В более широком смысле любой вид манипуляции, связанный с поведенческой психологией, можно считать социальной инженерией. Однако это понятие не всегда связано с преступной или мошеннической деятельностью. Фактически, социальная инженерия широко используется и изучается в различных контекстах, в таких областях, как социальные науки, психология и маркетинг.
Когда дело доходит до кибербезопасности, социальная инженерия осуществляется со скрытыми мотивами и относится к набору вредоносных действий, которые пытаются манипулировать людьми, заставляя их совершать плохие поступки, например, раскрывать личную или конфиденциальную информацию, которая впоследствии может быть использована против них самих или их компании. Мошенничество с личными данными является частым последствием подобных атак и во многих случаях приводит к значительным финансовым потерям.
Социальную инженерию часто представляют как киберугрозу, но эта концепция существует уже давно, и этот термин также может использоваться в отношении реальных мошеннических схем, которые обычно подразумевают выдачу себя за представителей власти или ИТ-специалистов. Однако появление Интернета значительно облегчило хакерам выполнение манипулятивных атак в более широком масштабе, и, к сожалению, эти вредоносные действия также происходят в контексте криптовалют.
Как это работает?
Все виды методов социальной инженерии основаны на слабостях человеческой психологии. Мошенники используют эмоции, чтобы манипулировать и обманывать своих жертв. Страх, жадность, любопытство и даже готовность помочь другим людям оборачиваются против них самыми разными способами. Среди множества видов вредоносной социальной инженерии фишинг, безусловно, является одним из наиболее распространенных и известных примеров.
Фишинг
Фишинговые электронные письма часто имитируют переписку от законной компании, например национальной банковской сети, авторитетного интернет-магазина или поставщика услуг электронной почты. В некоторых случаях эти клонированные электронные письма предупреждают пользователей о том, что их учетная запись либо нуждается в обновлении, либо о необычной активности, требуя от них предоставления личной информации в качестве способа подтверждения своей личности и регуляризации своих учетных записей. Из-за страха некоторые люди сразу же нажимают на ссылки и переходят на поддельный веб-сайт, чтобы предоставить необходимые данные. В этот момент информация окажется в руках хакеров.
пугающие программы
Методы социальной инженерии также применяются для распространения так называемого Scareware. Как следует из названия, программы-пугалки — это тип вредоносного ПО, предназначенный для того, чтобы напугать и шокировать пользователей. Обычно они связаны с созданием ложных тревог, которые пытаются обманом заставить жертв установить мошенническое программное обеспечение, которое выглядит законным, или получить доступ к веб-сайту, который заражает их систему. Подобный метод часто основан на страхе пользователей перед угрозой компрометации их системы, что убеждает их нажать на веб-баннер или всплывающее окно. В сообщениях обычно говорится что-то вроде: «Ваша система заражена, нажмите здесь, чтобы очистить ее».
Травля
Травля — еще один метод социальной инженерии, доставляющий неприятности многим невнимательным пользователям. Он предполагает использование приманок для заманивания жертв из-за их жадности или любопытства. Например, мошенники могут создать веб-сайт, предлагающий что-то бесплатно, например музыкальные файлы, видео или книги. Но чтобы получить доступ к этим файлам, пользователям необходимо создать учетную запись, предоставив свою личную информацию. В некоторых случаях учетная запись не требуется, поскольку файлы напрямую заражены вредоносным ПО, которое проникнет в компьютерную систему жертвы и соберет ее конфиденциальные данные.
Схемы травли также могут реализовываться в реальном мире с использованием USB-накопителей и внешних жестких дисков. Мошенники могут намеренно оставлять зараженные устройства в общественных местах, поэтому любой любопытный человек, взяв его для проверки содержимого, в конечном итоге заразит свой персональный компьютер.
Социальная инженерия и криптовалюты
Жадный менталитет может быть весьма опасным, когда дело касается финансовых рынков, делая трейдеров и инвесторов особенно уязвимыми для фишинговых атак, схем Понци или пирамид, а также других видов мошенничества. В индустрии блокчейнов ажиотаж, который вызывают криптовалюты, привлекает в эту сферу множество новичков за относительно короткий период времени (особенно во время бычьих рынков).
Несмотря на то, что многие люди не до конца понимают, как работает криптовалюта, они часто слышат о потенциале этих рынков для получения прибыли и в конечном итоге инвестируют, не проведя соответствующих исследований. Социальная инженерия особенно беспокоит новичков, поскольку они часто попадают в ловушку собственной жадности или страха.
С одной стороны, стремление быстро получить прибыль и заработать легкие деньги в конечном итоге приводит к тому, что новички гоняются за ложными обещаниями раздач и раздач. С другой стороны, страх того, что их личные файлы будут скомпрометированы, может заставить пользователей заплатить выкуп. В некоторых случаях реального заражения программой-вымогателем не происходит, и пользователи обманываются ложной тревогой или сообщением, созданным хакерами.
Как предотвратить атаки социальной инженерии
Как уже упоминалось, мошенничество с помощью социальной инженерии работает, потому что оно апеллирует к человеческой природе. Обычно они используют страх в качестве мотиватора, призывая людей действовать немедленно, чтобы защитить себя (или свою систему) от нереальной угрозы. Атаки также основаны на человеческой жадности, заманивая жертв в различные виды инвестиционных афер. Поэтому важно помнить, что если предложение выглядит слишком хорошо, чтобы быть правдой, то, скорее всего, так оно и есть.
Хотя некоторые мошенники искушены, другие злоумышленники допускают заметные ошибки. Некоторые фишинговые электронные письма и даже баннеры с вредоносными программами часто содержат синтаксические ошибки или слова с ошибками и эффективны только против тех, кто не уделяет достаточно внимания грамматике и орфографии — так что держите глаза открытыми.
Чтобы не стать жертвой атак социальной инженерии, вам следует принять следующие меры безопасности:
Обучайте себя, семью и друзей. Расскажите им о распространенных случаях вредоносной социальной инженерии и проинформируйте их об основных общих принципах безопасности.
Будьте осторожны с вложениями и ссылками электронной почты. Не нажимайте на рекламу и веб-сайты неизвестного источника;
Установите надежный антивирус и регулярно обновляйте свои программные приложения и операционную систему;
Всегда используйте решения многофакторной аутентификации, чтобы защитить свои учетные данные электронной почты и другие личные данные. Настройте двухфакторную аутентификацию (2FA) для своей учетной записи Binance.
Для предприятий: рассмотрите возможность подготовки своих сотрудников к выявлению и предотвращению фишинговых атак и схем социальной инженерии.
Заключительные мысли
Киберпреступники постоянно ищут новые методы обмана пользователей, стремясь украсть их средства и конфиденциальную информацию, поэтому очень важно обучать себя и окружающих. Интернет предоставляет убежище для подобных видов мошенничества, и они особенно часто встречаются в сфере криптовалют. Будьте осторожны и будьте начеку, чтобы не попасться в ловушки социальной инженерии.
Кроме того, любой, кто решает торговать или инвестировать в криптовалюту, должен провести предварительное исследование и хорошо разбираться как в рынках, так и в рабочих механизмах технологии блокчейн.
