С распространением новых возможностей для широкого повседневного общения, таких как социальные сети и мессенджеры, параллельно развивалась социальная инженерия.
Возникла она, в том числе, как методология овладения вниманием пользователей соцсетей. И в то же самое время социальная инженерия породила новую волну угроз для неискушенных пользователей Интернета.
Содержание: (кликабельно)
1. Почему мошенники любят использовать социальную инженерию
2. Нигерийские письма
3. Телефонный звонок
4. Электронные письма или сообщения от друга
5. Семь важных моментов, чтобы противостоять мошенничеству
6. Видео: Социальная инженерия — наука во благо или во зло? Примеры
7. Скачать бесплатно «Социальная инженерия и социальные хакеры»
Давайте рассмотрим, что же это такое социальная инженерия, почему ее любят разные мошенники, а также как можно с этим бороться, придерживаясь простых правил.
Согласно Википедии, социальная инженерия — совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии.
Другими словами, это полезная наука, которая позволяет быстро получить то, чего добиваешься. Однако интернет привел к тому, что эту науку мошенники активно используют с целью получения конфиденциальной информации от пользователей сети . Поэтому с точки зрения обычного пользователя можно дать следующее упрощенное определение:
Социальная инженерия — это современный способ манипулирования людьми для доступа к их личной и конфиденциальной информации.
Вообще манипуляции в наше время очень популярны, и не только в Интернете, на эту тему имеется масса «изысканий». Но интернетовские манипуляции хороши еще и тем, что позволяют скрывать манипуляторов, сохранять их инкогнито.
Существует много разных вариантов для проведения обозначенных манипуляций, например, фишинг и иные формы.
Почему мошенники любят использовать социальную инженерию
Причина проста – мошенники, манипулируя людьми, участвующими в социальной жизни посредством компьютерных сетей, собирают информацию об интересующих их лицах и используют эту информацию для получения исключительно собственной выгоды. Мошенников, которые специализируются в этой области, называют еще социальными хакерами.
Хотя для простых людей сами манипуляции могут представляться как исключительная забота только о них, без какой-либо видимой выгоды для мошенников, манипулирующих людьми. В этом как раз и состоит особенность манипуляции, прямо словами известной песенки из популярного в свое время кинофильма «Приключения Буратино»: «Для дурака не нужен нож, ему с три короба соврешь, и делай с ним что хошь!»
Можно выделить распространенный способ воздействия на человека из области социальной инженерии, который активно используют мошенники. Первым делом – «втереться» в доверие к человеку. После этого практически сразу «огорошить» его неожиданной информацией или новостью, весьма похожей на правду.
Чтобы потенциальная жертва не успела опомниться, мошенники зачастую требуют от нее принятия быстрых решений и поспешных действий. И делают все возможное, чтобы потенциальная жертва мошенничества оказалась в условиях, когда взвешенные, продуманные решения принимать нет времени.
Тут тоже уместно вспомнить сакраментальную фразу из старого классического фильма «Бриллиантовая рука»: «Шеф, все пропало! Гипс снимают! Клиент уезжает! А-а-а!». В общем, некогда тут думать, нужно действовать здесь и сейчас, основываясь ТОЛЬКО на имеющейся информации, не более того.
Такими «фишками», заставляющими людей действовать немедленно и решительно, может служить, например, «липовая» информация о снятии денег с банковской карты.
Также это может быть «липовый» запрос на изменение пароля доступа к личному кабинету жертвы, откуда можно будет уже без участия владельца распорядиться деньгами или какими-то данными.
Бывает так, что жертве «приносят» информацию о якобы случившейся трагедии с родными и близкими. Могут применяться иные подобные весьма неожиданные приемы, приводящие жертву в состояние немедленной готовности к действиям. Главная цель для мошенника состоит в том, чтобы жертва оставалась «с горячей головой», а не в состоянии холодного, неподвластного чужой воле разума.
Социальная инженерия как раз призвана разрабатывать подобные приемы. Конечно, ее основная цель не есть мошенничество. Но тут все обстоит примерно так же, как, например, с атомной энергией, которая может служить источником энергии, а может вызывать катастрофические разрушения. Смотря кто и с какими целями, будет применять достижения науки, в нашем случае – разработки в социологии.
Что же интересует тех, кто на практике применяет социальную инженерию, но не во благо, а во зло? Сведения, которые запрашивают мошенники (все-таки так и будем их называть, другого эпитета они не заслуживают), отличаются в зависимости от способа мошенничества. По большей части информация касается
- паролей,
- реквизитов банка и банковской карты или
- информации для входа в онлайн банк, чтобы получить в первую очередь финансовую информацию. Ибо просто «лирика» мошенников мало интересует, деньги жертвы – вот их главная цель.
Многие пользователи интернета, вероятно, на своем опыте уже знакомы с социальной инженерией и, к сожалению, далеко не с самой лучшей ее стороны. Приведем далее некоторые из «классических» приемов мошенников, которые используют методы воздействия из социальной инженерии.
Нигерийские письма
Вспомните электронные письма от кого-то, находящегося, например, в Нигерии. Отправитель такого письма неожиданно разбогател и по какой-то необъяснимой причине хочет положить деньги на ваш банковский счет.
Если вы «клюнете» на это предложение, вас в конечном итоге убедят передать личную банковскую информацию. Ведь как без этой информации вашему неожиданному спонсору перевести вам деньги?! А мошенник сможет затем использовать полученную от вас информацию не для перевода денег вам, а исключительно для кражи денег у вас.
В наши дни не так уж много так называемых нигерийских мошенников. Данный прием стал своеобразной классикой мошенничества, и теперь мало на кого он производит «неизгладимое впечатление». Приходится мошенникам, используя методы социальной инженерии в своих целях, разрабатывать другие способы «законного отъема (увода) денег у населения». Так они сами считают, разделяя мнение небезызвестного Остапа Бендера.
Телефонный звонок из широко известной фирмы
Процесс, похожий на нигерийский вариант, может происходить по следующему сценарию. Вы получаете телефонный звонок от кого-то, утверждающего, что он из фирмы Microsoft или какой-либо другой компании, что на слуху. Он сообщает, что компания отслеживает вирус или другое вредоносное программное обеспечение. И в настоящее время такой зловред как раз находится на вашем компьютере или смартфоне.
Далее он просит вас посетить конкретную веб-страницу. Если вы согласитесь получить подобную «помощь» в борьбе с несуществующей угрозой, и перейдете по указанному интернет-адресу. Оттуда вам нужно будет загрузить программное обеспечение. И эта программа, загруженная вами же, позволит мошенникам получить удаленный доступ к вашему смартфону или компьютеру.
Например, благодаря установке одной из предложенных программ TeamViewer или Ammyy на ваш компьютер и с вашей же помощью, ваш телефонный собеседник, он же якобы «благодетель» и радетель за чистоту вашего компьютера, получит удаленный доступ к вашему компьютеру, причем, откуда угодно и когда угодно.
Сами по себе программы TeamViewer или Ammyy хорошие, потому что позволяют пользователю получить удаленный доступ к своему компьютеру из любой точки в мире. Заметьте, к СВОЕМУ компьютеру, а не к ЧУЖОМУ компьютеру! Но в руках мошенников такие программы опасны, ибо с их помощью они могут распоряжаться ЧУЖИМ компьютером, как своим собственным.
Допустим, что пользователь установил ту программу, что ему посоветовал телефонный собеседник якобы из известной компании. После этого мошенник прокручивает массу бесполезной и никому не нужной информации на экране пользователя. Ровно также «наперсточники» отвлекают внимание зазевавшегося прохожего разными бесполезными действиями и пустыми разговорами.
Одновременно с этим «прокручиванием» отвлекающих «картинок», незаметно в фоновом режиме мошенники, оснащенные программой доступа к чужому компьютеру, запускают на том компьютере программное обеспечение для кейлоггинга. Далее запущенная в фоновом режиме программа будет транслировать «куда надо» все нажатия на клавиши клавиатуры компьютера. А значит, все вводимые логины и пароли станут известны злоумышленникам, им даже не придется у вас их «выпытывать» и выспрашивать.
Для ускорения процесса доступа к вашим деньгам, мошенники наверняка даже сами попросят вас войти в свой личный кабинет интернет-банка. Им это нужно, чтобы, во-первых, считать логин и пароль с клавиш компьютера в процессе их ввода вами. И во-вторых, чтобы им наглядно можно было бы убедиться, что ваши логин и пароль работают и позволяют заходить в вашу систему онлайн банкинга. Следом уже с другого компьютера, прямо скажем, безо всякого предупреждения для вас, мошенники самостоятельно зайдут в личный кабинет жертвы, чтобы теперь «правильно» распорядиться чужими деньгами.
Или другой вариант. Мошенник звонит по телефону, представляется сотрудником банка, уверенно называет ваше имя, отчество и спрашивает: «Вы уверены, что ваша банковская карта не потеряна? Срочно проверьте, где она находится». Далее этот якобы сотрудник банка будет говорить про блокировку вашей карты или что-то подобное. А для разблокировки карты вам нужно будет срочно назвать мошеннику все ее реквизиты. В итоге, вы не успеете положить трубку телефона, как все деньги с карты будут списаны.
Вообще, способов телефонного мошенничества с использованием социальной инженерии огромное множество. И появляются чуть ли не ежечасно новые приемы и методы.
«Передо мной лежит Ваша заявка на изменение логина доступа к Вашему личному кабинету – сообщите, пожалуйста, Ваш прежний логин и пароль!»
«С Вашей карты только что была переведена такая-то сумма в Китай в оплату за такой-то товар. Мы немедленно блокировали операцию, но с одновременной блокировкой карты. Давайте разблокируем Вашу карту. Какой у нее номер?»
Всего не перечислишь, ибо подобных фраз, рассчитанных на «быстрые реагирования со стороны потенциальной жертвы, существует великое множество…
Электронные письма или сообщения от друга
Другая распространенная тактика социальной инженерии состоит в том, что мошенник выступает от имени вашего друга. Прикинувшись дальним родственником или другом, он рассылает своим потенциальным жертвам электронные письма или сообщения в соцсети о том, что с ним (другом, родственником) произошло несчастье. Поэтому очень нужна помощь, без промедления.
На самом деле электронная почта друга (дальнего родственника) или его личная страничка в социальной сети перед подобной рассылкой писем были взломаны мошенником. Он таким образом искусно маскируется под известного друга, которому доверяют и которому безусловно верят, в надежде на то, чтобы получить для себя финансовую помощь.
Вместо сообщения «от друга» может быть электронное письмо от вашего банка. Еще бывает срочная просьба о помощи или просьба о пожертвовании в благотворительную организацию.
Будьте осторожны и всегда старайтесь подвергать сомнению информацию, которую получаете. Особенно надо быть внимательным, если это неожиданная для вас информация, не та, что вы ожидали, или вдруг пришла от того, от кого вы НЕ ждали подобной информации.
Главный принцип – не нужно спешить расставаться с деньгами и с важной конфиденциальной информацией о банковских счетах, картах, суммах, операциях, логинах и паролях, пин-кодах, CVC-кодах и т.п. «Нормальные» организации и их представители, будь то настоящие банки и даже правоохранительные органы, никогда не интересуются подобными данными. И уж точно они никогда не запрашивают эту информацию в режиме «здесь и сейчас прямо по телефону, не кладя трубку, срочно и немедленно».
Семь моментов, чтобы противостоять мошенничеству
Вы можете подумать, что вы НЕ из тех, кого может обмануть мошенник. Однако часто мошенники используют новые хитрые способы и средства, чтобы заманить пользователя в свою ловушку.
Мошенники совершенствуются! Часто они являются продвинутыми пользователями или социальными хакерами, которые следят за достижениями в социальной инженерии и в технике, а затем используют свои знания для быстрого обогащения.
Как же можно избежать ловушек, расставляемых мошенниками?
Список важных моментов: (кликабелен)
1. Любые неожиданные предложения
2. Важно: выдержка и пауза
3. Не вступайте в бой
4. Остерегайтесь вложений
5. Будьте в курсе
6. Никогда не сообщайте свой пароль
7. Поскорее распрощайтесь с теми, кто пытается вас обмануть
Любые неожиданные предложения – чаще всего фейк
Если вы получили электронное письмо или увидели всплывающее окно на веб-сайте, предлагающие вам какое-то финансовое вознаграждение, то это, скорее всего, фейк (то есть, обман, ловушка).
Аналогичным образом, лотерейные фонды из других стран также являются поддельными, как и сообщения про деньги от так называемого дяди Чарли, который живет в далекой Монголии.
Есть, конечно, наши соотечественники, которым как с неба падают разные наследства от внезапно «воскресших» или обнаружившихся иностранных родственников. Но это очень редкое явление, если говорить о наших людях в целом. Поэтому, сначала лучше не поверить, а усомниться…
Выдержка и пауза
Многие мошенники добиваются, чтобы вы реагировали быстро и в срочном порядке, не успев опомниться. Чтобы принимали решения и выполняли определенные действия, находясь в состоянии «экстаза» от головокружительного предложения или неприятной информации. Не спешите, найдите время, чтобы понять, что происходит. Не поддавайтесь на тактику нажима и высокого давления, основанную на использовании ложной информации и обмана.
Возьмите паузу, чтобы сообразить, что же в конце концов происходит. Для этого сообщите, что вам нужно в течение получаса позвонить, например, другу и посоветоваться с ним.
Не будет лишним набрать в поисковике запрос о вашей ситуации. В интернете можно найти отзывы других пользователей, возможно, попавших в аналогичную ситуацию. Либо получить другую информацию, которая может остановить вас от необдуманных поступков.
Также очень отрезвляет, если одновременно с разговором с мошенником, другой свободной рукой набрать в поисковике номер телефона звонящего. Наверняка можно буде увидеть чуть ли не в первых строках поисковой выдачи данные о номере телефона с предупреждением, похожим на «Внимание, мошенники!». Хотя, конечно, не всегда и компьютер есть под рукой, и хладнокровие подводит. Да и поисковики не все знают про все мошеннические телефонные номера – мимикрируют эти номера, постоянно меняются.
Не вступайте в бой
Возможно, вы уверены, что вводить мошенника в заблуждение – это весело… Поэтому вы говорите ему по телефону, что единственный компьютер, которым вы владеете, – это «Синклер» (очень древняя техника).
Однако не стоит играть с огнем. Он прекрасно знает, что мошенничает. Вы понимаете, что он мошенничает. Поэтому просто положите трубку и не обращайте на него внимания. Игнорирование – хороший способ, чтобы немного остудить пыл мошенника. Вернее, чтобы от него отвязаться, ибо перевоспитать мошенника, переделать его, вдохнуть в него чувства ответственности перед другими людьми – это утопия!
При повторном звонке – такое тоже бывает – можно уже открыто сказать, чтобы больше вам не звонили, несмотря на кажущуюся важность звонка и предлагаемой информации. А то и занести номер телефона звонящего в черный список вашего аппарата. Пусть теперь названивает…
Остерегайтесь вложений
К вложениям электронной почты относятся файлы, которые прикрепляются к письму. Это отличный способ распространения вредоносных программ, вирусов и схем взлома на вашем компьютере.
Допустим, вы получили электронное письмо, в котором утверждается, что вас ждет выгодное предложение. Чтобы его получить, вам нужно всего лишь открыть прикрепленный к письму файл. Увы, скорее всего, это вирус или нечто подобное. Лучше всего удалить письмо с вложением от неизвестного отправителя, НЕ ОТКРЫВАЯ вложенные файлы, несмотря на кажущуюся их привлекательность.
Мошенники научились классно подстраиваться под своих «клиентов». Бухгалтеру они пришлют письмо с информацией о новых планах счетов, которые находятся во вложенном файле.
Менеджеру по продажам пришлют запрос от фирмы, с которой тот давно хотел бы «задружиться» и заключить с ними контракт. Долгожданный «контракт» будет находиться во вложении к письму.
Маркетологу пришлют данные интересующих его исследований, которые даже за деньги не так просто купить. А тут вот они, только открой и посмотри!
Простым людям, не «манагерам» (то есть, не менеджерам), пришлют информацию о лекарстве – панацеи чуть ли не от всех мыслимых и немыслимых заболеваний. Только открой прилагаемую инструкцию или даже вложенный купон на бесплатную покупку «вагона» таких лекарств с правом на перепродажу без лицензии!
Откуда мошенники знают, что нас интересует больше всего на свете? И как они умудряются присылать именно то, что мы «до дрожи» хотим получить, узнать? Ровно так же, как мы получаем вдруг рекламу гусеничного трактора в браузере, чуть ли не сразу после того, как положили трубку мобильного телефона. А в телефонном разговоре с другом (подругой) только что обсуждали «Клавку», что похожа на гусеничного трактора, ибо вламывает на работе, как на пашне. Интересуетесь гусеничными тракторами? Вот вам, пожалуйста, выбирайте!
А уж как техника сама распознает, что мы там по телефону говорим, или в письмах пишем – то отдельная тема для разговора и обсуждения. Распознает, и все тут…
Что же касается тех самых вложений в электронные письма, то ущерб от открытия непроверенных файлов может быть непоправимым в прямом смысле этого слова. «Слезные вирусы», что зашифровывают все данные компьютера. А потом за деньги предлагают все расшифровать назад. Деньги-то заплатить можно, но вот получишь ли обратно «все, что нажито непосильным трудом» – это сомнительно.
Во вложении могут быть «троянские кони», которые сообщают, куда надо, всю конфиденциальную информацию. В первую очередь те же самые логины и пароли, что мы ошибочно предпочитаем сохранять на компьютерах, не надеясь на свою память и записные книжечки. И тому подобное.
Аккуратно нужно быть с вложениями к электронным письмам. Не стоит сразу верить в то, что во вложении находится чудесная, давно разыскиваемая панацея. И вот оно чудо, свершилось! Увы, может оказаться чудо наоборот…
Будьте в курсе
Натан Ротшильд, основатель огромной банковской династии Ротшильдов, как-то сказал фразу, сразу ставшей крылатой: «Кто владеет информацией, тот владеет миром».
Чтобы быть информированным пользователем, найдите официальный сайт вашего банка или кредитной карты компании. Ознакомьтесь там с информацией об известных способах мошенничества. Прочитайте всю информацию о методах и трюках хакеров и вооружитесь этими знаниями до того момента, когда может состояться контакт с мошенником. Чем больше вы знаете, тем меньше вероятность, что вас обманут.
Можно набрать в поисковике запрос: название банка мошенничество. Например, запрос может быть таким: «сбербанк мошенничество». Поисковик в ответ может выдать вам ссылку на страницу банка «Сообщите о мошенничестве».
Если уж информация мошенников затронула вас за живое, если все-таки хочется верить в то, что они хотят совершить полезную работу, помочь вам в решении якобы проблем, то опять же стоит взять паузу. И в это время самому позвонить на горячую линию банка, чтобы поинтересоваться, как решить озвученную по телефону проблему. И выяснить это уже с официальным представителем организации (банка) на другом конце телефонной линии.
Все это очень отрезвляет, и позволяет отделить мнимые, надуманные кем-то проблемы от настоящих задач.
Никогда не сообщайте свой пароль
Банк никогда не будет запрашивать ваш пароль, звонить вам и отправлять текстовое сообщение с просьбой ввести пароль. Точно также банк не выясняет у вас другую личную информацию, относящуюся к вашей учетной записи.
Поэтому относитесь ко всем подобным запросам исключительно, как к подозрительным. Не сообщайте свои пароли и данные для доступа к банковской карте – ее номер и CVV код c обратной стороны. Как бы вас не убеждали сделать это немедленно, здесь и сейчас, какие бы аргументы не приводились. Твердо скажите, что вы сами свяжетесь с банком. А при отсутствии твердости в голосе или при наличии сомнений или нежелании конфликтовать, что вообще-то разумно, – просто положите трубку, без объяснений причин.
Затем секунду-другую «отдышитесь» и успокойтесь. Потом найдите (на обратной стороне вашей банковской карты) телефон горячей линии банка, или поищите на его официальном сайте, как правило, в разделе «Контакты». Сами позвоните в банк, чтобы получить разъяснения по поводу якобы возникшей ситуации, которую вам озвучили мошенники.
Поскорее распрощайтесь с теми, кто пытается вас обмануть
Не вступайте в диалог, и тем более в спор, с говорящим на том конце линии. Не пытайтесь его переубедить, и не следуйте его инструкциям. Будьте самостоятельны в принятии единственно правильного решения – закончить разговор здесь и сейчас.
«До свидания!» – это мягкое, но вполне приемлемое завершение несостоявшейся мошеннической схемы. Чем раньше попрощаетесь, тем лучше. Лучше сразу прощаться, как только возникли малейшие сомнения. «Не звоните мне больше!» – это уже более жестко, и тоже вполне допустимо. Наконец, можно просто нажать на кнопку отмены вызова – неплохо и нервам легче, не нужно никого ни в чем убеждать.
А вот, что категорически НЕЛЬЗЯ, так это, например: «Как, неужели моя карта потеряна? Да нет же, вот она, лежит прямо передо мной. Какой номер карты, говорите? Не сомневайтесь это она и есть. Ее номер 222333222333222…»
А кто тут сомневается? Мошенники сомневаются? Или они сомневаются в том, что вы им все расскажете? Если бы сомневались, не звонили бы. Они только и ждут от вас откровений. Именно на такое развитие событий как раз и рассчитывают те, кто использует достижения социальной инженерии во зло другим людям.
Не поддавайтесь! Против такого аргумента бессильна даже «всесильная» и «всевидящая» компьютерная социальная инженерия.
Видео: Социальная инженерия — наука во благо или во зло? Примеры
Бесплатная часть из книги «Социальная инженерия и социальные хакеры»
Скачайте бесплатную часть из этой книги с Яндекс.Диска:
Вам НЕ нужно устанавливать на свое устройство Яндекс.Диск для того, чтобы скачать файл с книгой. Достаточно просто нажать на кнопку «Скачать», как показано ниже:
После скачивания появится файл с именем 9353841.a4.zip. Разархиваровать его можно с помощью бесплатной программы 7-Zip. После разархивации появится файла в формате pdf, который можно читать на экране или распечатать на принтере.
Бесплатно можно прочитать 55 страниц из этой книги. Выдержка из этой книги:
«Прием, когда хакер атакует не компьютер, а человека, работающего с компьютером, называется социальной инженерией. Социальные хакеры – это люди, которые знают, как можно «взломать человека», запрограммировав его на совершение нужных действий. В книге описан арсенал основных средств современного социального хакера (трансактный анализ, нейролингвистическое программирование), рассмотрены и подробно разобраны многочисленные примеры социального программирования (науки, изучающей программирование поведения человека) и способы защиты от социального хакерства».
В бесплатной части книги описаны, например, такие интересные моменты, касающиеся социальной инженерии, как «пожар» в кинотеатре, «соляной кризис» и «венки на трассе».
Предлагаю Вам принять участие в голосовании или просто посмотреть его результаты. Спасибо за участие!
Загрузка ...Дополнительные материалы:
1. Осторожно: примеры обмана на сайтах бесплатных объявлений
2. Как мошенники обретают доступ к аккаунтам пользователей
3. Можно ли помогать больным детям в интернете без обмана
4. История покупки товара на сайте мошенников
5. Как не надо пользоваться интернетом: сканы документов, “родственники”, поиск работы, пароли
Огромное спасибо, уважаемая Надежда!!!