В начале нулевых, когда Интернет продолжал набирать популярность среди россиян, некоторые юные пользователи, жаждавшие изучить цифровое пространство, сталкивались с непреодолимым препятствием — паролем для входа в компьютер.


Родители считали этот шаг необходимым. Во-первых, чтобы защитить самих детей. Во-вторых, чтобы их увлечённость Интернетом не сказалась на учёбе. И в-третьих, чтобы любопытство ребёнка не стоило им денег. Но, как известно, запретный плод сладок, и особо упорные девчонки и мальчишки (в основном последние) пытались подобрать пароль — подставить даты рождения мам и пап, их любимые цвета, марки машин.

У некоторых получалось, но большинство юных хакеров оставались ни с чем. Поэтому они начинали аккуратно интересоваться у взрослых, что им нравится, как звали их первого питомца или какие у них самые любимые фильмы или музыкальные исполнители. Получив эту информацию, дети вновь приступали к подбору пароля, и если ничего не выходило, то они продолжали сбор данных. Тогда ребята ещё не знали, что их действия можно отнести к социальной инженерии.

Сегодня этот термин всё чаще всплывает в заметках о мошенничестве или об отчётах компаний, занимающихся кибербезопасностью. Почему? Связь цифровой и реальной жизни человека, как известно, с каждым годом становится всё более тесной. Сетевые злоумышленники, которые всегда идут в ногу со временем, сочетают методы социальной инженерии с вредоносными программами и пользуются алчностью и любопытством пользователей, не имеющих должного уровня цифровой грамотности. В их число входят не только бабушки и дедушки, которые с трудом справляются со смартфоном, но и офисные работники и сотрудники финансовых организаций, работающие с важной документацией и секретной информацией.

Сергей Булкин/News.ru

Социальная инженерия стала основным способом кражи денег у людей, который используют кибермошенники, писал News.ru в середине июня. Только в России, по словам заместителя председателя правления Сбербанка Станислава Кузнецова, в 80% случаев злоумышленники пытаются таким образом похитить средства клиентов банков. Кибератаки на банки и их клиентов с использованием социальной инженерии ежемесячно растут на 4–6%, при этом в подавляющем большинстве случаев — 79% — люди отдают кибермошенникам свои деньги сами, поддавшись на уловки недоброжелателей.

Вы — самое слабое звено

Старший контент-аналитик «Лаборатории Касперского» Татьяна Сидорина называет социальную инженерию набором различных техник. С их помощью злоумышленники выманивают у пользователей конфиденциальную информацию или же побуждают их совершить определённые действия, которые помогут проникнуть, например, в сеть компании.

По словам эксперта, злоумышленники активно пользуются тем фактом, что самым слабым звеном с точки зрения информационной безопасности был и остаётся человек. И это действительно правда, поскольку сегодня благодаря разнообразию соцсетей собрать информацию о жертве очень легко. А опытные кибермошенники, в том числе разбирающиеся и в психологии, могут использовать в своих незаконных целях даже минимальные знания о юзере. Например, один из широко распространённых способов мошенничества сегодня — звонок якобы от имени службы поддержки или безопасности банка.

Мошенник, притворяющийся сотрудником финансового учреждения, очень убедительно просит сообщить информацию, необходимую для получения доступа к счетам пользователя в онлайн-банке, или данные банковской карточки, якобы чтобы заблокировать подозрительные транзакции. Причём если злоумышленник к тому же обладает какой-то личной информацией о пользователе, то такой разговор может выглядеть ещё более достоверным.

Татьяна Сидорина

старший контент-аналитик «Лаборатории Касперского»

Другой распространённый способ — внедрение в компьютеры жертв вредоносных программ вроде «червей» или троянов, посредством социальных сетей, электронной почты или мессенджеров. В этом случае основная задача мошенников заключается в том, чтобы заставить человека по ту сторону кликнуть на опасную ссылку. Результат может быть разным: одни вредоносы после установки ищут логины и пароли, другие крадут файлы, третьи могут передавать хакерам контроль над устройством.

Например, в конце июня News.ru писал о всплеске активности вируса-шифровальщика Troldesh (Shade) в российских компаниях. Киберпреступники маскировались под сотрудников крупных авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и СМИ (РБК, «Новосибирск-online»), отправили более 1100 заражённых фишинговых писем, всего же во втором квартале 2019 года их количество превысило 6 тыс.

Ловись, рыбка

Но одним из самых распространённых методов на сегодняшний день эксперты называют фишинг, схема которого очень проста: пользователю обычно предлагается оставить личные или платёжные данные, которые затем «переходят» мошенникам. Как отмечает старший контент-аналитик «Лаборатории Касперского», злоумышленники действительно уже очень давно и эффективно используют этот вид интернет-мошенничества. Они научились создавать качественно свёрстанные поддельные сайты банков, государственных организаций и онлайн-магазинов, которые на первый взгляд не так просто отличить от настоящих.

Сидорина также добавила, что злоумышленники часто создают странички для проведения платных опросов якобы от лица известных брендов: пользователю сообщают, что он в конце может стать участником лотереи и получить очень крупную сумму.

Ответив на несколько несложных вопросов, пользователь получает сообщение, что ему повезло и он может получить свои деньги, но для этого необходимо заполнить ряд форм, а также оплатить комиссию в размере нескольких сотен рублей, для чего просят ввести данные банковской карты. Если пользователь введёт необходимые данные, то он рискует потерять гораздо больше обозначенной суммы, — рассказала эксперт.

Сергей Булкин/News.ru

Мошенники следят за трендами и используют их, чтобы наживаться на ничего не подозревающих юзерах. Поклонников «Игры престолов», ждавших этой весной финальный сезон популярного шоу, обманывали фишинговыми сайтами, замаскированными под стриминговые сервисы. Злоумышленники заманивали жертв отрывком из нужного им эпизода, по окончании которого их переводили на специальную страницу регистрации, где требовалось ввести данные банковской карты.

Как защититься

Социальной инженерии можно противостоять, если соблюдать несколько простых правил, то и ваши деньги, и ваши данные останутся защищёнными. Самое главное, как советует старший контент-аналитик «Лаборатории Касперского», — не поддаваться сиюминутным порывам и помнить, что социальная инженерия работает, потому что она выглядит и звучит очень правдоподобно. Более того, если речь идёт, например, о телефонном мошенничестве, то тут, как правило, злоумышленники звонят рано утром или поздно вечером, чтобы звонок был неожиданным.

Если вам звонят по поводу вашего банковского счёта и очень настойчиво что-то требуют — к такому звонку стоит отнестись скептически. Никогда и никому не сообщайте CVV и полученный в СМС код, а также другую информацию о карте, — предупреждает Сидорина.

Для защиты от фишинга стоит установить на все устройства защитные программы и помнить: если что-то кажется слишком хорошим, чтобы быть правдой, скорее всего, это обман. Кроме того, не стоит переходить по подозрительным ссылкам в почте и мессенджерах, даже если их присылает знакомый человек. А прежде чем оставить свои платёжные данные на сайте, проверьте, правильно ли написано его название в адресной строке. Активным сетевым шопоголикам эксперт советует завести отдельную карту для онлайн-покупок и хранить на ней небольшую сумму денег.