Социальная инженерия: что это, как работает, на кого направлена

Под социальной инженерией понимают психологическое манипулирование людьми ради достижения какой-то цели. Подобные приемы активно применяют кибермошенники. Они знают, что сказать, на какие точки надавить, чтобы граждане раскрыли секретную информацию о банковской карте и даже перевели деньги со своего счета. Расскажем о социальной инженерии подробнее: как она работает и можно ли от нее защититься.

Что такое социальная инженерия

Одни преступники используют сложные технологические приспособления для похищения средств граждан: скиммеры, устройства для считывания сигнала через публичную сеть wi-fi. Другие действуют проще: вынуждают пользователей назвать свои конфиденциальные данные. В этом случае мошенников очень сложно привлечь к ответственности: клиент раскрыл секретную информацию, значит, сам виноват в хищении денег со счета. В договоре с банком прямо указано: гражданин обязан хранить сведения в тайне и не озвучивать их третьим лицам.

Какие методы социальной инженерии применяют злоумышленники:

• Фишинг. На электронную почту присылают письмо, цель которого — привлечь внимание получателя. В нем могут предлагать огромные скидки на товары, сообщать о назначенной выплате от государства, предупреждать о необходимости срочно погасить долг. Главная особенность: сайты, от имени которых приходит письмо, очень похожи на официальные. Гражданин думает, что ему пишет банк, маркетплейс, портал Госуслуг или ФНС. Переходит по ссылке, размещенной в письме, и попадает на поддельный сайт. Ничего не подозревая, пользователь вводит данные от личного кабинета или от карты. Информация сразу оказывается в руках преступников — они добились своей цели.
• Вишинг. Это голосовой фишинг. Человеку звонят и представляются сотрудником банка, работником налоговой или правоохранительных органов. Чаще всего преступники давят на чувство страха: говорят, что со счета списали крупную сумму, от имени клиента подали заявку на кредит либо его родственник попал в беду, и ему срочно нужны деньги. В состоянии паники многие готовы на все: назвать номер карты, срок ее действия, секретный код с обратной стороны, одноразовый пароль из смс.
• Смишинг. Фишинг через смс. Злоумышленники не звонят, а пишут в мессенджерах. От абонента требуется следовать инструкции: указать конкретную цифру в ответном сообщении, переслать код, полученный от банка. Преступники снова прикрываются тем, что со счета клиента якобы списали деньги и транзакцию нужно срочно отменить.
• Взлом электронной почты или аккаунта в соцсетях. Мошенники подбирают пароль к личной странице и рассылают от имени пользователя письма всем знакомым. Содержимое послания одно — просьба срочно прислать деньги, так как случилось нечто ужасное: болезнь, смерть близких родственников, пожар.

Один из самых ярких примеров социальной инженерии — кража $40 млн у компании The Ubiquiti Networks в 2015 году. Правила безопасности нарушили сами сотрудники. Мошенникам не пришлось рисковать и взламывать сейфы. Они просто прислали письмо на электронную почту от имени топ-менеджера организации с просьбой перевести огромную сумму на указанный счет. У персонала не возникло подозрений, и деньги были отправлены преступникам напрямую.

Социальные инженеры способны не только похищать средства со счетов. С помощью специальных психологических приемов профессионалы воздействуют на подсознание публики. Они с легкостью могут заставить людей изменить мнение, внушить им то, что нужно. Подобные примеры встречаются на митингах, общественных собраниях.

Как не поддаться атаке с использованием социальной инженерии

Дадим несколько советов, как не попасть на удочку социальных инженеров:

• Ставьте под сомнение любые новости, особенно когда узнаете их по телефону, через соцсети или по электронной почте.
• Перепроверяйте информацию в официальных источниках: на сайтах банков, в авторитетных изданиях.
• Не паникуйте, если вам звонят и говорят, что с близким человеком случилась беда. Положите трубку и попробуйте связаться с родственником напрямую.
• Вам сообщили, что со счета списали деньги? Перезвоните сами на горячую линию своего финансового учреждения и уточните информацию у реального сотрудника.
• Устанавливайте сложный пароль при регистрации любого аккаунта.

В любой ситуации помните: никто не имеет права спрашивать конфиденциальные данные ваших карты и счета. Держите в секрете номер «пластика», срок действия, код CVV. Если вы сами назовете информацию мошенникам, то автоматически станете соучастником. Впоследствии вернуть похищенные деньги вряд ли удастся.