На более макроуровне любое действие, связанное с поведенческой психологией, можно считать социальной инженерией. Однако это понятие не всегда связано с преступной или мошеннической деятельностью. Фактически, социальная инженерия широко используется и изучается в таких областях, как социальные науки, психология и маркетинг.
Когда дело доходит до кибербезопасности, социальная инженерия подразумевает ряд злонамеренных действий, которые пытаются манипулировать людьми и заставить их вести себя плохо со скрытыми мотивами, например, кража личной информации, которая впоследствии может быть использована для кражи личной или конфиденциальной информации их компании. Мошенничество с личными данными является частым последствием подобных атак и во многих случаях приводит к значительным финансовым потерям.
Социальную инженерию часто считают киберугрозой, но эта концепция существует уже давно, и этот термин также может быть связан с реальным мошенничеством, часто связанным с выдачей себя за аудитора или ИТ-эксперта. Однако появление Интернета облегчило хакерам проведение манипулирующих атак в более широком масштабе, и, к сожалению, эти вредоносные действия также происходят в пространстве криптовалют.
Как это работает?
Все виды социальной инженерии опираются на слабости человеческой психологии. Мошенники используют эмоции, чтобы манипулировать и обманывать своих жертв. Они охотятся на страхах людей, жадности, любопытстве и даже на их желании помочь другим. Среди различных вредоносных действий социальной инженерии фишинг является одним из наиболее распространенных и известных случаев.
Фишинг
Фишинговые электронные письма часто имитируют электронные письма от законных компаний, таких как национальные банки, сетевые магазины, авторитетные интернет-магазины или поставщики услуг электронной почты. В некоторых случаях эти мошеннические электронные письма предупреждают пользователей о том, что их учетные записи нуждаются в обновлении или о том, что произошла необычная активность, и просят их предоставить личную информацию для подтверждения своей личности и управления своей учетной записью. Из-за страха некоторые пользователи сразу же нажимают на ссылку и переходят на поддельный сайт, предоставляя преступникам необходимые данные. В этот момент информация окажется в руках хакеров.
Угрозы
Методы социальной инженерии также используются для распространения так называемого «пугающего ПО». Как следует из названия, угрозы — это тип вредоносного ПО, предназначенный для запугивания и угроз пользователям. Они часто включают в себя создание ложных предупреждений с целью заставить жертв установить мошенническое программное обеспечение, выглядящее как законное, или заставить пользователей посещать веб-сайты с целью заражения их систем. Этот метод обычно основан на страхе пользователей, что их системы были скомпрометированы, и побуждает их нажимать на веб-баннеры или всплывающие окна. В этих сообщениях обычно говорится: «Ваша система заражена, нажмите здесь, чтобы очистить ее».
обманывать
Фишинг — это еще одна форма социальной инженерии, которая вызывает проблемы у многих неосторожных пользователей. Обычно используется жадность или любопытство пользователя для заманивания жертв. Например, мошенник может создать веб-сайт, предлагающий бесплатный контент, например музыкальные файлы, видео или книги. Чтобы получить доступ к этим файлам, пользователям обычно необходимо создать учетную запись и предоставить свою личную информацию. В некоторых случаях создание учетной записи может не потребоваться, поскольку загруженные файлы также могут быть напрямую заражены вредоносным ПО, которое проникнет в компьютерную систему жертвы и соберет ее конфиденциальные данные.
В реальной жизни фишинг также может осуществляться с использованием USB-накопителей и внешних жестких дисков. Мошенники могут намеренно оставлять зараженное устройство в общественном месте, заманивая любопытных людей проверить его и просмотреть его содержимое, в конечном итоге заражая их персональные компьютеры.
Социальная инженерия и криптовалюта
Жадный менталитет может быть очень опасным, когда дело касается финансовых рынков, а трейдеры и инвесторы особенно уязвимы для фишинга, схем Понци и финансовых пирамид, а также других видов мошенничества. В индустрии блокчейнов внимание, вызванное криптовалютами, привлекло в эту область много новых людей за относительно короткий период времени (особенно во время бычьего рынка).
Хотя многие люди не до конца понимают, как работают криптовалюты, они часто слышат новости о потенциале рынка для получения огромной прибыли и слепо инвестируют, не проводя адекватных исследований. Социальная инженерия особенно важна для новичков, поскольку они часто попадают в ловушку собственной жадности или страха.
С одной стороны, желание быстро получить прибыль и заработать деньги заставит новичков гнаться за ложными выгодами и верить обещаниям airdrop. С другой стороны, пользователи могут опасаться, что их личные файлы будут скомпрометированы, и платить выкуп. В некоторых случаях пользователи просто обманываются фальшивыми оповещениями или сообщениями, созданными хакерами, и на самом деле не заражаются программами-вымогателями.
Как предотвратить атаки социальной инженерии
Как упоминалось ранее, мошенничество с помощью социальной инженерии работает только потому, что оно эксплуатирует человеческие слабости. Они часто используют страх в качестве мотиватора, побуждая людей предпринимать немедленные действия, чтобы защитить себя (или свои системы) от нереальной угрозы. Некоторые атаки социальной инженерии также основаны на человеческой жадности, чтобы заманить жертв в различные виды инвестиционного мошенничества. Поэтому важно помнить: если предложение кажется слишком хорошим, чтобы быть правдой, скорее всего, это мошенничество.
Хотя некоторые мошенники искушены, среднестатистические злоумышленники допускают очевидные ошибки. Заголовки некоторых фишинговых писем и угроз часто содержат грамматические или орфографические ошибки, которые обычно вводят в заблуждение только неосторожных людей, поэтому будьте осторожны.
Чтобы не стать жертвой атаки социальной инженерии, вам следует обратить внимание на следующие меры безопасности:
Обучайте себя, семью и друзей. Научите их типичным примерам вредоносной социальной инженерии и познакомьте их с ключевыми принципами безопасности.
Будьте осторожны при работе с вложениями и ссылками электронной почты. Не нажимайте на рекламу и веб-сайты из неизвестных источников;
Установите подлинное антивирусное программное обеспечение, чтобы поддерживать актуальность ваших программных приложений и операционной системы;
Если вы хотите защитить свои учетные данные для входа в электронную почту и другие личные данные, используйте решение многофакторной аутентификации. Например, настройка двухфакторной аутентификации (2FA) для вашей учетной записи Binance.
Для предприятий: сотрудники должны иметь возможность выявлять атаки социальной инженерии, чтобы предотвратить фишинг и атаки социальной инженерии.
Итоговые мысли
Киберпреступники всегда ищут новые способы обмануть пользователей с целью украсть их деньги и конфиденциальную информацию, поэтому важно обучать себя и окружающих. Интернет обеспечивает безопасную гавань для подобных видов мошенничества, которые особенно распространены в сфере криптовалют. Поэтому будьте осторожны и бдительны, чтобы не попасть в ловушки социальной инженерии.
Кроме того, любой, кто решает торговать или инвестировать в криптовалюты, должен заранее провести достаточное исследование, чтобы убедиться, что он хорошо понимает рынок и рабочие механизмы технологии блокчейн.