What is Social Engineering
Tutorials

Социальная инженерия: виды атак и способы защиты

Всем известно, что в интернете очень много мошенников. Социальная инженерия — это один из видов мошенничества, который может привести к серьезным последствиям: вы можете потерять свою конфиденциальную информацию и криптоактивы, а ведь вам этого совсем не хочется, правда?

Мы тоже не хотим, чтобы вы стали жертвой обмана, поэтому мы расскажем вам о разных приемах, которые используют мошенники, и приведем несколько примеров.

Что такое социальная инженерия?

В сфере кибербезопасности социальная инженерия — это метод манипуляции действиями человека.

Основная цель мошенников — обмануть потенциальных жертв с помощью психологических уловок, играя на их эмоциях и естественных реакциях. Чтобы заставить своих жертв совершить определенные действия, мошенники могут использовать их любопытство, страх или желание помочь другим.

Атаки с использованием социальной инженерии могут проходить следующим образом:

  1. Подготовка к атаке. Она включает в себя определение жертвы, сбор необходимой информации и выбор способа атаки.
  2. Обман жертвы. Злоумышленник беседует с жертвой или посылает ей сообщения. Обычно он рассказывает выдуманные истории, чтобы завоевать доверие человека.
  3. Получение личной и конфиденциальной информации. Завоевав доверие жертвы, мошенник получает доступ к важной информации и другим данным.
  4. Завершение контакта. Мошенник осторожно прекращает общение, чтобы человек не догадался о его преступных действиях.

Распространенные приемы социальной инженерии

Теперь, когда мы получили некоторое представление о социальной инженерии, посмотрим, какие методы атак обычно используются мошенниками.

Фишинг

Фишинг — самая распространенная форма мошенничества и социальной инженерии. В фишинг-атаках обычно используются вредоносные письма, сообщения или звонки. Чаще всего мошенники выдают себя за провайдера электронной почты или представителя какой-либо организации, банка, магазина или другого учреждения.

Фишинг-атака может выглядеть так:

Phishing attempt

Фишинговые сообщения обычно содержат призыв к немедленному действию в отношении аккаунта жертвы. Мошенники часто отправляют сообщения, в которых просят установить обновления, подтвердить свою личность или сообщают о подозрительной активности, после чего они запрашивают вашу личную информацию.

Иногда они также просят вас перейти по несуществующей ссылке. Такой прием распространен в соцсетях, где мошенники часто используют фишинг для получения доступа к деньгам других пользователей.

Пример фишинга на платформе Twitter:

A Twitter thread of a user posing as an admin of Paxful and trying to scam people

Здесь мошенник выдает себя за модератора Paxful и просит потенциальных жертв перейти по ссылке, чтобы сообщить о проблеме с аккаунтом. Если вы перейдете по этой ссылке, он получит всю вашу конфиденциальную информацию (в данном случае — адрес вашего биткоин-кошелька).

Целевой фишинг

Это вид фишинга, который носит более направленный характер. В этих случаях мошенники внимательно выбирают определенных лиц или компании в качестве своих жертв. Чтобы их замысел было труднее раскрыть, они часто берут за основу своих сообщений переписку или разговоры жертв.

Обычно это происходит так: мошенник выдает себя за вашего знакомого и просит предоставить конфиденциальную информацию, например, данные аккаунта для доступа к важной корпоративной информации.

Электронная почта и сами сообщения могут выглядеть правдоподобно, но на самом деле они содержат вредоносное ПО. Часто отправитель просит вас перейти по ссылке на страницу, с которой он сможет похитить учетные данные и другую информацию.

После того как вы нажмете на ссылку, мошенник получает доступ к вашим данным, а также к важной корпоративной информации.

Бейтинг

Данный метод социальной инженерии задействует своего рода “приманки”, чтобы склонить потенциальных жертв к использованию вредоносных продуктов. Обычно мошенники используют для этого сайты или ссылки, предлагая получить какую-либо вещь бесплатно (например, фильм, книгу, песню или другой цифровой файл).

Хакер может попросить вас создать аккаунт или сразу загрузить файл, который автоматически устанавливает на компьютер вредоносную программу.

Бейтинг может принимать и материальную форму: например, мошенники могут оставить флешку или жесткий диск с вредоносным ПО в общественном месте и подождать, пока кто-нибудь любопытный не заберет их и не попытается выяснить, что на них находится. Как только человек подключит флешку или диск к компьютеру, хакерская программа активируется автоматически.

Поддельный антивирус

Вы наверняка видели эти всплывающие сообщения, в которых говорится: “Ваш компьютер заражен! Нажмите здесь, чтобы удалить вредоносную программу” или “Внимание! Обнаружено 74 вируса”. Если вы не сталкивались с подобным, вам повезло! Вот как это обычно выглядит:

Надеемся, что вы никогда не переходите по таким ссылкам, так как это может нанести серьезный вред вашему устройству.

В этом виде социальной инженерии мошенники используют тактику запугивания для распространения своих вредоносных программ. В сообщениях обычно содержатся просьбы перейти по зараженной ссылке или загрузить вредоносный файл, что, конечно, наносит непоправимый вред вашему компьютеру.

Помимо всплывающих окон и баннеров мошенники также могут использовать электронные письма, которые обычно содержат ложные предупреждения и предложения.

Претекстинг

Злоумышленник притворяется лицом, у которого есть доступ к определенной важной информации. Например, он может выдавать себя за сотрудника банка или организации, офицера полиции или даже вашего коллегу.

В ходе этой атаки он обычно задает вопросы, чтобы получить нужную ему информацию. Как и при использовании вышеупомянутых методов социальной инженерии, как только мошеннику удается завоевать доверие жертвы, он получает доступ к записям телефонных разговоров, адресам, номеру социального страхования и другим данным.

Пять способов защитить себя от атак

Теперь, когда мы разобрались с основными приемами социальной инженерии и рассмотрели несколько примеров, возникает вопрос: как же защитить себя и свои биткоины от мошенников?

1. Осторожно относитесь к ссылкам и вложениям в письмах.

Будьте осторожны, когда вы открываете письма с подозрительными заголовками или вложениями. Не спешите сразу открывать вложение или переходить по ссылке. Сначала убедитесь, что письмо, жесткий диск или ссылка заслуживают вашего доверия.

С такой же осторожностью вам надо относиться к всплывающим окнам, баннерам и незнакомым сайтам. Будьте бдительны и защищайте свой биткоин-кошелек и аккаунт Paxful, а также другую конфиденциальную информацию от хакерских атак.

2. Установите надежное антивирусное ПО.

Для большей безопасности установите на свои устройства надежное и качественное антивирусное ПО. Кроме того, не забывайте регулярно обновлять операционную систему и антивирусные программы.

3. Используйте надежные решения безопасности для своих аккаунтов.

Используйте пароли, которые сложно подобрать. Никому не сообщайте свои пароли, ведь это конфиденциальная информация, в отличие от вашего имени пользователя, которое может быть известно многим. Если вы используете сгенерированные системой пароли, которые трудно запомнить, то установите программу для хранения паролей.

Чтобы защитить свой аккаунт, рекомендуем использовать двухфакторную аутентификацию (2ФА). Если вы еще не включили ее в настройках аккаунта Paxful, немедленно сделайте это!

4. Остерегайтесь заманчивых предложений.

Не торопитесь переходить к привлекательным предложениям: в них часто скрыты ловушки для потенциальных жертв социальной инженерии. Если предложение кажется слишком выгодным, чтобы быть правдой, скорее всего, так оно и есть. Конечно, это не всегда так, но вам стоит с осторожностью относиться к таким предложениям и поискать информацию о них в интернете, перед тем как переходить к сделке.

5. Изучайте информацию о приемах социальной инженерии.

Вы можете спросить: “Как же противодействовать таким атакам?” Вам нужно собирать как можно больше информации о социальной инженерии, изучать ее и делиться со своими друзьями, родными и коллегами. Иногда трудно понять, что вы имеете дело с мошенниками, но все равно стоит рассказать другим об основных хакерских приемах.

Защитите свою личную информацию и биткоин-кошелек!

В интернете всегда нужно быть начеку и остерегаться потенциальных мошенников, которые ищут способы заполучить чужую конфиденциальную информацию. Особенно это касается биткоин-аккаунтов и кошельков, поскольку криптовалюта — одна из самых привлекательных целей для хакеров.

Всегда будьте в курсе новейших уловок и приемов социальной инженерии — это поможет вам защититься от возможных атак. Необходимую информацию вы можете найти на новостных сайтах или на сайтах антивирусных программ.

Такие поставщики решений безопасности, как Kaspersky, Bitdefender и многие другие, часто публикуют полезную информацию о тенденциях в сфере кибербезопасности, защите от вредоносных программ и т.д. Если вы хотите вывести свои навыки по противодействию кибератакам на новый уровень, попробуйте поискать компании, которые проводят специальные курсы.

Всегда сохраняйте бдительность и следуйте нашим рекомендациям, чтобы защитить свои биткоины. И еще раз напоминаем вам включить 2ФА для вашего аккаунта Paxful, если вы еще этого не сделали!

Patch de Leon

Patch is a broadcast journalism graduate who explores the fascinating world of crypto. She enjoys writing research-based pieces and creative features but never without a cup of coffee and her loose hoodie. You can find her scrolling through Spotify, streaming dark thriller shows, or starting books she’s never finished.

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *