Опасности социальной инженерии – как не стать жертвой. Часть 2

В прошлой статье мы обсудили распространенные виды социальной инженерии и их последствия. Кража личных данных, потеря денег и ущерб репутации – вот основные последствия таких атак, и в ваших интересах их предотвратить.

В этой статье мы обсудим, как распознать приемы социальной инженерии (которые иногда могут быть довольно хитрыми) и не стать их жертвой. 

Как распознать социальную инженерию

Главное, что нужно помнить: социальная инженерия основана на манипулировании эмоциями жертвы. Зная несколько простых правил, мы можете эффективно противостоять социальной инженерии, даже если вы не особо подкованы в технических вопросах. Вот несколько признаков такой атаки.

Манипулирование эмоциями

Злоумышленники добиваются своих целей, манипулируя эмоциями жертвы и используя естественные инстинкты человека – доверие к другим и заботу о близких. 

Одним из видов социальной инженерии являются письма счастья; пик их популярности пришелся на “нулевые” годы. Целью письма счастья – убедить получателя скопировать сообщение и переслать его дальше. 

Письма счастья часто содержали вредоносные программы, такие как трояны. Как бы наивно это ни было, многие пользователи пересылали такие письма, так что под угрозой оказывалась безопасность миллионов компьютеров. Последствия таких писем можно было бы легко предотвратить, если люди умели бы распознавать типичные действия мошенников.

Еще один вид социальной инженерии – это фишинговые письма и звонки. В таких атаках обычно не используются прямые угрозы, но зачастую  эксплуатируются такие естественные чувства человека, как любопытство, страх и жадность.

Если при получении электронного письма или телефонного звонка вы заметили, что человек пытается напугать вас, угрожает вам или, напротив, обещает всяческие блага, высока вероятность того, что вы столкнулись с социальной инженерией. 

Приемы социальной инженерии: срочность и чувство страха

Особый вид манипуляции – попытка убедить вас в том, что вы должны срочно действовать, иначе вы потеряете что-то важное. Фактор срочности важен в социальной инженерии для того, чтобы “выключить” у жертвы рациональное мышление. Например, мошенники могут выдать себя за представителей вашего банка и сказать, что вы должны предоставить им определенную информацию, чтобы не потерять доступ к своему банковскому счету.  

Прежде всего, вас должна насторожить срочность ситуации. Настоящий банк не закроет ваш счет за несколько часов из-за того, что вы не предоставили свои личные данные. Во-вторых, банк, скорее всего, попросит вас прийти лично, чтобы разрешить ситуацию. Более того, представитель банка не будет просить вас предоставить по телефону конфиденциальную информацию, например, пароль или CVV вашей карты. Такую информацию вы не должны сообщать кому бы то ни было. Если у вас есть сомнения, то предложите лично приехать в банк, чтобы разобраться. Если при этом звонящий начинает разговаривать грубо, защищается или вешает трубку, то скорее всего это мошенник.

Обращайте внимание на то, вежливо ли с вами обращаются по телефону и какую информацию хотят от вас получить – это может уберечь вас от неприятностей. В случае сомнений не стесняйтесь звонить по номеру соответствующей организации, указанному на официальном сайте, чтобы проверить законность. Всегда лучше перепроверить.

Выдача себя за других людей

Люди очень доверчивы, особенно когда речь идет об авторитете. Мошенники, занимающиеся социальной инженерией, часто пользуются этим, выдавая себя за представителей власти. Пожалуй, этот самый сложный и опасный тип атак, особенно для старшего поколения. 

Развитие технологий позволяет имитировать электронную почту, номера телефонов и даже голоса официальных лиц и членов семей. Если вы не хотите стать жертвой мошенников, то нужно обращать внимание на мельчайшие детали. Небольшие отличия в логотипах, шрифтах или необычные аватары могут указывать на то, что вы имеете дело с мошенником.

Более того, мошенники могут даже взломать учетные записи, например, электронную почту или социальные сети ваших знакомых, чтобы выдать себя за них и попросить денег. Электронное письмо от мошенника может выглядеть совершенно похоже на настоящее, и вести на сайт, который также выглядит абсолютно как настоящий. Чтобы распознать атаку, необходимо внимательно проанализировать, что именно вас просят сделать и насколько это похоже на правду.

Вот несколько вопросов, которые стоит задать себе:

• Кто и зачем запрашивает информацию?

• Не провоцируются ли намеренно мои эмоции, не пытается ли мошенник на них играть?

• Является ли запрашиваемая информация личной/конфиденциальной?

• Стоит ли доверять этому письму/звонку?

• Как можно проверить законность этого письма/сообщения/звонка? Зачастую это можно сделать, например, связавшись по официальным контактным данным.

Когда кто-то вас просит предоставить информацию или отправить деньги и вы подозреваете, что это мошенник, то общая рекомендация – это связаться с человеком/организацией по их публично известным контактам (телефонному номеру или адресу электронной почты).

Как не стать жертвой социальной инженерии

Когда речь идет о социальной инженерии, то гораздо лучше предотвратить атаку, чем преодолевать последствия. Вот что можно сделать, чтобы защитить себя.

Используйте антивирус и антиспам

Социальная инженерия успешна, потому что пользователи чаще всего не ожидают атак и не проявляют бдительности. Хороший метод снизить вероятность атаки – это блокировка электронных сообщений и звонков от мошенников.

Современные антивирусные программы предупреждают пользователя при попытке открыть сомнительные ссылки или подозрительные вложения. Например, вот так антивирус Касперского уведомляет вас о том, что вы пытаетесь открыть небезопасную ссылку.

Благодаря использованию интеллектуальных алгоритмов обнаружения спама современные почтовые сервисы автоматически обнаруживают спам и помещают его в отдельную папку. Смартфоны также могут быть полезными в борьбе с социальной инженерией – они могут блокировать подозрительные и спам-звонки или отмечать их как потенциально опасные. Иногда программы могут ошибочно отмечать как спам безопасные ссылки, звонки и электронные письма, но их главная задача – обратить ваше внимание на возможное мошенничество.

Занимайтесь самообразованием

Если вы знаете, что такое социальная инженерия, и умеете распознать фишинг, бейтинг и претекстинг, вы уже защищены лучше, чем 90% пользователей. Многие считают, что социальная инженерия их лично не касается, жертвой могут стать другие люди. В реальности, целью мошенников может стать любой человек. Вот почему вам лично стоит развивать критическое мышление и подвергать сомнению всему, что вы читаете или слышите.

Вот пара ресурсов, которые помогут вам развить бдительность и не стать жертвой социальной инженерии:

• "Искусство обмана" Кевина Митника. В этой книге вы найдете советы от известного эксперта по социальной инженерии, научитесь распознавать распространенные приемы социальной инженерии и узнаете, как их избегать.

• "Искусство обмана. Социальная инженерия в мошеннических схемах" Кристофера Хэднеги. В этой книге простым языком объясняются распространенные приемы социальной инженерии. Даже если у вас нет опыта в области кибербезопасности, она научит вас защищать себя и своих близких от социальной инженерии. 

Мошенники вполне могут атаковать и членов вашей семьи и друзей, поэтому распространяйте информацию о личной кибербезопасности только в личном кругу.

Проверяйте, тот ли человек перед вами

Прежде чем предоставлять конфиденциальную информацию или выполнять действия в ответ на запрос данных, проверьте личность человека, обратившегося к вам с таким запросом. Например, если вам звонят из банка, положите трубку и перезвоните в банк по известному вам номеру телефона, чтобы подтвердить личность звонящего.

Еще одна хорошая практика – это обучение других, особенно детей и старшего поколения в вашей семье. Объясните им, что в цифровом мире можно доверять очень немногим. Научите их не открывать электронные письма и не отвечать на звонки с неизвестных номеров. В реальном же мире здоровая практика – не отвечать на личные вопросы от незнакомых людей, даже если они выглядят официально.

Использование виртуальных номеров

Использование виртуальных номеров позволяет сохранить конфиденциальность вашего номера телефона и поможет не стать жертвой социальной инженерии. 

Виртуальные номера – это временные телефонные номера, которые можно использовать для определенной цели, например, для проведения онлайн-транзакций или регистрации на каком-либо ресурсе. Если ваш виртуальный номер попадет в руки мошенника, у него не будет доступа к вашей конфиденциальной информации. Он не смогут позвонить вам и выдать себя за другого человека, потому что у них нет вашего настоящего номера. Вы также сможете избежать фишинговых и смишинг-атак, направленных на ваш номер телефона.

Заключение

В основе социальной инженерии лежат психологические манипуляции, с помощью которых мошенники обманом заставляют жертв раскрыть конфиденциальную информацию. Научившись распознавать распространенные методы социальной инженерии, вы сможете защищаться от них. Развивайте у себя критическое мышление и всегда будьте осторожны перед тем, как отправить куда-либо свою личную информацию. Занимайтесь самообразованием, объясните своим близким, что такое социальная инженерия, какие приемы при этом используются и как от них защититься. Используйте виртуальные SIM-карты – таким образом мошенники не узнают ваш реальный номер. И наконец, убедитесь, что у вас установлен антивирус и антиспам – они помогут вам распознать мошенников и защититься от них.