Социальная инженерия

Примеры и методы социальной инженерии

Методы социальной инженерии в сети: манипуляция сознанием пользователей и эксплуатация их интересов. Примеры мошеннических схем. Комбинированные модели хакинга (социальная инженерия + внедрение вирусов).
Методы социальной инженерии. Методы социальной инженерии. 7.02.2015 / 20:41 | pomnibeslan

Социальная инженерия: взлом сознания — потом ПК

 
Социальная инженерия — несанкционированный доступ к конфиденциальной информации посредством манипуляции сознанием человека. Методы социальной инженерии базируются на особенностях психологии и направлены на эксплуатацию человеческих слабостей (наивность, невнимательность, любопытство, коммерческие интересы). Активно используются социальными хакерами как в сети Интернет, так и вне её. 
 
Впрочем, касательно цифровых технологий, веб-ресурсов, компьютеров, смартфонов — «затуманивание мозгов» пользователей сети происходит несколько по-другому. «Силки», «капканы» и другие уловки мошенники расставляют где угодно и как угодно, в соцсетях, на геймерских порталах, в электронных почтовых ящиках и онлайн-сервисах. Вот лишь некоторые примеры методов социальной инженерии:
 

В подарок на праздник... троянский конь 

 
Независимо от характера, профессии, финансовой состоятельности, каждый человек ждёт праздников: Новый Год, 1 мая, 8 марта, День святого Валентина и т.д., чтобы, естественно, отметить их, отдохнуть, наполнить свою душевную ауру позитивом и, попутно, обменяться со своими друзьями-товарищами поздравлениями. 
 
В этот момент социальные хакеры особенно активны. В предпраздничные и праздничные дни они рассылают на аккаунты почтовых сервисов открытки: яркие, красочные, с музыкальным сопровождением и... опасным вирусом троянцем. Жертва ничего не ведая о таком коварстве, пребывая в эйфории веселья либо, просто, любопытства кликает по открытке. В то же мгновенье зловред инфицирует ОС, а затем ждёт удобного момента, чтобы похитить регистрационные данные, номер платёжной карты либо подменить веб-страницу интернет-магазина в браузере на фейковую и украсть деньги со счёта. 
 
 

Выгодная скидка и вирус «в нагрузку»

 
Отличный пример социальной инженерии. Желание «сэкономить» свои кровно заработанные вполне оправдано и объяснимо, но в разумных пределах и при определённых обстоятельствах. Это о том, что «не всё золото, что блестит». 
 
Жулики под личиной крупнейших брендов, интернет-магазинов и сервисов, в соответствующем оформлении, предлагают купить товары по неимоверной скидке и плюс к покупке — получить подарок... Делают поддельную рассылку, создают группы в соцсетях и тематические «ветки» на форумах.
 
Наивные обыватели, что называется, «ведутся» на эту яркую коммерческую афишу: впопыпах в голове пересчитывают сколько осталось с зарплаты, аванса и кликают ссылку «купить», «перейти на сайт для покупки» и т.д. После чего, в 99 из 100 случаев, вместо выгодного приобретения, получают вирус на свой ПК либо безвозмездно отправляют денежки социальным хакерам. 
 

Геймерский донат +300% к навыкам воровства

 
В онлайн-играх, да и вообще в мультиплеерных играх, за редкими исключениями, выживает сильнейший: у кого крепче броня, урон, сильнее магия, больше здоровья, маны и т.д. 
 
И, конечно, каждый геймер хочет во что бы то ни стало добыть для своего перса, танка, самолёта и ещё ни бог весть чего эти заветные артефакты. В боях или в походах, собственноручно или за реальные деньги (функция доната) в виртуальном магазине игры. Чтобы быть лучшим, первым... достичь последнего уровня развития.
 
Мошенники знают об этих «геймерских слабостях» и всячески искушают игроков приобрести заветные артефакты, умения. Иногда за деньги, иногда бесплатно, но это сути и цели злодейской схемы не меняет. Заманчивые предложения звучат на фейковых сайтах примерно так: «скачай это приложение», «установи патч», «для получения предмета зайди под своим логином/паролем в игре». 

Взамен долгожданного бонуса у геймера воруют аккаунт. Если он отлично «прокачан», похитители его продают или выуживают с него платёжные данные (если таковые имеются). 
 

Вредоносное ПО + социальная инженерия = гремучая смесь коварства

 
В обмане, как и в любви, все средства хороши. Особенно, при распространении рекламных модулей, вирусов, шпионов и другой цифровой нечисти. И цель хакеров понятна и ясна: заразить как можно больше компьютеров и эксплуатировать их в своих целях («слив» данных, зомбо-сети). Если им не удаётся обойти антивирусную защиту, они пытаются «взломать» сознание пользователя... и, к сожалению, это им сделать удаётся.
 

Осторожно иконки!

 
Многие пользователи орудуют мышкой в ОС на «автопилоте»: клик туда, сюда; открыл это, то, другое. Редко, кто из них присматривается к типу файлов, их объёму и свойствам. А вот и зря. Хакеры маскируют исполняемые файлы зловредов под обычные папки Windows, картинки или доверенные приложения, то есть внешне, визуально, их не различишь. Пользователь кликает по папке, её содержимое, естественно, не открывается, ибо это вовсе не папка, а инсталлятор вируса с раcширением .exe. И зловред «в тихую» проникает в ОС. 
 
Верное «противоядие» от таких хитростей — файловый менеджер Total Commander. В отличие от интегрированного проводника Windows, он отображает всю подноготную файла: тип, объём, дату создания. Наибольшую потенциальную опасность для системы представляют неизвестные файлы с расширениями: «.scr», «.vbs», «.bat», «.exe».
 

Страх подогревает доверие

 
В сети есть особая категория мошеннических сайтов, «запугивающих» посетителей. Они действуют по следующей схеме:
  1. Пользователь открывает «сайт-страшилку», и ему тут же сообщают пренеприятнейшую новость, или даже новости: «ваш ПК заражён опаснейшим трояном», «в вашей ОС обнаружено 10, 20... 30 вирусов», «с вашего компьютера рассылается спам» и т.д. 
  2. И сразу же предлагают (проявляют «заботу») установить антивирус и, следовательно, решить озвученную на сайте проблему безопасности. И самое главное совершенно бесплатно. 
  3. Если посетителя одолевает страх за свой ПК, он проходит по ссылке и скачивает... только не антивирус, а ложный антивирус — подделку напичканную вирусами. Устанавливает и запускает — последствия соответствующие. 
 
Тут необходимо сказать, что социальные хакеры делают подделки достаточно искусные — внешний интерфейс от фирменных антивирусных продуктов практически не отличишь. Эта ловушка, безусловно, рассчитана на неграмотных и неопытных пользователей. 
 
Пример мошеннического сайта-антивируса
 
  • Во-первых, веб-сайт не может в одно мгновенье ока проверить ПК посетителя и выявить зловредов. 
  • Во-вторых, свои антивирусы, будь они платные или бесплатные, разработчики распространяют через свои, то бишь официальные, сайты. 
  • И, наконец, в-третьих, если есть сомнения и страх по поводу «чистая» ОС или нет, лучше проверить системные раздел, тем что имеется, то есть установленным антивирусом. 

Подводя итоги

 
Психология и хакинг сегодня идут рука об руку — тандем эксплуатации человеческих слабостей и программных уязвимостей. Пребывая в сети Интернет, в праздники и будни, днём или ночью, и неважно в каком настроении, в обязательном порядке нужно проявлять бдительность, подавлять наивность, отгонять наития коммерческой наживы и чего-то «бесплатного». Ибо, как известно, за просто так раздаётся только сыр и только в мышеловке. Создавайте только устойчивые ко взлому пароли, храните их в надежных местах и оставайтесь с нами, поскольку, как известно, безопасности много не бывает.
 
 
Читать дальше:
 
Программы Трояны.

Программа вымогатель винлокер

Программы вымогатели Trojan.Winlock. Что делать если компьютер заблокирован. Как удалить винлокер (блокировщик Windows, SMS-вымогатель)
Прослушка

Прослушка мобильного телефона

Как прослушиваются мобильные телефоны. Алгоритмы шифрования мобильной связи. Способы защиты мобильного телефона от прослушки
 

Добавить комментарий

1 + 3 =
Решите эту простую математическую задачу и введите результат. Например, для 1+3, введите 4.