Прежде чем перейти к рассмотрению типов атак с использованием социальной инженерии, жертвами которых становятся ежедневно, а также предстоящих атак, которые бурно обсуждаются в Интернете, давайте вкратце разберемся, что такое социальная инженерия. 

Говоря простым языком, социальная инженерия - это тактика развертывания кибератак, при которой субъекты угроз используют психологические манипуляции для эксплуатации своих жертв и их обмана.

Социальная инженерия: Определение и примеры

Что такое социально-инженерная атака?

В отличие от киберпреступников, взламывающих ваш компьютер или систему электронной почты, атаки с использованием социальной инженерии организуются путем попытки повлиять на мнение жертвы, чтобы заставить ее раскрыть конфиденциальную информацию. Аналитики по безопасности подтвердили, что более 70% кибератак, которые ежегодно происходят в Интернете, - это атаки социальной инженерии.

Примеры социальной инженерии

Посмотрите на пример, показанный ниже:

 

Здесь мы можем наблюдать онлайн-рекламу, заманивающую жертву обещанием заработать $1000 в час. Это объявление содержит вредоносную ссылку, которая может инициировать установку вредоносного ПО на систему жертвы. 

Этот тип атаки широко известен как Online Baiting или просто Baiting, и является формой атаки социальной инженерии. 

Ниже приведен еще один пример:

Как показано выше, атаки социальной инженерии также могут быть осуществлены с использованием электронной почты в качестве мощного средства. Частым примером этого является фишинговая атака. Более подробно мы рассмотрим эти атаки в следующем разделе.

Типы атак социальной инженерии

1. Вишинг и Смишинг

Предположим, сегодня вы получили SMS от вашего банка (якобы) с просьбой подтвердить вашу личность, нажав на ссылку, иначе ваш счет будет деактивирован. Это очень распространенное сообщение, которое часто распространяется киберпреступниками, чтобы одурачить ничего не подозревающих людей. Как только вы нажмете на ссылку, вы будете перенаправлены на поддельную страницу, которая потребует ввести вашу банковскую информацию. Будьте уверены, если вы предоставите злоумышленникам свои банковские данные, они опустошат ваш счет. 

Аналогичным образом, вишинг или голосовой фишинг инициируется посредством телефонных звонков, а не SMS.

2. Онлайн-приманка / приманка 

Каждый день, просматривая веб-сайты, мы сталкиваемся с различными рекламными объявлениями в Интернете. Хотя большинство из них безобидны и достоверны, среди них может быть несколько плохих яблок. Это можно легко определить, заметив рекламу, которая кажется слишком хорошей, чтобы быть правдой. В них обычно содержатся нелепые утверждения и заманухи, такие как выигрыш джекпота или предложение огромной скидки.

Помните, что это может быть ловушкой (также известная как a приманка). Если что-то кажется слишком хорошим, чтобы быть правдой, то, скорее всего, так оно и есть. Поэтому лучше избегать подозрительных объявлений в Интернете и не кликать на них.

3. Фишинг

Атаки социальной инженерии чаще всего осуществляются через электронную почту и называются фишингом. Фишинговые атаки сеют хаос в глобальном масштабе почти столько же времени, сколько существует сама электронная почта. С 2020 года, в связи с резким увеличением количества сообщений электронной почты, уровень фишинга также резко возрос, обманывая большие и малые организации и ежедневно попадая в заголовки газет. 

Фишинговые атаки можно разделить на Spear phishing, whaling и CEO fraud, означающие выдачу себя за конкретных сотрудников организации, лиц, принимающих решения в компании, и CEO, соответственно.

4. Романтические аферы

Федеральное бюро расследований (ФБР) определяет романтические интернет-аферы как "мошенничество, которое происходит, когда преступник использует поддельную личность в Интернете, чтобы завоевать расположение и доверие жертвы. Затем мошенник использует иллюзию романтических или близких отношений, чтобы манипулировать жертвой и/или обворовывать ее". 

Романтические аферы относятся к типу атак социальной инженерии, поскольку злоумышленники используют манипулятивные тактики, чтобы установить близкие романтические отношения со своими жертвами, прежде чем действовать по своему основному плану: т.е. мошенничать с ними. В 2021 году романтические аферы займут первое место в списке самых финансово-ущербных кибератак года, за ними следует ransomware.

5. Подделка

Подмена домена - это высокоразвитая форма атаки социальной инженерии. Это когда злоумышленник подделывает легитимный домен компании, чтобы отправлять электронные письма клиентам от имени организации-отправителя. Злоумышленник манипулирует жертвами, заставляя их поверить, что указанное электронное письмо исходит от подлинного источника, т.е. компании, на услуги которой они полагаются. 

Атаки спуфинга трудно отследить, поскольку электронные письма отправляются с собственного домена компании. Тем не менее, существуют способы устранения неполадок. Одним из популярных методов, используемых и рекомендуемых экспертами отрасли, является минимизация спуфинга с помощью DMARC настройки.

6. Предлог

Претекстинг можно назвать предшественником атаки социальной инженерии. Это когда злоумышленник придумывает гипотетическую историю, чтобы подкрепить свое требование о получении конфиденциальной информации компании. В большинстве случаев предлог осуществляется посредством телефонных звонков, когда злоумышленник выдает себя за клиента или сотрудника, требуя от компании конфиденциальную информацию.

Какой распространенный метод используется в социальной инженерии?

Наиболее распространенным методом, используемым в социальной инженерии, является фишинг. Давайте посмотрим на некоторые статистические данные, чтобы лучше понять, что фишинг является растущей глобальной угрозой:

  • В отчете CISCO "Тенденции угроз кибербезопасности в 2021 году" подчеркивается, что 90% утечек данных происходят в результате фишинга.
  • IBM в своем отчете о стоимости утечки данных в 2021 году присвоила фишингу звание самого финансово затратного вектора атаки.
  • Как сообщает ФБР, с каждым годом количество фишинговых атак увеличивается на 400%.

Как защитить себя от атак социальной инженерии?

Протоколы и инструменты, которые можно настраивать: 

  • Разверните в своей организации протоколы аутентификации электронной почты, такие как SPF, DKIM и DMARC. Начните с создания бесплатной записи DMARC сегодня с помощью нашего генератор записей DMARC.
  • Обеспечьте соблюдение политику DMARC p=reject для минимизации прямой подмены домена и фишинговых атак по электронной почте
  • Убедитесь, что ваша компьютерная система защищена с помощью антивирусной программы

Личные меры, которые вы можете принять:

  • Повышение осведомленности в вашей организации о распространенных типах атак социальной инженерии, векторах атак и предупреждающих признаках
  • Ознакомьтесь с векторами и типами атак. Посетите нашу базу знаний, введите в строке поиска слово "фишинг", нажмите кнопку "ввод" и начните учиться уже сегодня!  
  • Никогда не отправляйте конфиденциальную информацию на внешние веб-сайты
  • Включите приложения идентификации вызывающего абонента на своем мобильном устройстве
  • Всегда помните, что ваш банк никогда не попросит вас предоставить информацию о вашем счете и пароль по электронной почте, SMS или звонку.
  • Всегда перепроверяйте адреса "От" и "Обратный путь" ваших писем, чтобы убедиться, что они совпадают. 
  • Никогда не нажимайте на подозрительные вложения или ссылки в электронной почте, не убедившись на 100% в подлинности их источника
  • Подумайте дважды, прежде чем доверять людям, с которыми вы общаетесь в Интернете и не знакомы в реальной жизни
  • Не просматривайте веб-сайты, не защищенные HTTPS-соединением (например, http://domain.com).