Что такое социальная инженерия и как ею пользуются мошенники для своих атак. Простыми словами
Социальная инженерия — психологические манипуляции c целью обмануть человека на деньги или заставить его сделать что-то противозаконное. Один из ключевых инструментов телефонных мошенников. Также с помощью социальной инженерии проворачивают свои тёмные дела разного рода киберпреступники.
© «Секрет фирмы», Sivani Bandaru, Laura Ockel, Unsplash License, freepik
Простыми словами, звонки с разводом типа «Ваш сын попал в беду» или «Это из полиции, ваши деньги нужно перевести на безопасный счёт» — яркие образцы работы этой технологии.
Или другой пример: злоумышленник может написать на почту под видом сотрудников госорганов или администраторов соцсети и попросить пароли и логины. Доверившись, человек рискует потерять свой аккаунт, деньги и персональные данные.
Методы и приёмы социальной инженерии
C помощью социальной инженерии в России происходит больше половины финансовых махинаций, по данным Центробанка РФ за 2022 год. Вот какие методы могут использовать социальные инженеры:
Фишинг
Это вид интернет-мошенничества, когда с помощью фейковых сайтов или почтовых рассылок жулики пытаются заполучить конфиденциальные данные пользователя (логины, пароли, учётные записи, банковские карты).
Например, человек ищет, где купить полис ОСАГО, находит рекламу сайта, похожего на страничку знакомой ему страховой компании. Но её сделали мошенники. Не замечая подвоха, человек вводит данные карты — и они достаются злоумышленникам.
Претекстинг/pretexting
Термин «претекстинг» происходит от английского pretext, что переводится как «повод», «предлог». Мошенник использует для обмана заранее подготовленный сценарий (претекст).
Например, обманщик выдаёт себя за другую персону и действует по заранее подготовленному сценарию: представляется «служащим» государственных органов или работником банка.
С помощью психологических техник, манипуляций, запугиваний он выманивает у жертвы ее конфиденциальные данные: номера документов, логины и пароли, ПИН-код банковской карты.
Ловля на «живца»
Здесь злую шутку может сыграть любопытство человека. Например, преступник оставляет флеш-карту в людном месте, зная, что ее найдут. Нашедший из любопытства вставляет её в свой компьютер, и вирус поражает систему, то есть блокирует возможность работать на устройстве. Чтобы разблокировать компьютер, социнженер, вероятнее всего, потребует деньги.
Приманка
Злоумышленник заманивает пользователя в ловушку, обещая что-то привлекательное. Например, преступник может предложить бесплатную подарочную карту в обмен на прохождение анкеты.
Так жертва сама предоставляет персональные данные — адрес электронной почты, логины, номер телефона.
Обратная социальная инженерия
Мошенник создаёт такую ситуацию, при которой жертва сама обращается к нему за «помощью». Например, преступник высылает жертве на электронный ящик письмо с контактами службы технической поддержки и сам же создаёт неполадки в компьютере жертвы.
Пользователь ничего не подозревает и сам связывается со злоумышленником, чтобы исправить неполадки. В итоге в процессе «исправления» проблемы киберпреступник получает необходимые ему данные.
Примеры социальной инженерии в действии
Чаще всего социнженеры выдают себя за сотрудников каких-то ведомств. Например, полицейских. Жертва сразу теряет бдительность, потому что на уровне подсознания доверяет сотрудникам органов правопорядка.
Например, лжеполицейские звонят по телефону жертве и говорят, что расследуют деятельность сотрудников Центробанка, которые воспользовались своим служебным положением, и просят помочь с расследованием.
Войдя в доверие, они выпытывают, когда человек в последний раз обращался в банк или в МФЦ и какие данные предоставлял — в том числе просят продиктовать их «для сверки с материалами уголовного дела».
А иногда мошенники представляются и работниками самого Центробанка. Так однажды обманули 31-летнего москвича, работающего в МЧС. Мошенники выдали себя за сотрудников Банка России и напугали мужчину тем, что якобы с его счёта деньги ушли на поддержку украинских войск.
Более того, для пущей убедительности потерпевшему напели, что то же самое случилось с его женой и теперь им обоим светит значительный срок. Людей запугали, однако сказали, что всё ещё можно урегулировать, набрав кредитов и отправив деньги на неизвестные счета.
Обманщики постоянно придумывают новые способы развода. Иногда они настолько не подозрительные, что поверить может любой.
Например, жительнице Москвы Олесе однажды позвонили из банка, в котором у девушки был открыт счёт. Мужчина, представившись сотрудником безопасности, сообщил, что кто-то в её учётной записи поменял номер телефона и оформил заявку на кредит.
Разумеется, никакой телефон девушка не меняла и кредит оформлять не планировала, о чём и сообщила «сотруднику».
Тогда сценарий начал закручиваться. Олесю перевели на другого «сотрудника службы безопасности». Тот сообщил, что её персональные данные похитили и необходимо срочно приехать в конкретное отделение банка. «Сотрудники» банка даже знали, что персональные данные Олеси продал мошенникам их коллега, и теперь нужно выяснить, кто конкретно это был.
Девушка поверила и приехала на назначенный адрес в отделение банка. Всё это время жертва была на связи с мошенниками, класть трубку ей не позволяли. В итоге манипуляциями и давлением преступники убедили москвичку взять этот кредит и отправить деньги им — для сохранения средств.
Деньги улетели жуликам, а Олесе пришлось потом самой выплачивать этот кредит.
Методы социальной инженерии часто используют киберпреступники с Украины, отмечают представители российских силовых ведомств.
Телефонные мошенники манипулируют чувствами людей и могут заставить их не только добровольно расстаться со своими деньгами, но и убедить совершить ужасные вещи.
Например, в 2023 году по России прокатилась волна поджогов военкоматов. Сценарий был один: поджоги устраивали женщины средних лет и пенсионеры, которые ранее никогда не привлекались к уголовной ответственности.
Как оказалось, этими людьми манипулировали и управляли кураторы с Украины. Как сообщили российские силовики, украинские преступники звонили жертвам по телефону и убеждали, что поджоги военкоматов — это задание российских спецслужб.
Мошенники разыгрывали для жертв настоящий спектакль и играли на их чувствах.
Ущерб от социальной инженерии
В 2023 году мошенники с помощью несанкционированных денежных переводов украли у клиентов российских банков 15,8 млрд рублей. Если допустить, что хотя бы половину этих переводов люди сделали сами под воздействием обмана и психологических манипуляций, то ущерб можно оценить примерно в 8 млрд рублей.
Иногда граждане теряют не только деньги, но и рассудок. В Москве женщина попала в психбольницу с острым психозом после того, как перевела мошенникам около 1,5 млн рублей.
Ситуация произошла уже стандартная: звонок с неизвестного номера под видом сотрудника Центрального банка. Потерпевшей заявили, что с её счёта пытаются списать деньги. Чтобы спасти средства, ей предложили оформить кредит и перевести на «безопасный счёт». Что она и сделала.
От социальной инженерии страдают не только рядовые граждане, но и бизнес. Для него подобные атаки чреваты тем, что конфиденциальная информация в руках преступников грозит компании высокими финансовыми и репутационными рисками.
Например, в открытый доступ могут попасть внутренние разработки или коммерческая тайна. Это может поставить под угрозу дальнейшее существование фирмы.
Как государство защищает граждан от мошенников-социнженеров
С каждым годом методы социальной инженерии становятся изощрённее, а поэтому и госструктурам приходится придумывать новые методы борьбы с ними.
Как заявила глава Центробанка Эльвира Набиуллина, каждый четвёртый рубль, похищенный из банков, — это деньги, взятые в кредит. У некоторых банков на займы приходится половина украденных мошенниками денег. Поэтому для борьбы с мошенничеством Центробанк в 2024 году предлагает три инициативы:
- «Период охлаждения» для больших сумм по кредиту — то есть позволить банкам не переводить сразу же всю сумму на счёт клиента, а сделать это через какое-то время.
- Лимиты на внесение наличных в банкоматах — чтобы люди не могли быстро перевести мошенникам крупные суммы и у них было время обдумать, что они делают.
- Развитие антифрод-процедур внутри самих банков. Это комплекс мер, направленный на предотвращение мошеннических транзакций.
Кроме того, в 2023 году в Госдуму внесли новый законопроект, который наделит россиян правом запрещать самим себе выдачу кредитов.
Конечно, это не панацея. Понятно, что мошенник легко может получить не только паспортные данные, реквизиты карт, номера счетов, но и данные СНИЛС, необходимые для снятия запрета на выдачу займа. Но на это нужно время, что сыграет на руку жертвам.
Как защитить личные данные от социальной инженерии
Стать жертвой социальной инженерии может каждый, ведь каждый раз злоумышленники придумывают новые способы, чтобы втереться в доверие и заставить жертву совершать заранее спрогнозированные им действия.
Чтобы обезопасить себя от социальной инженерии стоит придерживаться некоторых правил:
- Не переходите по подозрительным ссылкам.
В Сети стоит придерживаться принципа нулевого доверия ко всему, что приходит на почту, в мессенджеры и соцсети. Любую информацию нужно проверять и с особой осторожностью относиться к вложениям и ссылкам. Особенно нужно насторожиться, если к ссылке не написали сопроводительный текст. Лучше игнорировать такие сообщения.
Если есть сомнения и кажется, что это сообщение написал реальный знакомый, то, перед тем как нажать на ссылку, позвоните ему и уточните информацию.
- Не доверяйте незнакомцам.
Нередко мошенники могут выдавать себя за старых знакомых, которых вы уже не помните. Злоумышленник даже может использовать их фото, которое нашли в открытом доступе.
Как правило, преступники будут интересоваться самыми разными личными вопросами и выпытывать информацию. В этом случае нужно не терять бдительность и при малейшем подозрении заканчивать разговор.
- Защитите компьютер и аккаунты.
Установите антивирус, он поможет защитить компьютер от вредоносных программ. Если вы наткнётесь на фишинговую ссылку и попытаетесь перейти по ней, антивирус предотвратит переход или блокирует вредоносное ПО.
Также используйте сложные пароли для входа в свои социальные сети и электронную почту, не пренебрегайте двухфакторной аутентификацией. В идеале каждые полгода необходимо менять пароли на новые.
- Закрывайте аккаунты в социальных сетях.
Эксперты советуют держать аккаунты в социальных сетях закрытыми, а также не публиковать у себя на страницах никакую личную информацию: адрес электронной почты, номер телефона, ники в мессенджерах и даже дату рождения. Аналогично не стоит загружать в социальные сети фотографии, где видны номера машины.
Если злоумышленник знает хоть что-то из этих данных, он может быстро собрать достаточно информации о вас. Для этого мошенники используют Telegram-ботов, которые опираются на открытые источники или слитые базы данных.
- Не пытайтесь издеваться над мошенниками.
Нередки случаи, когда люди понимают, что ведут диалог с мошенником, и пытаются пошутить и поиронизировать над злоумышленником. Так делать не нужно.
Излишняя самоуверенность может в конечном итоге привести к тому, что в какой-то момент жертва всё-таки случайно сообщит часть или даже всю нужную мошенникам информацию. Лучше просто молча прервать разговор.
История социальной инженерии
Примерно с 1970-х годов телефонные хулиганы в США осознали, что звонить в компании можно не только ради шутки, а чтобы получать конфиденциальную информацию человека или компании, а потом использовать её в своих интересах. Телефонных обманщиков стали называть социальными инженерами, или социнженерами.
С появлением интернета социальные инженеры стали обманывать компании и обычных людей не только по телефону, но и в Сети. Киберпреступники писали людям, представляясь работниками банков, правительственными служащими и другими авторитетными лицами. Жертвы обмана не подозревали, что их разводят, поэтому предоставляли доступ к конфиденциальным данным или банковским счетам.
Так социальная инженерия стала одним из инструментов для кибератак.
Одним из самых известных хакеров в истории был Кевин Митник. В 1979 году, когда Кевину было всего лишь 16 лет, он смог войти в компьютерную систему компании Digital Equipment Corporation, одного из лидеров американского IT-рынка той эпохи. Для входа в сеть нужен был логин и пароль, Митник просто позвонил сисадмину и представиться сотрудником фирмы.
«Выдав себя за одного из ведущих разработчиков проекта, я просто позвонил системному администратору. Я утверждал, что не могу войти в одну из "моих" учётных записей, и был достаточно убедителен, чтобы уговорить парня предоставить мне доступ и позволить мне выбрать новый пароль. Более того, он выдал мне дополнительный пароль для подключения, который нужно было вводить при каждом новом сеансе», — вспоминал Митник.
Со временем социальные инженеры осваивали всё новые каналы связи — соцсети, мессенджеры и даже Tinder.
Цитата по теме из «Секрета»
«Мошенники — хорошие психологи. Они умеют быстро входить в доверие с помощью методов социальной инженерии и добиваться своих целей. Понимание мошеннических схем не всегда убережёт от аферистов, но сделает покупателя более осторожным».
(Основатель агентства недвижимости «Этажи» в Дубае Денис Латыпов — о том, как обманывают покупателей жилья.)