Триггеры социальной инженерии — памятка
Вы можете придумать пароль на 100500 знаков и хранить его исключительно в чертогах разума, но какой в этом смысл, если «инженеры» знают, как вас разговорить? Скорее всего, вы даже не заметите, что кто-то нацелился на ваши логины и пароли, потому что вопросы мошенников будут звучать безобидно.
Социальная инженерия — это совокупность манипулятивных действий, направленных на получение от жертвы информации, которая может использоваться в дальнейшем для несанкционированного доступа к его данным. Проще говоря — это все то психологическое, что делают хакеры, не считая непосредственно технички.
Сегодня в рубрике «Киберпаранойя» рассказываем, как и для чего может использоваться социальная инженерия, а также как заметить свойственные ей триггеры и защитить себя.
Но сначала приведем немного статистики.
Не пейте технический спирт
Причем тут спирт, да еще и технический? При том, что его градус равен 92%, а именно такой процент атак на простых граждан как мы с вами включает в себя приемы социальной инженерии. Так что будьте бдительны. Ну и спирт пить тоже не лучшая идея, если вы сомневались.
Эти самые 92% (хотя автор искренне верит, что там все 99,9%) злоумышленников используют не какие-то технические навороты или «хакерские таланты», а банальную неосведомленность и/или беспечность своих жертв.
Но как же так получается, что основной причиной киберпреступлений являются сами жертвы? Почему в случае с обычным воровством, в отличие от воровства цифрового, люди чаще способны себя защитить? Тут происходит ровно то же, что и с отравлением техническим спиртом — людям лень думать. Чтобы тебя не убили или не обокрали, обычно достаточно адекватно себя вести и не соваться в сомнительные места. В случае с киберугрозами все сложнее, так как:
- Людям лень вникать, как такое вообще возможно, а в рекламе сказали, что всех нас что-то защищает.
- Жертвы редко обращаются к правоохранителям, что искажает реальную статистику.
- Многие считают, что «это» случится не с ним.
- Те, кто использует социальную инженерию, умеют располагать к себе — жертвам самим хочется с ними общаться.
- Люди практически всегда подсознательно стараются не думать о возможной опасности — это наблюдение психолога и психиатра Эрика Берна.
- Статьи по сабжу дают весьма поверхностную информацию.
Этот список можно было бы продолжать бесконечно долго, но давайте лучше перейдем к тому, для чего конкретно может быть использована социальная инженерия.
Для чего используют социальную инженерию
И нет, мы не будем писать: «Социальная инженерия может быть использована для взлома и кражи данных». Вместо этого мы распишем конкретные примеры того, что и для чего может делаться. Только сразу уточним: не попадите в ловушку шаблона. Все перечисленное ниже — лишь вариант использования, но ни в коем случае не исчерпывающий список.
Итак, социальная инженерия может быть использована следующим образом:
- Претекстинг — хакеры часто представляются сотрудниками банков… Могло бы быть написано в одной из статей по сабжу — но камон! Вы и так это знаете. А вот то, что хакеры могут разыграть спор о том, что лучше — Android или iPhone, для выявления вашего гаджета и последующего подбора эксплойта, или же сымитировать ЧСВ-шного самохвала, чтобы вы принялись доказывать ему, что ваша зарплата выше и засветили цифру — об этом почему-то никто не пишет.
- Посевной претекстинг — это ровно то же, что и выше, но с таргетом на массы. Например, в каком-то чате токсичная девчонка может начать хейтить парней, зарабатывающих меньше скольки-то там тысяч — и никто не заметит подвоха, ведь она же всегда токсик и всегда хейтит парней. Вот только кто-то на это поведется и засветит свою реальную зарплату. Позже другой подставной участник начнет нахваливать банк, на который вы вчера жаловались — вас это стриггерит, и вы сами не заметите, как засветите уже свой банк. Третий участник предложит устроить «Тайного Санту» под НГ. И вот у хакеров уже есть ваша зарплата, ваш банк и примерный район вашего проживания. Кстати, сегодня все эти 3 личности могут быть одним человеком, даже если вы «видели» каждого их них по видеосвязи.
- Коммуникативный фишинг — все мы знаем, что переходить по непонятным ссылкам опасно. Ведь можно как минимум засветить свой IP, а как максимум — предоставить полный доступ к гаджету. Но почему-то мало кто думает о том, что симпатичная девчонка, с которой вы недавно познакомились, предлагает вам созвониться по видеосвязи вовсе не потому, что вы ей понравились, а чтобы узнать, на какой IP-адрес впоследствии закидывать троян. А «кто ты по гороскопу», кстати, могут использоваться для выявления вашей даты рождения.
- Геймификационный фишинг — все, по видеосвязи больше никогда в жизни ни с кем не общаемся. Но в игру из Google Play-то поиграть с друзьями можно? Конечно, можно — рассказывать друзьям CVV2 тоже можно. Во всяком случае, мы не запрещаем 🙂 Но вы же этого не делаете, не так ли? Даже если ссылка на игру окажется чистой, а не фишинговой — где гарантия, что сама прилка чистая? Как в Google Play или AppStore прокидывают запрещенку, не нам вас учить.
- Квид про кво — оно же услуга за услугу. Здесь, к сожалению, вариантов развития событий настолько много, что перечислить их невозможно в принципе. Например, вам могут предложить денег, чтобы вы передали доступ к базе данных с вашей работы. Если сумма окажется достаточно большой, вы можете решить, что вам «фартануло» — вот только о том, что из этой же базы вытянут инфу для взлома уже лично вас, вы на радостях даже не успеете подумать. А писать заявление, что у вас украли деньги, полученные за слив конфиденциальных данных, мало кто осмелится.
- Реверсивная социальная инженерия — в этом случае вы сами обращаетесь к взломщикам. Самый банальний пример: SMS в стиле «вашу банковскую карту заблокировали, позвоните по номеру». Более сложный пример: у вас внезапно перестал работать Wi-Fi (отключить его вам проще простого, если что), а вам нужно срочно чекать статку. И вдруг рядом сидящий приятель говорит, что у него все хорошо, но он знает, как вам помочь. И он действительно помогает, только после его «помощи» ваш персональный компьютер стал общим.
Перечисленное выше — лишь вариации на тему. В действительности методов использования социальной инженерии миллионы, и ограничиваются они лишь фантазией злоумышленника. Поэтому куда проще не запоминать разновидности подходов, а выявлять триггеры.
Триггеры социальной инженерии
На самом деле выявить их не так уж и сложно — достаточно взять на вооружение мысль «а что даст собеседнику озвученная вами инфа?». Вот только на деле мало кому хочется постоянно напрягать мозг и реально скатываться в паранойю — и это нормально. Поэтому приведем несколько наиболее ярких триггеров, которые относительно универсальны. Если вы заметите что-то из описанного ниже — это повод остановиться и все же заставить себя «попараноить»:
- Ощущение срочности — банальный до безобразия, но вполне рабочий метод. Создавая ощущение срочности, социальный инженер переключает ваше внимания с рационального анализа ситуации на оптимизацию времени. Вы начинаете думать не о том, чем обернется его предложение, а о том, как бы поскорее принять решение. А уж если его предложение подразумевает выгоду, пусть даже и абстрактную — будьте уверены, что принять взвешенное решение вы не успеете. Поэтому если чувствуете ощущение срочности — всегда говорите «СТОП». Кому надо — подождут.
- Чувство страха — социальные инженеры искусные манипуляторы и, как правило, неплохо разбираются в людях. Им не так уж сложно создать «плодотворную почву» для культивации каких-то ваших опасений или даже страхов. Вообще, если вы делаете что-либо из страха — это практически всегда звоночек. К подобному стоит прислушиваться, даже если дело вовсе не в попытках вас взломать.
- Яркая реакция — если вы отказались взаимодействовать с подозрительными личностями, а они настойчиво подталкивают вас «следовать их правилам», это тоже может быть звоночком. Допустим, вы прямо сказали, что тема зарплаты для вас табу, а вас пытаются убедить, что «такие обсуждения — это же нормально» или «да там не о чем рассказать» — скорее всего, эту инфу пытаются пробить не из праздного любопытства. Кроме того, яркой реакцией может быть отсутствие какой-либо реакции со стороны собеседника или внезапная смена поведения. Всегда сопоставляйте реакцию собеседника с реакциями других людей в подобных ситуациях.
- Просто ощущение, что что-то не так — подсознание работает значительно быстрее сознания. Многие решения были приняты вами не в момент, когда вы их осознали и сформулировали, а задолго до этого — в подсознании. Поэтому, если у вас есть ощущение, что «это ЖЖЖ неспроста», вполне возможно, что ваш мозг уже давно все проанализировал и заметил подвох. Прислушивайтесь к себе.
Также помочь в этом вопросе может заблаговременное выписывание тем, обсуждение которых представляет для вас опасность. Например — ваше финансовое положение, марка ПК или смартфона, ваш банк, используемое ПО, распорядок дня и т. д.
Способы защиты от социальной инженерии
Будем откровенны: способов защиты нет и быть не может, ибо речь идет о манипуляциях. Вы научитесь выявлять их и противодействовать одним методам — появятся другие. Это вечная гонка. Впрочем, несколько простых способов минимизировать риски все же есть:
- Своевременно обновляйте ПО и антивирус — так, даже если из вас что-то вытянут с помощью социальной инженерии, подобрать под полученную инфу инструмент для взлома будет значительно сложнее. Он может быть банально еще не создан ввиду новизны вашего ПО.
- Используйте сложные и, самое главное, разные пароли — от 100500-значного пароля не будет толку, если он один для всех ваших аккаунтов и гаджетов.
- Регулярно меняйте пароли — даже самый сложный пароль со временем будет скомпрометирован. Чем чаще вы его меняете — тем лучше.
- Не откровенничайте с теми, кого плохо знаете — банальный совет, но кто ему следует?
- Не употребляйте алкоголь в незнакомых компаниях — так вы не только можете рассказать что-то лишнее, да еще и не вспомните об этом на утро.
- Отслеживайте свое эмоциональное состояние — любые нетипично яркие реакции, как негативные так и позитивные, должны быть для вас индикатором. Мы не просим отказывать себе в эмоциях — но прежде чем им поддаться, остановитесь и прислушайтесь к себе.
- Не берите трубку, если звонит незнакомый номер — просто не делайте этого. Никогда.
- Составьте список тем-табу — регулярно его актуализируйте и будьте непреклонны в спорах. В идеале: научитесь давать ложную информацию по таким темам.
- Думайте наперед — это, пожалуй, самый главный и самый сложный совет. Думайте наперед — пытайтесь поставить себя на место социального инженера и придумать, как можно использовать только что полученную от вас инфу против вас.
Надеемся, теперь тема социальной инженерии стала для вас чем-то большим, чем «звонки из Сбера». Помните про «технический спирт»: включайте голову и не ведитесь на уловки «инженеров». Если наши аргументы вас не убедили, представьте, насколько обидно стать жертвой школьника, начитавшегося книжек про манипуляции. Берегите себя!