Оглавление
- Нигерийские письма
- Microsoft 365 phishing scam steals user credentials
- Социальная инженерия — книги
- Телефонный звонок из широко известной фирмы
- Что такое социальная инженерия и как она появилась?
- Что такое социальная инженерия?
- 2020
- Электронные письма или сообщения от друга
- Особенности атак на человеческий фактор
- Google Drive collaboration scam
- High-Profile Twitters Users’ Accounts Compromised After Vishing Scam
- Как защититься от атак
- Почему мошенники любят использовать социальную инженерию
Нигерийские письма
Вспомните электронные письма от кого-то, находящегося, например, в Нигерии. Отправитель такого письма неожиданно разбогател и по какой-то необъяснимой причине хочет положить деньги на ваш банковский счет.
Если вы «клюнете» на это предложение, вас в конечном итоге убедят передать личную банковскую информацию. Ведь как без этой информации вашему неожиданному спонсору перевести вам деньги?! А мошенник сможет затем использовать полученную от вас информацию не для перевода денег вам, а исключительно для кражи денег у вас.
В наши дни не так уж много так называемых нигерийских мошенников. Данный прием стал своеобразной классикой мошенничества, и теперь мало на кого он производит «неизгладимое впечатление». Приходится мошенникам, используя методы социальной инженерии в своих целях, разрабатывать другие способы «законного отъема (увода) денег у населения». Так они сами считают, разделяя мнение небезызвестного Остапа Бендера.
Остап Бендер собирает деньги, хотя вход бесплатный: «Граждане, приобретайте билеты на вход в “Провал”. Детям 5 копеек, членам профсоюза – 10 копеек. Не членам профсоюза – 30 копеек.»
Microsoft 365 phishing scam steals user credentials
Here’s how the attack works. Pay attention—it’s actually pretty clever,
Upon opening the (disguised) .html file, the target is directed to a website containing malicious code. The code triggers a pop-up notification, telling the user they’ve been logged out of Microsoft 365, and inviting them to re-enter their login credentials.
You can guess what happens next—the fraudulent web form sends the user’s credentials off to the cybercriminals running the scam.
This type of phishing—which relies on human error combined with weak defenses—has thrived during the pandemic. Phishing rates doubled in 2020, according to the latest FBI data.
Further reading:
Социальная инженерия — книги
В наши дни социальная инженерия вызывает большой интерес в обществе. Цели могут быть разными, но интерес к методологии управления постоянно подогревается. Чтобы научиться манипулятивным приемам и техникам, можно прочесть книги про социальную инженерию, написанные Кевином Митником, бывшим хакером, который взломал информационные системы крупнейших мировых компаний. Это такие издания, как:
- «Искусство обмана» — сборник историй, раскрывающих секреты социальной инженерии.
- «Искусство вторжения» — вторая книга серии об атаке через компьютеры.
- «Призрак в сети». Мемуары величайшего хакера» — невыдуманная история, демонстрирующая опыт Митника.
Каждый может научиться управлять действиями других людей и использовать свои знания в добрых целях
Направлять собеседника в «правильное» русло – безусловно, удобно и выгодно, иногда для обеих сторон, но важно различать других потенциальных хакеров, манипуляторов, обманщиков и не попасться на их удочку. Многолетний опыт СИ должен быть использован на благо общества
Телефонный звонок из широко известной фирмы
Процесс, похожий на нигерийский вариант, может происходить по следующему сценарию. Вы получаете телефонный звонок от кого-то, утверждающего, что он из фирмы Microsoft или какой-либо другой компании, что на слуху. Он сообщает, что компания отслеживает вирус или другое вредоносное программное обеспечение. И в настоящее время такой зловред как раз находится на вашем компьютере или смартфоне.
Далее он просит вас посетить конкретную веб-страницу. Если вы согласитесь получить подобную “помощь” в борьбе с несуществующей угрозой, и перейдете по указанному интернет-адресу. Оттуда вам нужно будет загрузить программное обеспечение. И эта программа, загруженная вами же, позволит мошенникам получить удаленный доступ к вашему смартфону или компьютеру.
Например, благодаря установке одной из предложенных программ TeamViewer или Ammyy на ваш компьютер и с вашей же помощью, ваш телефонный собеседник, он же якобы «благодетель» и радетель за чистоту вашего компьютера, получит удаленный доступ к вашему компьютеру, причем, откуда угодно и когда угодно.
Сами по себе программы TeamViewer или Ammyy хорошие, потому что позволяют пользователю получить удаленный доступ к своему компьютеру из любой точки в мире. Заметьте, к СВОЕМУ компьютеру, а не к ЧУЖОМУ компьютеру! Но в руках мошенников такие программы опасны, ибо с их помощью они могут распоряжаться ЧУЖИМ компьютером, как своим собственным.
Допустим, что пользователь установил ту программу, что ему посоветовал телефонный собеседник якобы из известной компании. После этого мошенник прокручивает массу бесполезной и никому не нужной информации на экране пользователя
Ровно также «наперсточники» отвлекают внимание зазевавшегося прохожего разными бесполезными действиями и пустыми разговорами
Одновременно с этим «прокручиванием» отвлекающих «картинок», незаметно в фоновом режиме мошенники, оснащенные программой доступа к чужому компьютеру, запускают на том компьютере программное обеспечение для кейлоггинга. Далее запущенная в фоновом режиме программа будет транслировать «куда надо» все нажатия на клавиши клавиатуры компьютера. А значит, все вводимые логины и пароли станут известны злоумышленникам, им даже не придется у вас их «выпытывать» и выспрашивать.
Для ускорения процесса доступа к вашим деньгам, мошенники наверняка даже сами попросят вас войти в свой личный кабинет интернет-банка. Им это нужно, чтобы, во-первых, считать логин и пароль с клавиш компьютера в процессе их ввода вами. И во-вторых, чтобы им наглядно можно было бы убедиться, что ваши логин и пароль работают и позволяют заходить в вашу систему онлайн банкинга. Следом уже с другого компьютера, прямо скажем, безо всякого предупреждения для вас, мошенники самостоятельно зайдут в личный кабинет жертвы, чтобы теперь «правильно» распорядиться чужими деньгами.
Или другой вариант. Мошенник звонит по телефону, представляется сотрудником банка, уверенно называет ваше имя, отчество и спрашивает: «Вы уверены, что ваша банковская карта не потеряна? Срочно проверьте, где она находится». Далее этот якобы сотрудник банка будет говорить про блокировку вашей карты или что-то подобное. А для разблокировки карты вам нужно будет срочно назвать мошеннику все ее реквизиты. В итоге, вы не успеете положить трубку телефона, как все деньги с карты будут списаны.
Вообще, способов телефонного мошенничества с использованием социальной инженерии огромное множество. И появляются чуть ли не ежечасно новые приемы и методы.
«Передо мной лежит Ваша заявка на изменение логина доступа к Вашему личному кабинету – сообщите, пожалуйста, Ваш прежний логин и пароль!»
«С Вашей карты только что была переведена такая-то сумма в Китай в оплату за такой-то товар. Мы немедленно блокировали операцию, но с одновременной блокировкой карты. Давайте разблокируем Вашу карту. Какой у нее номер?»
Всего не перечислишь, ибо подобных фраз, рассчитанных на «быстрые реагирования со стороны потенциальной жертвы, существует великое множество…
Что такое социальная инженерия и как она появилась?
Кибермошенников, которые используют эти приёмы на практике, называют социальными инженерами. Пытаясь найти доступ к системе или ценным данным, они используют самое уязвимое звено — человека. Самый простой пример — телефонный звонок, где злоумышленник выдаёт себя за кого-то другого, пытаясь узнать у абонента конфиденциальную информацию, играя на чувствах человека, обманывая или шантажируя его. К сожалению, многие люди продолжают клеватьна такие удочки и доверчиво рассказывают социальным хакерам всё, что им нужно. А в арсенале мошенников немало техник и приёмов. О них мы расскажем чуть позже.
Сейчас социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка.
Люди использовали социальную инженерию с древних времён. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных ораторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и работали на благо своего государства.
Спустя много лет, к началу 1970-х годов стали появляться телефонные хулиганы, нарушавшие покой граждан просто ради шутки. Но кто-то сообразил, что так можно достаточно легко получать важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.
Когда же появились компьютеры, большинство инженеров сменило профиль, став социальными хакерами, а понятия «социальная инженерия» и «социальные хакеры» стали синонимичны.
Что такое социальная инженерия?
Под термином социальная инженерия (СИ) подразумеваются сразу несколько понятий. Первое относится к социологии и обозначает совокупность методов, изменяющих человеческое поведение, обеспечивающих контроль над окружающими, их действиями. Эти подходы ориентированы на изменение организационных структур, так как самым уязвимым местом любой системы является человеческий фактор.
В каком-то роде социальная инженерия – это наука, а в сфере информационной безопасности под термином подразумевается незаконный метод получения информации. На сегодняшний день известными приемами пользуются мошенники, пытаясь добраться до «лакомого куска» – конфиденциальной или ценной информации. В начале 21 века понятие было популяризировано, хотя методы для сбора фактов и манипуляции людьми были известны задолго до века компьютерной эры.
Чем занимается социальная инженерия?
Методология управленческой деятельности может быть использована не только в корыстных целях (для мошенничества и хакерства). Социальная инженерия в жизни применяется для решения проблем на производстве, в сфере общественного взаимодействия. Конструируя различные ситуации, специалисты в этой области предугадывают возможные ошибки и варианты поведения людей. Деятельность включает в себя такие процедуры, как:
- анализ объекта деятельности;
- оценка его состояния в настоящем и будущем;
- разработка проекта нового состояния объекта;
- прогнозирование вариантов развития внутренней и внешней среды;
- реализация плана.
Как наука, социнженерия развивается по нескольким направлениям: занимается строительством социальных институтов (здравоохранения, образования и пр.), формированием региональных и местных сообществ, целевых групп и команд, строительство организаций. Социальную действительность можно изменить, пользуясь методами предвидения и прогнозирования, планирования и программирования.
2020
Новая схема мошенничества с Telegram-каналами
25 ноября 2020 года Роскачество рассказало о новой схеме мошенничества в Telegram. Она заключается в том, что злоумышленники обращаются к администраторам каналов в мессенджере под видом переговоров о размещении рекламы. Затем предлагают скачать архивный файл с «презентацией» продукта, рекламу которого они хотят оплатить. Архив содержит вирус, которая и передаёт данные и управление аккаунтом хакерам. Подробнее здесь.
Fortinet: Как киберпреступники применяют социальную инженерию во времена пандемии
30 апреля 2020 года компания Fortinet сообщила о том, что в связи со сложившейся ситуацией, вызванной коронавирусом, люди по всему миру испытывают чувства тревожности и неуверенности, и этим не брезгуют пользоваться преступники. Они воспринимают это положение как возможность для кражи денег или личной информации путем создания мошеннических схем с использованием приемов социальной инженерии, распространяя их по электронной почте, через текстовые сообщения и телефонные звонки.
За последние несколько недель участились попытки заманивания ничего не подозревающих жертв на зараженные веб-сайты, провоцирования перехода по вредоносным ссылкам или предоставления личной информации по телефону. И все это происходит в контексте пандемии. Многие злоумышленники пытаются выдать себя за представителей легитимных организаций, таких как Министерство здравоохранения или Всемирная организация здравоохранения (ВОЗ), предоставляя недостоверную информацию и даже обещания доступа к вакцинам – все это за деньги, конечно.
Более того, никто не застрахован от подобных атак – от административных сотрудников, подрядчиков и стажеров до топ-менеджеров. Даже деловые партнеры могут использоваться для получения конфиденциальной информации и доступа к сетям. Даже дети тех, кто на апрель 2020 года подключаются к рабочей сети через домашнюю, могут быть потенциальными целями. Это непрекращающаяся бомбардировка, каждую минуту каждого дня, 24/7/365.
Мошенники предпочитают путь наименьшего сопротивления. Они взламывают психологию объектов атаки (которые редко понимают кто с ними связывается на самом деле), а также полагаются на общедоступные данные для создания профилей жертв. Киберпреступники являются экспертами в искусстве маскировки, манипулирования, воздействия и создания приманок для обмана людей, с целью подтолкнуть их к разглашению конфиденциальных данных и/или предоставлению доступа к сетям и/или объектам.
Когда речь идет о сдерживании, понимание основных векторов атаки, используемых злоумышленниками, является ключевым. Fortinet выделяет следующие варианты атак с использованием социальной инженерии.
Цифровые атаки:
Атаки с использованием телефона:
- Smishing – атака с использованием текстовых сообщений, якобы от надежного отправителя. Используется для того, чтобы жертва загрузила в свое устройство вирус или другую вредоносную программу.
- Vishing – атака, при которой злоумышленник звонит на мобильный телефон, притворяясь представителем какой-либо легитимной организации, например, банка, с целью «выудить» конфиденциальную информацию (данные банковской карты и тд.). Здесь тактика заключается в подделке идентификатора вызывающего абонента. Это позволяет обставить все так, будто звонок поступил из надежного источника.
95% всех нарушений безопасности объясняются человеческим фактором
Вот почему крайне важно, чтобы пользователи стали первой линией защиты, а для этого необходимо несколько углубить знания в области кибербезопасности.. Эксперты Fortinet рекомендуют следующие меры для защиты личной и служебной информации:
Эксперты Fortinet рекомендуют следующие меры для защиты личной и служебной информации:
- С подозрением относиться к любому электронному письму или текстовому сообщению, в котором запрашивается конфиденциальная информация или финансовые транзакции.
- Наводить курсор и просматривать все гиперссылки до нажатия, чтобы убедиться, что они ведут на легитимные ресурсы.
- Использовать многофакторную аутентификацию для получения безопасного доступа к важным системам и базам данных.
- Убедиться, что на защитных средствах браузера, мобильных устройств и компьютера установлены все актуальные обновления.
- Никогда не использовать одинаковые пароли для нескольких учетных записей и устройств. Уникальность и сложность пароля имеют первостепенное значение для защиты от дополнительного риска.
Необходимо помнить о использовать кибер-дистанцировании от злоумышленников. Держать кибер-дистанцию, избегая подозрительных запросов и контактов.
Электронные письма или сообщения от друга
Другая распространенная тактика социальной инженерии состоит в том, что мошенник выступает от имени вашего друга. Прикинувшись дальним родственником или другом, он рассылает своим потенциальным жертвам электронные письма или сообщения в соцсети о том, что с ним (другом, родственником) произошло несчастье. Поэтому очень нужна помощь, без промедления.
На самом деле электронная почта друга (дальнего родственника) или его личная страничка в социальной сети перед подобной рассылкой писем были взломаны мошенником. Он таким образом искусно маскируется под известного друга, которому доверяют и которому безусловно верят, в надежде на то, чтобы получить для себя финансовую помощь.
Вместо сообщения «от друга» может быть электронное письмо от вашего банка. Еще бывает срочная просьба о помощи или просьба о пожертвовании в благотворительную организацию.
Будьте осторожны и всегда старайтесь подвергать сомнению информацию, которую получаете. Особенно надо быть внимательным, если это неожиданная для вас информация, не та, что вы ожидали, или вдруг пришла от того, от кого вы НЕ ждали подобной информации.
Главный принцип – не нужно спешить расставаться с деньгами и с важной конфиденциальной информацией о банковских счетах, картах, суммах, операциях, логинах и паролях, пин-кодах, CVC-кодах и т.п. «Нормальные» организации и их представители, будь то настоящие банки и даже правоохранительные органы, никогда не интересуются подобными данными
И уж точно они никогда не запрашивают эту информацию в режиме «здесь и сейчас прямо по телефону, не кладя трубку, срочно и немедленно».
Особенности атак на человеческий фактор
- Не требуют значительных затрат;
- Не требуют специальных знаний;
- Могут продолжаться на протяжении длительного срока;
- Сложно отслеживаются.
Человек зачастую намного более уязвим, чем система. Именно поэтому социальная инженерия направлена на получение информации при помощи человека, особенно в тех случаях, когда невозможно получить доступ к системе (например, компьютер с важными данными отключен от сети).
Общий подход к атаке
- Сбор информации о жертве (зачастую через социальные сети);
- Установление доверительных отношений;
- Эксплуатация;
- Сокрытие следов пребывания.
Общий принцип всех атак – введение жертвы в заблуждение. Для этого могут использоваться различные тактики, направленные на эмоции, слабости или иные особенности личности:
- Любовь
- Сочувствие и жалость
- Жадность и желание быстрых результатов
- Страх перед начальством
- Неопытность
- Лень
Google Drive collaboration scam
In late 2020, a novel but simple social engineering scam emerged that exploited Google Drive’s notification system.
The fraud begins with the creation of a document containing malicious links to a phishing site. The scammer then tags their target in a comment on the document, asking the person to collaborate.
If the scam works, the victim will view the document, read the comments, and feel flattered at they’re being asked to collaborate. Then, the victim will click one of the malicious links, visit the phishing site, and enter their login credentials or other personal data.
But like all social engineering attacks, the Google Drive collaboration scam plays on the victim’s emotions: in this case, the pride and generosity we might feel when called upon for help.
Want to see a screenshot of a similar attack? We breakdown a spear phishing attack in which the attacker impersonates Microsoft Teams. Check it out here.
High-Profile Twitters Users’ Accounts Compromised After Vishing Scam
In July 2020, Twitter lost control of 130 Twitter accounts, including those of some of the world’s most famous people — Barack Obama, Joe Biden, and Kanye West.
The hackers downloaded some users’ Twitter data, accessed DMs, and made Tweets requesting donations to a Bitcoin wallet. Within minutes — before Twitter could remove the tweets — the perpetrator had earned around across more than 320 transactions.
Twitter has described the incident as a “phone spear phishing” attack (also known as a “vishing” attack). The calls’ details remain unclear, but somehow Twitter employees were tricked into revealing account credentials that allowed access to the compromised accounts.
Following the hack, the FBI launched an investigation into Twitter’s security procedures. The scandal saw Twitter’s share price plummet by 7% in pre-market trading the following day.
Further reading:
Как защититься от атак
Существует множество способов, которые не позволят вам стать жертвой атак социальной инженерии. Прежде всего, в любой ситуации необходимо сохранять присутствие духа и хладнокровие, а также помнить, что:
- Запрашивать конфиденциальную информацию по электронной почте незаконно. Если вы получили такое письмо, прежде чем отвечать, проверьте адрес. Если отправитель вам неизвестен, немедленно удалите сообщение.
- Необходимо повысить уровень настройки фильтров антиспама. Возможность настройки фильтров предоставляют все провайдеры электронной почты.
- Защита всех операционных устройств – всегда плюс. Не стоит забывать об антивирусных программах для любых платформ, будь то Android, Windows, Mac или Linux. Установка таких программ также помогает защититься от вирусов.
- Операционную систему рекомендуется обновлять. Практически все ОС время от времени выпускают обновления, устраняющие уязвимости зашиты.
Почему мошенники любят использовать социальную инженерию
Причина проста – мошенники, манипулируя людьми, участвующими в социальной жизни посредством компьютерных сетей, собирают информацию об интересующих их лицах и используют эту информацию для получения исключительно собственной выгоды. Мошенников, которые специализируются в этой области, называют еще социальными хакерами.
Хотя для простых людей сами манипуляции могут представляться как исключительная забота только о них, без какой-либо видимой выгоды для мошенников, манипулирующих людьми. В этом как раз и состоит особенность манипуляции, прямо словами известной песенки из популярного в свое время кинофильма «Приключения Буратино»: «Для дурака не нужен нож, ему с три короба соврешь, и делай с ним что хошь!»
Лиса Алиса, Буратино и кот Базилио из кинофильма «Приключения Буратино»
Можно выделить распространенный способ воздействия на человека из области социальной инженерии, который активно используют мошенники. Первым делом – «втереться» в доверие к человеку. После этого практически сразу «огорошить» его неожиданной информацией или новостью, весьма похожей на правду.
Чтобы потенциальная жертва не успела опомниться, мошенники зачастую требуют от нее принятия быстрых решений и поспешных действий. И делают все возможное, чтобы потенциальная жертва мошенничества оказалась в условиях, когда взвешенные, продуманные решения принимать нет времени.
Тут тоже уместно вспомнить сакраментальную фразу из старого классического фильма «Бриллиантовая рука»: «Шеф, все пропало! Гипс снимают! Клиент уезжает! А-а-а!». В общем, некогда тут думать, нужно действовать здесь и сейчас, основываясь ТОЛЬКО на имеющейся информации, не более того.
«Шеф, все пропало! Гипс снимают! Клиент уезжает! А-а-а!» (из фильма «Бриллиантовая рука»).
Такими «фишками», заставляющими людей действовать немедленно и решительно, может служить, например, «липовая» информация о снятии денег с банковской карты.
Также это может быть «липовый» запрос на изменение пароля доступа к личному кабинету жертвы, откуда можно будет уже без участия владельца распорядиться деньгами или какими-то данными.
Бывает так, что жертве «приносят» информацию о якобы случившейся трагедии с родными и близкими. Могут применяться иные подобные весьма неожиданные приемы, приводящие жертву в состояние немедленной готовности к действиям. Главная цель для мошенника состоит в том, чтобы жертва оставалась «с горячей головой», а не в состоянии холодного, неподвластного чужой воле разума.
Социальная инженерия как раз призвана разрабатывать подобные приемы. Конечно, ее основная цель не есть мошенничество. Но тут все обстоит примерно так же, как, например, с атомной энергией, которая может служить источником энергии, а может вызывать катастрофические разрушения. Смотря кто и с какими целями, будет применять достижения науки, в нашем случае – разработки в социологии.
Что же интересует тех, кто на практике применяет социальную инженерию, но не во благо, а во зло? Сведения, которые запрашивают мошенники (все-таки так и будем их называть, другого эпитета они не заслуживают), отличаются в зависимости от способа мошенничества. По большей части информация касается
- паролей,
- реквизитов банка и банковской карты или
- информации для входа в онлайн банк, чтобы получить в первую очередь финансовую информацию. Ибо просто «лирика» мошенников мало интересует, деньги жертвы – вот их главная цель.
Многие пользователи интернета, вероятно, на своем опыте уже знакомы с социальной инженерией и, к сожалению, далеко не с самой лучшей ее стороны. Приведем далее некоторые из «классических» приемов мошенников, которые используют методы воздействия из социальной инженерии.
