Вы можете придумать пароль на 100500 знаков и хранить его исключительно в чертогах разума, но какой в этом смысл, если «инженеры» знают, как вас разговорить? Скорее всего, вы даже не заметите, что кто-то нацелился на ваши логины и пароли, потому что вопросы мошенников будут звучать безобидно.
Социальная инженерия — это совокупность манипулятивных действий, направленных на получение от жертвы информации, которая может использоваться в дальнейшем для несанкционированного доступа к его данным. Проще говоря — это все то психологическое, что делают хакеры, не считая непосредственно технички.
Сегодня в рубрике «Киберпаранойя» рассказываем, как и для чего может использоваться социальная инженерия, а также как заметить свойственные ей триггеры и защитить себя.
Но сначала приведем немного статистики.
Не пейте технический спирт
Причем тут спирт, да еще и технический? При том, что его градус равен 92%, а именно такой процент атак на простых граждан как мы с вами включает в себя приемы социальной инженерии. Так что будьте бдительны. Ну и спирт пить тоже не лучшая идея, если вы сомневались.
Эти самые 92% (хотя автор искренне верит, что там все 99,9%) злоумышленников используют не какие-то технические навороты или «хакерские таланты», а банальную неосведомленность и/или беспечность своих жертв.
Но как же так получается, что основной причиной киберпреступлений являются сами жертвы? Почему в случае с обычным воровством, в отличие от воровства цифрового, люди чаще способны себя защитить? Тут происходит ровно то же, что и с отравлением техническим спиртом — людям лень думать. Чтобы тебя не убили или не обокрали, обычно достаточно адекватно себя вести и не соваться в сомнительные места. В случае с киберугрозами все сложнее, так как:
Людям лень вникать, как такое вообще возможно, а в рекламе сказали, что всех нас что-то защищает.
Жертвы редко обращаются к правоохранителям, что искажает реальную статистику.
Многие считают, что «это» случится не с ним.
Те, кто использует социальную инженерию, умеют располагать к себе — жертвам самим хочется с ними общаться.
Люди практически всегда подсознательно стараются не думать о возможной опасности — это наблюдение психолога и психиатра Эрика Берна.
Статьи по сабжу дают весьма поверхностную информацию.
Этот список можно было бы продолжать бесконечно долго, но давайте лучше перейдем к тому, для чего конкретно может быть использована социальная инженерия.
Для чего используют социальную инженерию
И нет, мы не будем писать: «Социальная инженерия может быть использована для взлома и кражи данных». Вместо этого мы распишем конкретные примеры того, что и для чего может делаться. Только сразу уточним: не попадите в ловушку шаблона. Все перечисленное ниже — лишь вариант использования, но ни в коем случае не исчерпывающий список.
Итак, социальная инженерия может быть использована следующим образом:
Претекстинг — хакеры часто представляются сотрудниками банков… Могло бы быть написано в одной из статей по сабжу — но камон! Вы и так это знаете. А вот то, что хакеры могут разыграть спор о том, что лучше — Android или iPhone, для выявления вашего гаджета и последующего подбора эксплойта, или же сымитировать ЧСВ-шного самохвала, чтобы вы принялись доказывать ему, что ваша зарплата выше и засветили цифру — об этом почему-то никто не пишет.
Посевной претекстинг — это ровно то же, что и выше, но с таргетом на массы. Например, в каком-то чате токсичная девчонка может начать хейтить парней, зарабатывающих меньше скольки-то там тысяч — и никто не заметит подвоха, ведь она же всегда токсик и всегда хейтит парней. Вот только кто-то на это поведется и засветит свою реальную зарплату. Позже другой подставной участник начнет нахваливать банк, на который вы вчера жаловались — вас это стриггерит, и вы сами не заметите, как засветите уже свой банк. Третий участник предложит устроить «Тайного Санту» под НГ. И вот у хакеров уже есть ваша зарплата, ваш банк и примерный район вашего проживания. Кстати, сегодня все эти 3 личности могут быть одним человеком, даже если вы «видели» каждого их них по видеосвязи.
Коммуникативный фишинг — все мы знаем, что переходить по непонятным ссылкам опасно. Ведь можно как минимум засветить свой IP, а как максимум — предоставить полный доступ к гаджету. Но почему-то мало кто думает о том, что симпатичная девчонка, с которой вы недавно познакомились, предлагает вам созвониться по видеосвязи вовсе не потому, что вы ей понравились, а чтобы узнать, на какой IP-адрес впоследствии закидывать троян. А «кто ты по гороскопу», кстати, могут использоваться для выявления вашей даты рождения.
Геймификационный фишинг — все, по видеосвязи больше никогда в жизни ни с кем не общаемся. Но в игру из Google Play-то поиграть с друзьями можно? Конечно, можно — рассказывать друзьям CVV2 тоже можно. Во всяком случае, мы не запрещаем :) Но вы же этого не делаете, не так ли? Даже если ссылка на игру окажется чистой, а не фишинговой — где гарантия, что сама прилка чистая? Как в Google Play или AppStore прокидывают запрещенку, не нам вас учить.
Квид про кво — оно же услуга за услугу. Здесь, к сожалению, вариантов развития событий настолько много, что перечислить их невозможно в принципе. Например, вам могут предложить денег, чтобы вы передали доступ к базе данных с вашей работы. Если сумма окажется достаточно большой, вы можете решить, что вам «фартануло» — вот только о том, что из этой же базы вытянут инфу для взлома уже лично вас, вы на радостях даже не успеете подумать. А писать заявление, что у вас украли деньги, полученные за слив конфиденциальных данных, мало кто осмелится.
Реверсивная социальная инженерия — в этом случае вы сами обращаетесь к взломщикам. Самый банальний пример: SMS в стиле «вашу банковскую карту заблокировали, позвоните по номеру». Более сложный пример: у вас внезапно перестал работать Wi-Fi (отключить его вам проще простого, если что), а вам нужно срочно чекать статку. И вдруг рядом сидящий приятель говорит, что у него все хорошо, но он знает, как вам помочь. И он действительно помогает, только после его «помощи» ваш персональный компьютер стал общим.
Перечисленное выше — лишь вариации на тему. В действительности методов использования социальной инженерии миллионы, и ограничиваются они лишь фантазией злоумышленника. Поэтому куда проще не запоминать разновидности подходов, а выявлять триггеры.
Триггеры социальной инженерии
На самом деле выявить их не так уж и сложно — достаточно взять на вооружение мысль «а что даст собеседнику озвученная вами инфа?». Вот только на деле мало кому хочется постоянно напрягать мозг и реально скатываться в паранойю — и это нормально. Поэтому приведем несколько наиболее ярких триггеров, которые относительно универсальны. Если вы заметите что-то из описанного ниже — это повод остановиться и все же заставить себя «попараноить»:
Ощущение срочности — банальный до безобразия, но вполне рабочий метод. Создавая ощущение срочности, социальный инженер переключает ваше внимания с рационального анализа ситуации на оптимизацию времени. Вы начинаете думать не о том, чем обернется его предложение, а о том, как бы поскорее принять решение. А уж если его предложение подразумевает выгоду, пусть даже и абстрактную — будьте уверены, что принять взвешенное решение вы не успеете. Поэтому если чувствуете ощущение срочности — всегда говорите «СТОП». Кому надо — подождут.
Чувство страха — социальные инженеры искусные манипуляторы и, как правило, неплохо разбираются в людях. Им не так уж сложно создать «плодотворную почву» для культивации каких-то ваших опасений или даже страхов. Вообще, если вы делаете что-либо из страха — это практически всегда звоночек. К подобному стоит прислушиваться, даже если дело вовсе не в попытках вас взломать.
Яркая реакция — если вы отказались взаимодействовать с подозрительными личностями, а они настойчиво подталкивают вас «следовать их правилам», это тоже может быть звоночком. Допустим, вы прямо сказали, что тема зарплаты для вас табу, а вас пытаются убедить, что «такие обсуждения — это же нормально» или «да там не о чем рассказать» — скорее всего, эту инфу пытаются пробить не из праздного любопытства. Кроме того, яркой реакцией может быть отсутствие какой-либо реакции со стороны собеседника или внезапная смена поведения. Всегда сопоставляйте реакцию собеседника с реакциями других людей в подобных ситуациях.
Просто ощущение, что что-то не так — подсознание работает значительно быстрее сознания. Многие решения были приняты вами не в момент, когда вы их осознали и сформулировали, а задолго до этого — в подсознании. Поэтому, если у вас есть ощущение, что «это ЖЖЖ неспроста», вполне возможно, что ваш мозг уже давно все проанализировал и заметил подвох. Прислушивайтесь к себе.
Также помочь в этом вопросе может заблаговременное выписывание тем, обсуждение которых представляет для вас опасность. Например — ваше финансовое положение, марка ПК или смартфона, ваш банк, используемое ПО, распорядок дня и т. д.
Способы защиты от социальной инженерии
Будем откровенны: способов защиты нет и быть не может, ибо речь идет о манипуляциях. Вы научитесь выявлять их и противодействовать одним методам — появятся другие. Это вечная гонка. Впрочем, несколько простых способов минимизировать риски все же есть:
Своевременно обновляйте ПО и антивирус — так, даже если из вас что-то вытянут с помощью социальной инженерии, подобрать под полученную инфу инструмент для взлома будет значительно сложнее. Он может быть банально еще не создан ввиду новизны вашего ПО.
Используйте сложные и, самое главное, разные пароли — от 100500-значного пароля не будет толку, если он один для всех ваших аккаунтов и гаджетов.
Регулярно меняйте пароли — даже самый сложный пароль со временем будет скомпрометирован. Чем чаще вы его меняете — тем лучше.
Не откровенничайте с теми, кого плохо знаете — банальный совет, но кто ему следует?
Не употребляйте алкоголь в незнакомых компаниях — так вы не только можете рассказать что-то лишнее, да еще и не вспомните об этом на утро.
Отслеживайте свое эмоциональное состояние — любые нетипично яркие реакции, как негативные так и позитивные, должны быть для вас индикатором. Мы не просим отказывать себе в эмоциях — но прежде чем им поддаться, остановитесь и прислушайтесь к себе.
Не берите трубку, если звонит незнакомый номер — просто не делайте этого. Никогда.
Составьте список тем-табу — регулярно его актуализируйте и будьте непреклонны в спорах. В идеале: научитесь давать ложную информацию по таким темам.
Думайте наперед — это, пожалуй, самый главный и самый сложный совет. Думайте наперед — пытайтесь поставить себя на место социального инженера и придумать, как можно использовать только что полученную от вас инфу против вас.
Надеемся, теперь тема социальной инженерии стала для вас чем-то большим, чем «звонки из Сбера». Помните про «технический спирт»: включайте голову и не ведитесь на уловки «инженеров». Если наши аргументы вас не убедили, представьте, насколько обидно стать жертвой школьника, начитавшегося книжек про манипуляции. Берегите себя!