Как работает соци­альная инженерия

И как этим пользуются мошенники
17
Как работает соци­альная инженерия
Аватар автора

Алексей Малахов 🦣

специалист по безопасности

Страница автора

Многие представляют хакера как человека с кучей хитрых устройств, программ, мониторов и энергетиков.

На самом деле типичный интернет-мошенник уже давно никого не взламывает. Он собирает данные о человеке в открытых источниках, а потом с их помощью уговаривает его перевести деньги. Это называют социальной инженерией. Когда аферисты притворяются сотрудниками полиции, Центробанка и ФСБ — это как раз пример такого способа обмана.

Расскажу о социальной инженерии и о том, как от нее защититься.

Что такое социальная инженерия

В контексте информационной безопасности этот термин обозначает совокупность методов психологического манипулирования. Цель мошенников, которые используют социальную инженерию, — заставить человека выдать конфиденциальную информацию, дать доступ к защищенным ресурсам, перевести деньги на счет злоумышленников.

Другими словами, социальная инженерия — это когда мошенники пытаются заставить человека совершить любое действие, которое идет вразрез с его интересами.

При этом не обязательно напрямую общаться с жертвой — голосом или по переписке. Порой достаточно создать условия, чтобы человек обманул себя сам. Например, прислать ему уведомление о компенсации за просмотр рекламы в интернете, которую переведут на счет сразу после «уплаты налога».

Просьбы дать взаймы от имени взломанных знакомых или поддельные призывы перевести деньги на лечение — классические примеры социальной инженерии
Просьбы дать взаймы от имени взломанных знакомых или поддельные призывы перевести деньги на лечение — классические примеры социальной инженерии
1/2
Просьбы дать взаймы от имени взломанных знакомых или поддельные призывы перевести деньги на лечение — классические примеры социальной инженерии
Просьбы дать взаймы от имени взломанных знакомых или поддельные призывы перевести деньги на лечение — классические примеры социальной инженерии
Фальшивые отзывы на сайтах с «компенсациями» — тоже пример социальной инженерии. Они создают иллюзию, что кому⁠-⁠то действительно выплачивают деньги, склоняя жертву к нужному аферистам действию
Фальшивые отзывы на сайтах с «компенсациями» — тоже пример социальной инженерии. Они создают иллюзию, что кому⁠-⁠то действительно выплачивают деньги, склоняя жертву к нужному аферистам действию

Все начинается с нулевого этапа атаки

Заставить человека сделать то, чего он не хочет, не самая простая задача. Для этого мошенникам нужно собрать о нем хотя бы минимальную информацию: как его зовут, сколько ему лет, в каком банке у него счета — например, если речь о схемах, связанных с «безопасным счетом».

Порой мы сами помогаем мошенникам узнать о себе больше. Вспомните, встречали ли вы в социальных сетях опросы, где спрашивают про марку первой машины или предлагают поставить лайк, если вы 1990 года рождения? Ответы помогают мошенникам подобрать пароль к вашей учетной записи или угадать кодовое слово в банке.

Такую подготовку специалисты называют «нулевой этап атаки». Благодаря полученной информации аферистам легче войти в доверие. Они могут написать от лица директора, назвать имена и должности коллег, а потом попросить ответить на звонок «из ФСБ» или «из Центрального банка».

В итоге мошенникам отдают деньги даже те, кто знает про их схемы и хорошо разбирается в технологиях. Например, из-за хорошей подготовки со стороны мошенников и последующей социальной инженерии миллионы рублей переводили доктор физико-математических наук, подполковник КГБ, сотрудники банков и программисты.

А один ученый, которому пророчили Нобелевскую премию, угодил в тюрьму на пять лет, потому что доверился фальшивой красотке из интернета и стал невольным соучастником контрабанды наркотиков. Эту историю мы разобрали в статье «Почему люди ведутся на глупые разводы».

Методы социальной инженерии

Социальная инженерия — это такой же неотъемлемый инструмент мошенника, как фотоаппарат для фотографа или руль для водителя. Взломать мозг человека зачастую гораздо проще, чем компьютер.

Большинство хакеров переключились с написания вирусов на написание сценариев звонков или писем со спамом. В итоге количество методов социальной инженерии стало расти в геометрической прогрессии: каждая группа мошенников придумывает что-то свое.

По данным компании Positive Technologies, на социальную инженерию приходится 83% атак. Вот самые популярные и необычные разновидности.

Фишинг. Это когда мошенник старается обманом получить доступ к важной информации: логинам и паролям, данным банковских карт и паспортов, кодам верификации, интимным фотографиям, важной переписке — всему, что помогает украсть деньги.

Вишинг, или голосовой фишинг. Квинтэссенция социальной инженерии — те самые звонки из банка, полиции, ФСБ, КГБ и других аббревиатур. Любопытная статистика: 60% разводов в России происходит через телефонные звонки.

Смишинг. Это фишинг через смс. Например, как-то раз я получил смс с логином и паролем от кошелька, на котором лежали миллионы криптодолларов. Мошенники рассчитывали, что в приступе жадности я зайду на сайт, попытаюсь вывести деньги на свой счет и заплачу комиссию за перевод. Эту схему я разобрал в отдельной статье.

Мошенники никак не контактировали со мной — просто прислали смс, а дальше я должен был перейти на сайт и обмануть себя сам. Это тоже разновидность социальной инженерии
Мошенники никак не контактировали со мной — просто прислали смс, а дальше я должен был перейти на сайт и обмануть себя сам. Это тоже разновидность социальной инженерии

Бейтинг, или «дорожное яблоко». Например, хакер оставляет возле офиса флешку с надписью «Пароль от биткоин-кошелька» или диск «Зарплатная ведомость руководства». Расчет на то, что кто-то из сотрудников вставит носитель в свой компьютер, заразит его вирусом и тем самым предоставит хакеру доступ во внутреннюю сеть компании.

Спуфинг. В контексте сетевой безопасности так называют любую атаку, когда злоумышленник каким-то образом маскирует себя или свои действия под что-то, чему пользователь доверяет. Например, он может изучить соцсети жертвы, подделать профиль друга или родственника, а потом написать от его имени и попросить взаймы.

Обратная социальная инженерия. У этого термина два значения. Первое — из мира специалистов по безопасности, когда они подыгрывают аферисту, чтобы вычислить его и наказать.

Второе — это когда мошенник не мешает, а помогает своей жертве, чтобы вызвать у нее доверие. В некоторых разводах, связанных с поиском работы, мошенники сначала переводят соискателю небольшую сумму за тестовое задание. А потом предлагают начать зарабатывать полноценно — и просят внести на «рабочий счет» в несколько раз больше.

Quid pro quo, услуга за услугу. Метод похож на обратную социальную инженерию. Мошенник создает ситуацию, в которой навязывает свою помощь потенциальной жертве. Например, звонит и говорит, что на банковский счет человека совершают атаку, но он, доблестный сотрудник Центрального банка, поможет защитить деньги.

После неких манипуляций мошенник говорит, что отбил атаку, но теперь нужно вычислить преступника. Для этого он просит жертву помочь в расследовании: скажем, перевести деньги на определенный счет, чтобы Центральный банк смог отследить поток. Деньги, конечно же, сразу вернут, да еще и начислят бонус за сотрудничество.

Человек, которого только что «спасли», хочет отблагодарить «специалиста» — и переводит деньги. Разумеется, никто их не вернет, а мошенник сразу же положит трубку.

Shoulder surfing, серфинг из-за плеча. Модное название для обычного подглядывания. Обращали внимание, что на экране банкоматов ничего не видно, если посмотреть на них немного под углом? Это как раз для защиты от подглядывания из-за плеча: некоторые специалисты считают это разновидностью социальной инженерии.

Несмотря на всю банальность, такой метод может нанести серьезный ущерб компании. Представьте, что на входе в офис стоит дверь с кодовым замком: злоумышленник может из-за плеча посмотреть, как работник вводит код, а потом свободно входить в офис.

В самом офисе аферист может подслушать конфиденциальный разговор или подсмотреть пароль, который бухгалтер по старинке написал на бумажке на мониторе.

Tailgating, или Piggyback, «катание на спине». Еще одна атака из реального мира. Так называют явление, когда злоумышленник проникает на закрытую территорию благодаря сторонней помощи. Например, на входе в офис ловит случайного работника, говорит, что забыл свой пропуск, и просит пропустить его внутрь.

С более распространенным примером вы могли сталкиваться, если часто ездите в метро в час пик. Некоторые безбилетники пристраиваются к честным пассажирам, чтобы пройти через турникет, — это как раз тейлгейтинг.

Diversion Theft, кража с диверсией. Представьте, что вы заказали доставку из интернет-магазина. Курьера все нет и нет, и вдруг вы видите уведомление, что заказ доставлен.

Все потому, что мошенник пришел к вашему дому, стал высматривать курьера — и перехватил его. Злоумышленник притворился вами и сказал, что как раз вышел вынести мусор, а паспорт оставил дома. Но зачем курьеру ждать, когда можно вручить заказ и пойти по своим делам.

При должном уровне харизмы такие аферисты могут уговорить не то что доставщика пиццы, а даже курьера с новеньким дорогим смартфоном.

Претекстинг, или атака с предлогом. Метод, когда мошенник сначала разыгрывает невинный спектакль, чтобы разогреть потенциальную жертву: например, проводит опрос про любимые музыкальные группы. А потом предлагает оставить данные банковской карты, чтобы получить вознаграждение. Или представляется службой технической поддержки работодателя, задает обычные вопросы, а потом просит логин и пароль от учетной записи, чтобы что-то обновить. Разводы с заполнением анкет и опросов тоже используют этот прием.

Scareware, пугалка. Баннеры о том, что ваше устройство заражено тысячью вирусов, электронные письма с требованием заплатить за некий компромат — в общем, все то, что должно вызвать страх и испуг. В какой-то степени звонки «из полиции», что кто-то прямо сейчас берет кредит на ваше имя, тоже можно отнести к этому методу.

МВД просит перевести штраф за просмотр видео для взрослых по номеру телефона. Конечно же, это не новая госуслуга, а пугалка мошенников
МВД просит перевести штраф за просмотр видео для взрослых по номеру телефона. Конечно же, это не новая госуслуга, а пугалка мошенников

Почему социальная инженерия работает

Профессиональные мошенники — хорошие психологи. Они выключают наше критическое мышление, используя инстинкты мозга. В итоге люди ведутся не потому, что они глупые, а потому, что их мозг перешел в «первобытный режим».

Модель поведения человека выглядит сложно: существуют сотни параметров, которые влияют на наши решения. Но если попытаться упростить, то у мозга есть всего два маршрута, по которым он пускает мыслительные процессы: «центральный» и «периферический».

«Центральный» маршрут работает в состоянии покоя. У мозга есть ресурсы и время, чтобы тщательно обработать полученную информацию и выдать логическое заключение. Именно поэтому, когда мы сидим перед экраном с чашкой кофе и читаем, как пенсионерка выбросила из окна 900 тысяч рублей из-за угроз по телефону, так и хочется ухмыльнуться: «Совсем из ума выжила! Ну могла бы просто трубку повесить! Кто на такое вообще ведется?»

А ведутся люди вот почему: когда звонят и пугают, что все деньги на счете вот-вот исчезнут, мозг переводит решения на «периферический» маршрут. Сигналы в голове начинают идти не через цепочку фильтров, а через аффективную реакцию.

Когда-то, в пещерные времена, аффективная реакция позволяла нашим предкам не задумываться, стоит ли убегать от странной зубастой кошки, а мгновенно принимать решение, сохраняя жизнь. Это наши базовые инстинкты: бей, беги, замри.

К сожалению, в наше более свободное от саблезубых кошек время аффективная реакция помогает мошенникам взламывать чужое мышление. Они вызывают у человека эмоцию и сразу получают нужную им реакцию. Именно поэтому некоторые пострадавшие описывают свое состояние как «я словно действовал на автомате».

В спокойном состоянии мозг проводит решение через множество фильтров, как на маршруте справа. Но в моменты стресса все фильтры отключаются и решения принимаются мгновенно, как на маршруте слева
В спокойном состоянии мозг проводит решение через множество фильтров, как на маршруте справа. Но в моменты стресса все фильтры отключаются и решения принимаются мгновенно, как на маршруте слева

Как распознать социальную инженерию

Залог успешного применения социальной инженерии — использование эмоций человека. Поэтому главное правило звучит так: если вас пугают, торопят, вам угрожают — возможно, это атака с помощью социальной инженерии.

Человека не обязательно пугать: можно вызвать у него раздражение, любопытство или даже желание помочь. Эмоции, на которые давят мошенники, специалисты по безопасности называют векторами. Среди векторов еще выделяют невнимательность: хотя это не эмоция, а состояние человека, мошенники часто рассчитывают именно на нее.

У векторов есть усилители: например, авторитет и срочность. Они работают как катализаторы и повышают успешность атаки. В какой-то момент мошенники перестали представляться сотрудниками службы безопасности банка и стали звонить от имени «полковника ФСБ по экономическим преступлениям» или «ведущего специалиста Центрального банка»: ведь так звучит авторитетнее, а значит, больше шансов испугать человека и заставить его действовать необдуманно.

Вероятность успешного обмана также повышается, когда мошенникам удается вычислить актуальные потребности человека. Поэтому так много разводов связано с обещанием денег — и поэтому от них страдают те, кто сильнее нуждается.

Социальная инженерия — это не только угрозы по телефону. Мошенники могут использовать весь спектр человеческих эмоций, подкрепляя их усилителями: срочностью и авторитетом
Социальная инженерия — это не только угрозы по телефону. Мошенники могут использовать весь спектр человеческих эмоций, подкрепляя их усилителями: срочностью и авторитетом

Как защититься от социальной инженерии

Читайте про мошенников и схемы разводов. Это поможет выявить попытку обмана, когда вы с ней столкнетесь. Со временем вы научитесь распознавать мошенничество, даже если никогда о нем не слышали: мозг будет самостоятельно различать красные флаги.

Методы мошенников сложны и разнообразны, к тому же они постоянно придумывают что-то новое. Но главное в них — это атака на эмоции. Если во время звонка от незнакомого человека вы почувствовали страх, тревогу, раздражение — это повод прервать разговор, успокоиться и перезвонить самостоятельно.

Если «сотрудник банка» сказал, что ваши деньги в опасности, — перезвоните в банк по номеру с официального сайта или с банковской карты. Если «полковник ФСБ» сказал, что вы стали подозреваемым в расследовании, — перезвоните на горячую линию ФСБ. Если «врач» сказал, что ваш родственник попал в больницу и нужно срочно перевести деньги на лечение, — перезвоните родственнику.

Совладать с эмоциями бывает непросто. Вовремя распознать давление помогает прием «взять паузу»: если вас застали врасплох, не реагируйте сразу, дайте мозгу переключиться на новую задачу. Подробнее об этом приеме читайте в первом уроке бесплатного курса «Как защититься от мошенников». Этот же курс поможет развить насмотренность и научит распознавать большинство популярных схем развода.

Алексей Малахов 🦣Вовремя распознали атаку мошенников или, наоборот, пострадали от социальной инженерии? Поделитесь своей историей:
  • Забаненый за правду"социальная инженерия — это когда мошенники пытаются заставить человека совершить любое действие, которое идет вразрез с его интересами" А, понял. Порой по нескольку раз на дню звонят-то кредиты втюхивают, то кредитки, то тариф телефона другой. Так как тарифы по ним, особенно сейчас идут вразрез с моими интересами-вовремя распознаю и посылаю мошенников)))13
  • NotNowЗабаненый, я так службу Теле2 в черный список отправила)) надоели6
  • Барбара ШкафицНе понимаю, что мешает установить АОН-спамоловку, после которого вы просто не услышите и не увидите 95% звонков от мошенников? Отговорки типа: "Ну а вдруг там полезный звонок!" считаю бессмысленными. Если вы действительно нужны "полезному человеку", он вам снова позвонит или напишет. Настроить соцсети так, чтобы ваши посты и комментарии видели только друзья, тоже несложно. Но почему-то это мало кто делает. Более того, многие вообще не знают о такой возможности (и я сейчас не про древних бабушек, а про людей в самом расцвете сил).1
  • GusliПо мне одна из лучших соц.инженерии чуть не состоялась по *xz utils backdoor* которая бы сломала очень много серверов в мире0
  • Алексей Малахов 🦣Барбара, такие инструменты дают ложное чувство безопасности. Установили вы антиспам, например, бабушке. 95% звонков мошенников не проходят, но оставшимся 5% бабушка доверяет еще больше, ведь они пришли через защиту, а значит, они «нормальные». Считаю, лучше знать механизмы разводов и способы защиты от них. Это защитит сильнее, чем антиспам.16
  • Барбара ШкафицАлексей, а что мешает сочетать эти два способа? И защититься, и избавить себя от звонков раздражающих мошенников? Эти инструменты избавляют пользователя от необходимости отвлекаться на спам-звонки, подвергать себя (и свои деньги) риску.3
  • Алексей Малахов 🦣Сергей, ну дык у нас редакция БЕЗОПАСНОСТИ и рубрика ПРОВОДНИК ПО БЕЗОПАСНОСТИ, и в разделе "Что такое социальная инженерия" написано, внимание: "В контексте информационной безопасности этот термин обозначает..."7
  • Boris DonutЕсть простой принцип: не покупайте ничего “под дулом пистолета”. Это относится не только к покупкам. Иными словами, если вас торопят, пугают или оказывают давление, это, скорее всего, направлено на то, чтобы вас в какой-то мере обмануть. Придерживаясь этого принципа, можно легко избежать проблем.2
  • Александр КорнеевNotNow, мне тоже надоели ужасно, я там работал1
  • ЕвгенийМожно сказать вовремя распознал. Звонят мне и представляются службой безопасности из моего банка. Ну и конечно говорят, что кто-то пытается взять кредит и чтобы это предотвратить, предлагают написать в чат банка "отмена кредита". Вроде всё предельно безопасно, но когда спрасили написал ли я, то я к тому времени уже опомнившись( и ничего не писавший в чат) спросил: "написал, что я написал, Вы мне можете сказать?". И конечно сразу бросили трубку.0
  • user2853108Если получаю звонок с неизвестного мне номера, не отвечаю и пишу СМС следующего содержания: "Извините, не иогу говорить, пишите" В 99,9 % случаев на этом всё заканчивается.0
  • Юлия ВладимировнаДо сих пор всегда узнавала, что это мошенники. Как то на подкорке возникает посыл, что это обман. Попытки разводов вполне банальные были. Один раз хотела разобраться с криптой, было интересно и непонятно. Плдписалась на паблики. И там один мужчина написал просто поднакомиться и он со мной месяц (!) общался о том , о сем. О крипте, даче,отпуске. Особо не напрягал, пишет иногда и всё. Как то стал рассказывать как зарабатывает много денег на чужих сигналах и как то в один день предложил тоже попробовать. Я насторожилась и заподозрила неладное. Но согласилась. Он меня свел с другим мужчиной (тоже онлайн). И там типа такая схема, мне дают сигнал, и я провожу сделки в крипте, и потом с заработанного отдаю им 30 %. Попутно обьясняют, что чем больше денег я использую, тем больше доход. Потом говорят что давай пробную сделку проведем. Ну и заодно у меня узнают, есть ли у меня еще деньги где то, что бы их завести на крипто счёт и заработать еще больше. Собственно тут я и поняла что это развод. но в крипте я ноль, и не могу понять в чем смысл развода.... Короче мы проводим несколько тестовых сделок на небольшой сумме в плюс. Так же я применяю свою социальную инженерию т сообщаю предрологаемым мошенникам, что деньги конечно есть, но они на инвест.счете и их надо сначала вывести оттуда и все такое прочее. Конечно мошенник думает, что он на коне и верит мне. В итоге договариваемся на след.денб снова созвониться и еще сделку провести пробную, пока я деньги с инвестиций вывожу. Ну а я проведя первые пробные сделки в этот день, все запомнила и полезла в интернет разбираться в чем подвох, плюс написала закомому, которыц работает на коиптобирже в другой стране. И в итоге я нашла на ютубе видос который точно рассказывает в чем обман) в криптопереводах там один номер транзакции как в банке. Уникальный. Ну и проверив их я поняла чо деньги уходили на скам адрес куда то и оттуда мне просто присылали больше монет, чем я отправляла изначально (то есть было две транзакции). Но мы (я и мошенник-настпвник) все так быстро делали и я необратила внимание сколько монет ушло с одного моего счета и сколько пришло на мой другой счет) потом и знакомый ответил, подтвердил мои догадки на счет развода и в чем смысл. На следующий день я их всех забанила и предварительно поблагодарила за 200 баксов которые я якобы заработала на разнице курсов (а по факту они просто больше монет скинули). И везде где они вылазили я их банила. А денежку вывела и потратила на косметос) забавная история была. Но спасибо моему мозгу, он до сих пор не подводил и всешда сигнализирует об обмане. Надеюсь и дальше не будет подводить.5
  • ЕленаСегодня позвонила родственница и призналась, что отдала мошенникам всё сбережения. Схема была такая. Позвонила три дня назад и говорит, что ещё три дня назад позвонили на стационарный телефон. (Бабуле 85лет) сказали Ростелеком, договор перезаключать надо. Разную инфу выманивали, как пенсию получает например. Потом попросили номер СНИЛС и номер мобильного, она всё сказала. Позвонила мне в сомнениях. Я сказала,что это мошенники, не разговаривать больше, в очередной раз очень много всего рассказала и схемы разные, и просила не брать трубку или говорить перезвоню сама. В итоге, ей позвонили, она начала им рассказывать, что они мошенники, она всё знает. Они ей на след. день звонят под видом ФСБ, что мол ей мошенники звонили, теперь их надо взять в Сбербанке срочно, нужны ваши средства... Дали расписки от имени Сбера, на телефоне висели, вели её, пока она деньги снимала у сотрудника банка. Никому не говорить, конечно, сказали, секретная операция!0
  • Елена Попова1.Звонили из "Пенсионного фонда", что потеряно полтора года стажа. Хотя я не на пенсии и ее не оформляла, но расчет на то, что в дальнейшем неправильно ее неправильно начислят. Предлагали мне талон на прием в Фонде, запись через госуслуги, нужно было, чтоб я назвала "номер талона", который сейчас придет с госуслуг. 2. Звонили, что мне отправлено письмо из госструктур, а я его не получила. Спрашивали отправить мне его на почту или в МФЦ. Далее та же тема с номером талончика. 3. Писали в Телеге, что в нашей организации проверка ФСБ, что всплыли некоторые факты про непосредственного руководителя. Потом пытались выяснить, как его зовут, как правильно называется моя организация. 4. Бессчетное количество раз звонили из "банка", спасти мои дееьги от действий третьих лиц. 5. Самое смешное: Звонили по вотсапу с сайта госуслуг. То есть вместо абонента заставка с логотипом и надписью :Госуслуги. И, представляете, сайт звонит по телефону!0
  • Елена ПоповаЕще звонили, что кончился договор обслуживания сотовой связи. Я ответила, что договор бессрочный. Ответили, что уже нет, и, если я хочу оставить за собой свой номер, свой тариф, то надо срочно продлить, иначе заблокируют. Я ответила, что пусть блокируют, я им "такой тогда скандал учиню", небо с овчинку покажется. Попытались еще что - то добавить, но я трубку положила. Пытались еще позвонить, были посланы.0
  • Не фактОбъясните, как это возможно, если присутствует монополия связи? Сим карты без паспорта и регистрации не купишь, всё для мошенников - вот вам готовая база.0