Makro līmenī jebkuru darbību, kas saistīta ar uzvedības psiholoģiju, var uzskatīt par sociālo inženieriju. Tomēr šis jēdziens ne vienmēr ir saistīts ar noziedzīgām vai krāpnieciskām darbībām. Faktiski sociālā inženierija tiek plaši izmantota un pētīta tādās jomās kā sociālās zinātnes, psiholoģija un mārketings.
Runājot par kiberdrošību, sociālā inženierija attiecas uz virkni ļaunprātīgu darbību, kas mēģina manipulēt ar cilvēkiem uz sliktu uzvedību slēptu motīvu dēļ, piemēram, nozagt personu identificējošu informāciju, ko vēlāk var izmantot, lai nozagtu uzņēmuma personisko vai konfidenciālo informāciju. Identitātes krāpšana ir bieži sastopamas šāda veida uzbrukumu sekas, kas daudzos gadījumos rada ievērojamus finansiālus zaudējumus.
Sociālā inženierija bieži tiek uzskatīta par kiberdraudu, taču šis jēdziens pastāv jau ilgu laiku, un šo terminu var saistīt arī ar reālu krāpšanu, kas bieži vien ietver uzdošanos par auditoru vai IT ekspertu. Taču interneta parādīšanās ir atvieglojusi hakeriem iespēju veikt manipulācijas uzbrukumus plašākā mērogā, un diemžēl šīs kaitīgās darbības notiek arī kriptovalūtu telpā.
Kā tas darbojas?
Visu veidu sociālās inženierijas pamatā ir cilvēka psiholoģijas vājās puses. Krāpnieki izmanto emocijas, lai manipulētu un maldinātu savus upurus. Viņi izmanto cilvēku bailes, alkatību, zinātkāri un pat gatavību palīdzēt citiem. Starp dažādām ļaunprātīgām sociālās inženierijas darbībām pikšķerēšana ir viens no visizplatītākajiem un pazīstamākajiem gadījumiem.
Pikšķerēšana
Pikšķerēšanas e-pasta ziņojumi bieži atdarina e-pasta ziņojumus no likumīgiem uzņēmumiem, piemēram, valsts bankām, veikalu ķēdēm, cienījamiem tiešsaistes veikaliem vai e-pasta pakalpojumu sniedzējiem. Dažos gadījumos šie krāpnieciskie e-pasta ziņojumi brīdina lietotājus, ka viņu konti ir jāatjaunina vai ka ir notikusi neparasta darbība, lūdzot viņus sniegt personas informāciju, lai apstiprinātu savu identitāti un pārvaldītu savu kontu. Baiļu dēļ daži lietotāji nekavējoties noklikšķinās uz saites un dosies uz viltotu vietni, nodrošinot noziedzniekiem nepieciešamos datus. Šajā brīdī informācija būs hakeru rokās.
Draudi
Sociālās inženierijas metodes tiek izmantotas arī tā saukto biedējošo programmu izplatīšanai. Kā norāda nosaukums, draudu programmatūra ir ļaunprātīgas programmatūras veids, kas paredzēts lietotāju iebiedēšanai un apdraudēšanai. Tie bieži ir saistīti ar viltus brīdinājumu radīšanu, mēģinot piemānīt upurus, lai tie instalētu likumīga izskata krāpniecisku programmatūru vai pievilinātu lietotājus apmeklēt vietnes, lai inficētu viņu sistēmas. Šī metode parasti balstās uz lietotāju bailēm, ka viņu sistēmas ir apdraudētas, pārliecinot viņus noklikšķināt uz tīmekļa reklāmkarogiem vai uznirstošajiem logiem. Šie ziņojumi parasti saka: "Jūsu sistēma ir inficēta. Lūdzu, noklikšķiniet šeit, lai to notīrītu."
maldināt
Pikšķerēšana ir vēl viens sociālās inženierijas veids, kas rada problēmas daudziem neuzmanīgiem lietotājiem. Parasti tiek izmantota lietotāja alkatība vai zinātkāre, lai pievilinātu upurus. Piemēram, krāpnieks var izveidot vietni, kurā tiek piedāvāts bezmaksas saturs, piemēram, mūzikas faili, videoklipi vai grāmatas. Lai piekļūtu šiem failiem, lietotājiem parasti ir jāizveido konts un jānorāda sava personiskā informācija. Dažos gadījumos konta izveide var nebūt nepieciešama, jo lejupielādētos failus var arī tieši inficēt ar ļaunprātīgu programmatūru, kas iebruks upura datorsistēmā un apkopos viņa sensitīvos datus.
Reālajā dzīvē pikšķerēšanu var panākt arī, izmantojot USB atmiņu un ārējos cietos diskus. Krāpnieki var apzināti atstāt inficētu ierīci publiskā vietā, vilinot ziņkārīgos to pārbaudīt un apskatīt tās saturu, galu galā inficējot viņu personālos datorus.
Sociālā inženierija un kriptovalūta
Mantkārīga mentalitāte var būt ļoti bīstama, ja runa ir par finanšu tirgiem, un tirgotāji un investori ir īpaši neaizsargāti pret pikšķerēšanu, Ponzi un piramīdas shēmām un cita veida krāpniecību. Blokķēdes industrijā kriptovalūtu radītā uzmanība salīdzinoši īsā laika periodā (īpaši buļļu tirgus laikā) ir piesaistījusi jomai daudz jaunu cilvēku.
Lai gan daudzi cilvēki pilnībā nesaprot, kā darbojas kriptovalūtas, viņi bieži dzird ziņas par tirgus potenciālu gūt milzīgus ieguvumus un akli investēt, neveicot atbilstošu izpēti. Sociālā inženierija īpaši satrauc iesācējus, jo viņus bieži ieslodzījusi viņu pašu alkatība vai bailes.
No vienas puses, vēlme gūt ātru peļņu un pelnīt liks iesācējiem dzīties pakaļ viltus priekšrocībām un ticēt airdrop solījumiem. No otras puses, lietotāji var baidīties, ka viņu privātie faili tiks apdraudēti, un viņi maksās izpirkuma maksu. Dažos gadījumos lietotājus vienkārši maldina viltus brīdinājumi vai hakeru izveidoti ziņojumi, un viņi faktiski nav inficēti ar izspiedējvīrusu.
Kā novērst sociālās inženierijas uzbrukumus
Kā minēts iepriekš, sociālās inženierijas krāpniecība darbojas tikai tāpēc, ka tās izmanto cilvēka vājās vietas. Viņi bieži izmanto bailes kā motivatoru, mudinot cilvēkus nekavējoties rīkoties, lai pasargātu sevi (vai savas sistēmas) no nereāliem draudiem. Daži sociālās inženierijas uzbrukumi ir balstīti arī uz cilvēku alkatību, lai ievilinātu upurus dažāda veida ieguldījumu izkrāpšanā. Tāpēc ir svarīgi atcerēties, ka, ja piedāvājums šķiet pārāk labs, lai būtu patiess, iespējams, tā ir krāpniecība.
Lai gan daži krāpnieki ir izsmalcināti, vidēji uzbrucēji pieļauj acīmredzamas kļūdas. Dažu pikšķerēšanas e-pasta ziņojumu un draudu programmatūras nosaukumos bieži ir gramatikas vai pareizrakstības kļūdas, kas parasti apmāna nepiesardzīgos, tāpēc esiet piesardzīgs.
Lai nekļūtu par sociālās inženierijas uzbrukuma upuri, jums jāpievērš uzmanība šādiem drošības pasākumiem:
Izglītojiet sevi, ģimeni un draugus. Māciet viņiem izplatītus ļaunprātīgas sociālās inženierijas piemērus un iepazīstiniet viņus ar galvenajiem drošības principiem.
Esiet piesardzīgs, rīkojoties ar e-pasta pielikumiem un saitēm. Neklikšķiniet uz reklāmām un vietnēm no nezināmiem avotiem;
Instalējiet oriģinālu pretvīrusu programmatūru, lai jūsu programmatūras lietojumprogrammas un operētājsistēma būtu atjaunināta;
Ja vēlaties aizsargāt savus e-pasta pieteikšanās akreditācijas datus un citus personas datus, izmantojiet vairāku faktoru autentifikācijas risinājumu. Tāpat kā divu faktoru autentifikācijas (2FA) iestatīšana savam Binance kontam.
Uzņēmumiem: darbiniekiem ir jābūt pilnvarotiem identificēt sociālās inženierijas uzbrukumus, lai novērstu pikšķerēšanas un sociālās inženierijas uzbrukumus.
Kopsavilkuma domas
Kibernoziedznieki vienmēr meklē jaunus veidus, kā apmānīt lietotājus ar mērķi nozagt viņu naudu un sensitīvu informāciju, tāpēc ir svarīgi izglītot sevi un apkārtējos. Internets nodrošina drošu patvērumu šāda veida krāpniecībai, kas ir īpaši izplatīta kriptovalūtu jomā. Tāpēc esiet piesardzīgs un modrs, lai neiekristu sociālās inženierijas lamatās.
Turklāt ikvienam, kurš nolemj tirgoties vai investēt kriptovalūtās, iepriekš jāveic pietiekama izpēte, lai nodrošinātu, ka viņiem ir laba izpratne par blokķēdes tehnoloģijas tirgu un darbības mehānismiem.