В более широком смысле, любой вид манипуляции, связанный с психологией человеческого поведения, можно считать социальной инженерией. Однако сама концепция не всегда связана с преступной или мошеннической деятельностью. На самом деле, социальная инженерия широко используется и изучается в различных направлениях, в таких областях как: социальные науки, психология и маркетинг.
Когда дело доходит до кибербезопасности, социальная инженерия реализовывается в скрытых мотивах и относится к ряду злонамеренных действий, в виде манипуляций людской деятельностью, направленной на получение личной или конфиденциальной информации, которая впоследствии может быть использована против них или их компании. Мошенничество с использованием личных данных является распространенным следствием подобных атак и во многих случаях приводит к значительным финансовым потерям.
Социальная инженерия зачастую представляется как киберугроза, но этот концепт существует на протяжении длительного времени, и данный термин также может использоваться в отношении реальных мошеннических схем, которые обычно включают в себя выдачу себя за должностное лицо или IT-специалиста. Однако появление интернета значительно облегчило хакерам осуществление манипуляций в более широком масштабе, и к сожалению, эти злонамеренные действия также происходят в среде криптовалют.
Как это работает?
Все типы социальной инженерии опираются на слабые стороны человеческой психологии. Мошенники пользуются человеческими эмоциями, чтобы манипулировать и обманывать своих жертв. Людской страх, жадность, любопытство и даже готовность помогать другим, обращаются против них различными способами. Среди множества видов вредоносной социальной инженерии “фишинг”, безусловно является одним из наиболее распространенных и известных примеров.
Фишинг
Фишинговые имейлы часто имитируют почтовую рассылку от имени реальной компании, такой как сеть национальных банков, авторитетный интернет-магазин или email провайдер. В некоторых случаях эти электронные письма-клоны будут предупреждать пользователей о том, что их аккаунт нуждается в обновлении, либо проявляет необычную активность, требуя от них предоставления личной информации в качестве способа подтверждения своей личности, чтобы упорядочить аккаунт. Из-за страха, некоторые люди быстро переходят по ссылкам и оказываются на фальшивом веб-сайте, куда предоставляют необходимые злоумышленникам данные.
Лжеантивирус
Методы социальной инженерии также применяются для распространения так называемых Лжеантивирусов. Как уже следует из названия, лжеантивирус - это разновидность вредоносного ПО, разработанная для запугивания и шокирования пользователей. Как правило, это связано с уведомлением о ложных угрозах, которые пытаются обманом заставить жертву установить вредоносное программное обеспечение, которое на вид как официальное, или получить доступ к веб-сайту, который заражает их систему. Такая техника часто основывается на страхе пользователей подвергнуть риску свою систему, тем самым убеждая их нажать на веб-баннер или всплывающее окно. В сообщениях обычно говорится что-то вроде: “Ваша система заражена, нажмите здесь, чтобы устранить угрозу”.
Приманка
Приманка является еще одним методом социальной инженерии, который вызывает проблемы у многих невнимательных пользователей. Она включает в себя использование различных приманок для привлечения жертв основываясь на их жадности или любопытстве. Например, мошенники могут создать сайт, который предлагает что-то бесплатно, например: музыку, видео или книги. Но чтобы получить доступ к этим файлам, пользователям необходимо создать аккаунт, указав свою личную информацию. В некоторых случаях учетная запись не требуется, поскольку файлы напрямую заражены вредоносным ПО, которое проникает в компьютерную систему жертвы и собирает их конфиденциальные данные.
Такая схема также может произойти за рамками интернет серфинга, благодаря использованию USB-накопителей и внешних жестких дисков. Мошенники могут преднамеренно оставлять зараженные устройства в общедоступном месте, поэтому любой любопытный человек, который возьмет его, чтобы проверить содержимое, в конечном итоге заразит свой персональный компьютер.
Социальная инженерия и криптовалюты
Жадный менталитет может привести к довольно большим последствиям, когда речь заходит о финансовых рынках, делая трейдеров и инвесторов особенно уязвимыми для фишинговых атак, схем Понзи, пирамид и других видов мошенничества. В блокчейн индустрии волнение, которое вызывают криптовалюты, привлекает многих новичков в эту среду за относительно короткий период времени (особенно в период бычьего рынка).
Несмотря на то, что многие люди не до конца понимают, как работает криптовалюта, они часто слышат о потенциалах этого рынка генерировать прибыль и в конечном итоге инвестировать без проведения соответствующих исследований. Социальная инженерия особенно важна для новичков, так как они часто попадают в ловушку собственной жадности или страха.
С одной стороны, стремление новичков быстро получить прибыль и заработать легкие деньги в конечном итоге заставляет их преследовать ложные обещания о проведении giveaway и airdrop. С другой стороны, страх того, что их личные данные будут скомпрометированы, может побудить пользователей заплатить выкуп. В некоторых случаях реального заражения вирусом-вымогателем (aka. ransomware) не происходит, и пользователи являются жертвами ложного сигнала или сообщения, созданного хакерами.
Как предотвратить атаку социального инженера
Как уже упоминалось, социальные атаки работают только потому, что они взывают к нашей человеческой природе. Они обычно используют страх в качестве основного мотиватора, побуждая людей действовать немедленно, чтобы защитить себя (или свою систему) от серьезной угрозы. Атаки также основаны на человеческой алчности, заманивая жертв в различные виды инвестиционного мошенничества. Поэтому важно иметь в виду, что если предложение выглядит слишком хорошо, чтобы быть правдой, то вероятнее всего вас обманывают.
В то время как некоторые мошенники довольно утонченны в этом, другие же совершают видимые ошибки. Некоторые фишинговые письма и даже фейковые баннеры часто содержат синтаксические или словесные ошибки и эффективны только для тех, кто не уделяет достаточного внимания грамматике и орфографии, так что будьте внимательны.
Чтобы не стать жертвой социально инженера, вы должны придерживаться следующие мер безопасности:
- Проконсультируйте семью и друзей. Расскажите им о распространенных случаях вредоносной социальной инженерии и об основных принципах безопасности;
- Будьте осторожны с вложениями в имейлах и ссылках. Не переходите на объявления и сайты от неизвестного источника;
- Установите надежный антивирус и регулярно обновляйте свои приложения и операционную систему;
- Всегда используйте многофакторную аутентификацию, чтобы защитить свои аккаунты, электронную почту и другие данные. Настройте двухфакторную аутентификацию (2FA) для своего аккаунта Binance;
- Для бизнеса: подумайте о том, чтобы подготовить своих сотрудников к выявлению и предотвращению фишинговых атак и схем социальной инженерии.
Заключение
Киберпреступники постоянно ищут новые, более совершенные способы обмануть пользователей, стремясь завладеть их средствами и конфиденциальной информацией, поэтому очень важно знать об этом и уведомить окружающих. Интернет предоставляет пространство для мошенников такого типа, и они особенно часто встречаются в криптовалютной среде. Будьте осторожны и бдительны, чтобы не попасть в ловушку социального инженера.
Кроме того, любой кто решит торговать или инвестировать в криптовалюту, должен провести предварительное исследование и убедиться в том, что он хорошо понимает как принципы работы рынка, так и аспекты технологии блокчейн.