У ширшому розумінні соціальною інженерією можна вважати будь-які маніпуляції, пов’язані з психологією поведінки. Однак це поняття не завжди пов'язане зі злочинною чи шахрайською діяльністю. Насправді соціальна інженерія широко використовується і вивчається в різних контекстах, в таких областях, як соціальні науки, психологія й маркетинг.
Коли справа доходить до кібербезпеки, соціальна інженерія здійснюється з прихованими мотивами і відноситься до набору зловмисних дій, які намагаються змусити людей робити невдалі кроки, наприклад, розкривати особисту або конфіденційну інформацію, яка пізніше може бути використана проти них самих або їхньої компанії. Шахрайство з ідентифікацією є частим наслідком таких атак і у багатьох випадках призводить до значних фінансових втрат.
Соціальну інженерію часто представляють як кіберзагрозу, але концепція існує вже давно, і цей термін також може використовуватись щодо реальних шахрайських схем, які зазвичай включають видачу себе за представників влади чи ІТ-фахівців. Однак з появою інтернету хакерам стало набагато простіше проводити маніпулятивні атаки у ширшому масштабі, і, на жаль, ці зловмисні дії також мають місце у контексті криптовалют.
Як це працює?
Усі види методів соціальної інженерії спираються на слабкість людської психології. Шахраї використовують емоції, щоб маніпулювати та обманювати своїх жертв. Людський страх, жадібність, цікавість і навіть готовність допомагати іншим обертаються проти них різними методами. Серед численних видів шкідливої соціальної інженерії, фішинг, безумовно, є одним із найпоширеніших і найвідоміших прикладів.
Фішинг
Фішингові електронні листи часто імітують листування від законної компанії, як-от національна банківська мережа, авторитетний інтернет-магазин або постачальник послуг електронної пошти. У деяких випадках ці електронні листи-клони попереджатимуть користувачів про те, що їхній акаунт або потребує оновлення, або демонструє незвичайну активність, вимагаючи від них надання особистої інформації як спосіб підтвердження їхньої особи та регуляції їхніх акаунтів. Через страх деякі люди швидко клацають на посилання і переходять на підроблений вебсайт, щоб надати необхідні дані. У цей момент інформація опиняється в руках хакерів.
Відлякувальні програми
Методи соціальної інженерії також застосовуються для поширення так званих відлякувальних програм. Як випливає з назви, відлякувальні програми – це тип шкідливих програм, призначених для того, щоб лякати і шокувати користувачів. Як правило, вони пов'язані зі створенням помилкових сигналів тривоги, які намагаються обманом змусити жертв встановити шахрайське програмне забезпечення, яке виглядає законним, або отримати доступ до вебсайту, який заражає їхню систему. Такий метод часто ґрунтується на страху користувачів перед компрометацією їхньої системи, переконуючи їх клацнути на веббанер або спливне вікно. У повідомленнях зазвичай йдеться щось на кшталт: "Ваша система заражена, клацніть тут, щоб очистити її".
Приманка
Приманка – ще один метод соціальної інженерії, що завдає неприємностей багатьом неуважним користувачам. Він включає використання приманок для заманювання жертв на основі їхньої жадібності чи цікавості. Наприклад, шахраї можуть створити вебсайт, який пропонує щось безплатно, наприклад, музичні файли, відео або книги. Але для доступу до цих файлів користувачам необхідно створити акаунт, надавши особисту інформацію. У деяких випадках немає необхідності в акаунті, оскільки файли безпосередньо заражені шкідливим програмним забезпеченням, яке проникає в комп'ютерну систему жертви та збирає її конфіденційні дані.
Схеми приманки також можуть виникати в реальному світі з використанням USB-накопичувачів та зовнішніх жорстких дисків. Шахраї можуть свідомо залишати заражені пристрої в публічному місці, тому будь-яка допитлива людина, яка взяла його для перевірки вмісту, зрештою заразить свій персональний комп'ютер.
Соціальна інженерія та криптовалюти
Жадібний менталітет може бути дуже небезпечним, коли йдеться про фінансові ринки, роблячи трейдерів і інвесторів особливо вразливими для фішингових атак, схем Понзі або фінансових пірамід та інших видів шахрайства. В блокчейн-індустрії ажіотаж, який викликають криптовалюти, приваблює багатьох новачків у простір за відносно короткий період часу (особливо під час бичачих ринків).
Незважаючи на те, що багато людей не до кінця розуміють, як працює криптовалюта, вони часто чують про потенціал цих ринків для отримання прибутку і зрештою інвестують, не проводячи відповідних досліджень. Соціальна інженерія особливо впливає на новачків, оскільки вони часто потрапляють у пастку власної жадібності чи страху.
З одного боку, прагнення отримати швидкий прибуток і заробити легкі гроші в кінцевому підсумку спонукає новачків до гонитви за помилковими обіцянками безплатних розіграшів і аірдропів. З іншого боку, побоювання, що їхні особисті файли будуть скомпрометовані, може змусити користувачів платити відкупне. У деяких випадках реального зараження програмою-вимагачем немає, і користувачів обманюють помилковим сигналом або повідомленням, створеним хакерами.
Як запобігти атакам соціальної інженерії
Як уже згадувалося, шахрайство соціальної інженерії працює тому, що пов'язане із людською природою. Зазвичай шахраї використовують страх як мотиватор, закликаючи людей негайно діяти, щоб захистити себе (або свою систему) від нереальної загрози. Атаки також ґрунтуються на людській жадібності, заманюючи жертв у різні види інвестиційного шахрайства. Тому важливо мати на увазі, що якщо пропозиція виглядає надто добре, щоб бути правдою, швидше за все це шахрайство.
Хоча деякі шахраї є досвідченими, інші зловмисники роблять помітні помилки. Деякі фішингові електронні листи і навіть банери часто містять синтаксичні помилки або слова з орфографічними помилками та ефективні лише проти тих, хто не приділяє належної уваги граматиці й орфографії, тому завжди будьте уважні.
Щоб не стати жертвою атак соціальної інженерії, слід враховувати такі заходи безпеки:
Навчайте себе, сім'ю і друзів. Розкажіть їм про поширені випадки зловмисної соціальної інженерії та поінформуйте їх про основні загальні принципи безпеки.
Будьте обережні з вкладеннями електронної пошти та посиланнями. Не клацайте на оголошення та не переходьте на вебсайти невідомого походження;
Встановіть надійний антивірус та оновлюйте своє програмне забезпечення і операційну систему;
За будь-якої можливості використовуйте рішення для багатофакторної аутентифікації, щоб захистити акаунт електронної пошти й інші особисті дані. Налаштуйте двофакторну аутентифікацію (2FA) для свого акаунту Binance.
Для бізнесів: розгляньте можливість підготовки своїх співробітників до виявлення та запобігання фішинговим атакам і схемам соціальної інженерії.
Підсумки
Кіберзлочинці постійно шукають нові способи обману користувачів, прагнучи вкрасти їхні кошти та конфіденційну інформацію, тому дуже важливо навчати себе й оточення. Інтернет є притулком для таких видів шахрайства і вони особливо поширені у сфері криптовалют. Будьте обережні й пильні, щоб не потрапити до пасток соціальної інженерії.
Крім того, будь-хто, хто вирішує торгувати або інвестувати в криптовалюту, повинен провести попереднє дослідження та переконатися, що добре розуміє як ринки, так і робочі механізми блокчейн-технології.