб надійно «засісти» в системі, викрасти дані тощо; 

1. Це універсально. СІ ефективна проти будь-якої операційної системи та версії програмного забезпечення, від неї не захистять антивіруси.

Атака на недосвідченого інтернет-користувача може йти за безліччю різних сценаріїв. Розповімо про найпоширеніші види соціальної інженерії.

Фішинг – це один із найрозповсюдженіших прийомів СІ. Під час фішингової атаки зловмисник під виглядом іншої особи, організації, відомого сервісу тощо, намагається отримати від потерпілого його персональні дані чи іншу конфіденційну інформацію або змусити вчинити дії, які особа не вчинила б за звичайних умов, наприклад, завантажити та встановити шкідливе програмне забезпечення. Традиційним видом фішингу є електронний лист від банку із повідомленням, що, у зв’язку із технічними неполадками або загрозою хакерської атаки «банк» проводить планову зміну паролей усіх користувачів та просить користувача ввести свій старий пароль для верифікації. 

Іншим прикладом фішингу, може бути точна копія вебсайту інтернет-магазину, де користувачеві пропонують ввести дані платіжної картки. Звичайно, що після їх введення кошти з картки зникають. 

Перед здійсненням фішингової атаки шахрай створює точну копію сайту компанії чи організації, «від імені» якої буде надсилати листи. Якщо йдеться про електронний лист, то атакуючий копіює форму, шрифти та елементи офіційних листів від банку та відтворює їх у повідомленні. 

Різновидом фішингу є цільовий або таргетований фішинг, який націлений на конкретну особу або користувача. Це є складнішою атакою, оскільки передбачає досконале вивчення цілі перед атакою, її звичок, історії, взаємовідносин у колективі, з рідними чи керівництвом. 

Наприклад, шахрай знає, що керівник установи зупинявся в готелі «Львів», таким чином він надсилає електронний лист нібито від адміністрації готелю із додатковим рахунком за користуванням баром. Керівник відкриває файл та завантажує вірус на свій комп’ютер.

Вішинг – це різновид фішингу, який здійснюється через телефон. Яскравими прикладом вішингу є дзвінок нібито із банку, де атакуючий повідомляє, що він співробітник банку та під вигаданим приводом просить особу повідомити дані своєї платіжної карти. Зазвичай зловмисник повідомляє про блокування картки, іноді шахраї говорять, що службою безпеки банку нібито проводиться звіряння особистих даних клієнтів, щоб убезпечити їх від шахрайства. 

Іншим прикладом є шахрайство типу «Ваш родич потрапив в аварію чи до поліції». Найчастіше шахраї здійснюють такого роду дзвінки вночі або рано-вранці, коли людина сонна, погано міркує. Шахраї, як правило, розмовляють чітко, впевнено та помірно швидко, щоб не дати змоги жертві зважити ситуацію та поміркувати. Під час дзвінків «із поліції» шахраї роблять ставку на розгубленість жертви та застосовують методи психологічного тиску, змушуючи особу «вирішувати справу зараз і тепер, бо немає часу зволікати». 

«Вішинг» є одним із найстаріших видів шахрайства, однак із розвитком комп’ютерних технологій «вішинг» отримав нові можливості. IP-телефонія та комп’ютерні технології дозволяють легко змінити номер телефону чи наприклад голос телефонуючого, в ході розмови можна включати технічні записи, наприклад, автовідповідач банку тощо.

«Дорожнє яблуко» («road apple») або «Троянський кінь» – це метод атаки, який передбачає підкинути співробітнику компанії чи установи фізичний носій інформації (флеш-накопичувач, диск) із шкідливим програмним забезпеченням. Носій може мати логотип компанії чи напис, що зацікавить співробітника, наприклад «список на звільнення», «заробітна плата за жовтень» тощо. Як тільки співробітник вставить такий носій до комп’ютеру, запуститься шкідливий код, який активує бекдор та надасть атакуючому доступ до мережі.

Зворотна соціальна інженерія – це вид соціальної інженерії, за якої особа сама звертається до шахрая та повідомляє свої конфіденційні дані. Одним із можливих сценаріїв є, коли шахрай надсилає співробітникам компанії нібито нові номери телефонів служби технічної підтримки. Цілком імовірно, що через деякий час хтось із співробітників зателефонує і шахрай зможе вивідати інформацію, яка його цікавить.

Висновок: пам’ятайте, справжньою ціллю хакера можете бути не Ви, а Ваш керівник чи установа, де Ви працюєте, а Ви – це лише інструмент у досягненні цілі.

Намагайтеся мінімізувати використання домашнього комп’ютера у службових цілях. Якщо все ж таки це необхідно, переконайтесь, що Ви користуєтесь програмним забезпеченням останніх версій, у Вас встановлено антивірус, firewall тощо.

Які психологічні прийоми використовують шахраї для впливу на жертву?

Взаємність – людина намагається відповісти добром на добро, послугою на послугу, щоб сплатити свій «борг». Почувати себе «зобов’язаним» комусь не комфортно, тому ми намагаємось якнайшвидше позбутися цього обов’язку. Якщо Ваш колега зробив Вам послугу або Ваш друг запросив Вас на вечірку, Ви відчуваєте внутрішній обов’язок відповісти послугою на послугу, запросити друга на вечірку також. Яскравим прикладом використання принципу взаємності є поведінка офіціантів у ресторанах. Перед тим, як принести Вам рахунок, офіціант зробить Вам невеликий «подарунок», це може бути жуйка чи цукерка, наприклад. У такій ситуації Ви відчуваєте себе зобов’язаним «відплатити» офіціанту щедрими «чайовими». Сценаріїв атак із використанням цього прийому СІ безліч. Наприклад, вступаючи у листування із жертвою, хакер може поділитися нібито якоюсь конфіденційною інформацією про свою компанію і тим самим спровокувати жертву розкрити деталі про свою установу. Хакер може запропонувати свої послуги із налаштування обладнання, надання консультації тощо, а потім попросити про взаємну послугу.

Будьте уважні, коли маловідомі Вам люди, повідомляють Вам дані або пропонують послуги, про які Ви не просили.

Послідовність — людині властиво дотримуватися тих дій або вчинків, які вона вже робила у минулому. Коли людина дає обіцянку, то вважає за свій обов’язок зробити все, щоб її дотримуватися. Варто попросити людину про кілька дрібних послуг, які вона зазвичай виконує, а у потрібний момент попросити про «головну» послугу і людині буде вже незручно відмовити. Хакер може спочатку спровокувати жертву розкрити малий обсяг інформації та, користуючись принципом «послідовності», досягти своєї мети та отримати дані, за якими він полював. Наприклад, якщо у Вас одразу запитають пароль доступу до внутрішньої WiFi-мережі, Ви найімовірніше відмовите, однак якщо хакер спочатку попросить пароль до мережі WiFi, виділеної для відвідувачів закладу, а потім скаже, що не може приєднатися через технічні проблеми, ймовірність того, що Ви запропонуєте пароль до внутрішньої WiFi-мережі значно зростає.

Соціальний конформізм: людина погоджується з тим, що робить більшість. Особливо в ситуаціях, коли людина не впевнена, що робити, вона швидше зробить те, що робить більшість. 

Авторитет: людині притаманно слідувати за тими, кому вона довіряє, кого знає, хто для неї є авторитетом. Хакери користуються цим принципом, коли телефонують, представляючись співробітниками правоохоронних органів, працівниками банку; коли надсилають фішингові листи від імені керівників компаній чи відомих брендів. Саме на авторитет відомих людей розраховували хакери, коли розмістили твіти від імені Ілона Маска, Барака Обами із закликами переказати біткоїни. 

Симпатія: людина охочіше та швидше виконує прохання тих, хто їй симпатичний, або зробить те, що їй подобається. Використовуючи цей принцип, хакер може розпочати процес «вербування» жертви із зробленого компліменту, до прикладу, щодо фотографій із відпустки, нової зачіски чи взуття. Хакери також можуть створювати «фейкові» акаунти в соціальних мережах, використовувати модельні фотографії протилежної статі тощо. 

Дефіцит: людина завжди більше бажає того, що їй недоступно. Коли речі стають менш доступними, вони здаються нам більш бажаними. Якщо у нас є вибір отримати це зараз або, можливо, отримати в майбутньому, ми обираємо зараз. Цей принцип активно застосовують маркетологи у продажах. Наприклад, акції типу «тільки сьогодні і тільки – 50% знижка» зазвичай спричиняє зростання продажу. Хакери також можуть використовувати цей підхід у своїх атаках. Наприклад, створивши відчуття, що документ, файл тощо може стати скоро недоступним, хакер може значно підвищити ймовірність того, що користувач завантажить його. Інші психологічні прийоми, які використовують шахраї включають: 

- штучне створення ситуації, коли рішення треба приймати «сьогодні і зараз» (різновид вищезгаданого прийому «дефіциту»). Людині не дають можливості подумати, прийти до тями, порадитися, тверезо зважити ситуацію. Саме на створення штучного відчуття «дефіцит часу» на прийняття рішення покладаються шахраї у схемах «Ваш родич потрапив до поліції». 

- маніпулювання прагненням отримати «швидкі гроші». Сюди відносять різноманітні лотереї та вікторини. Повідомлення про виграш автомобіля, для оформлення якого необхідно нібито внести якийсь відсоток на рахунок організації, яка проводила лотерею. 

Як захиститися від атаки?

Соціальна інженерія — явище, якому можна протистояти, якщо дотримуватися нехитрих правил і зберігати пильність.

• Звертайте увагу на адресу відправника листа та сайт, на якому маєте намір залишити особисті дані: радимо перевірити SSL-сертифікат, доменне ім’я (у ньому не повинно бути заміни літер або відсутності потрібних символів), а також контактні телефони та реквізити компанії.
• Не працюйте з важливими даними в присутності незнайомців. Шахраї можуть скористатися цією ситуацією, щоб дізнатися паролі або отримати інші важливі відомості.
• Цікавість — почуття, що іноді спонукає нас відкрити файл, забувши про безпеку. Будьте пильні: не переходьте на сумнівні ресурси та не завантажуйте невідомі програми.
• Використовуйте різні паролі для доступу до особистої та корпоративної пошти, соцмереж і банківських додатків.
• Антивірус оперативно сигналізує про наявність загрози, «битих» файлів, спаму та небажаних програм. Таке придбання точно окупиться і збереже не лише ваші дані, а й масу нервових клітин.