Чтобы заполучить пароль от почтового ящика, необязательно быть хакером в популярном значении слова. Достаточно немного разбираться в людях и кое-что знать об их слабостях. По словам Кевина Митника, проще обманом выудить нужную информацию, чем пытаться взломать систему безопасности. Именно этим и занимаются социальные инженеры.

Поговорим о том, кто чаще всего становится жертвой современных мошенников, какие уязвимости помогают им получить желанную информацию и как минимизировать риск быть обманутым.

Кто под прицелом

«Жертвой социальных хакеров может стать любой пользователь Интернета. При этом мошенники могут устраивать как широковещательные атаки, например, спам-рассылка со ссылкой на вредоносный ресурс, так и точечные, направленные на конкретного человека», — говорит Андрей Врублевский, руководитель направления оптимизации и контроля сети компании КРОК.

Нет определенного типажа людей на который «охотятся» хакеры, их устраивают все типажи и все жертвы. Сергей Горин, врач-психиатр, психотерапевт, автор десяти монографий, создатель русскоязычной модели эриксоновского гипноза объясняет: «Xакеры «идут с широким бреднем», в который попадается как раз определённый типаж. Какой типаж? Люди пожилые. Люди, ослабленные болезнью. Люди уставшие. Люди, повышенно тревожные по какой-то личной или общественной причине. Люди, недавно перенесшие тяжёлую утрату. Повышенно суеверные. И, конечно, в группу риска попадают женщины: они и более внушаемы, и более суеверны, и более альтруистичны.

Наименее подвержены манипуляциям физически и психически здоровые мужчины в возрасте от 25 до 45 лет. Из женщин более устойчивы к дистанционному мошенничеству руководители любого ранга от 25 до 55 лет. Время суток для наивысшей устойчивости: с 9 до 13 часов и с 16 до 19 часов».

Когда речь идет об «охоте» на конкретного человека, то на него направляется разнообразный инструментарий ухищрений. Рано или поздно он утратит бдительность и выдаст заветную информацию. Поэтому никто не защищен. Как сказали братья Бадир: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком».

Какие уязвимости используют социальные инженеры

«В социальном хакерстве не обязательно использовать именно несовершенства психики, достаточно применить некоторые общие знания о её работе, эксплуатировать некоторые общие черты, свойственные массовому сознанию. Такими чертами чаще всего оказываются жадность и тщеславие — но может стать объектом эксплуатации и альтруизм, стремление помочь ближнему.

Есть также группа состояний, попадая в которые, человек на пару минут теряет бдительность, становится уязвимым для манипуляций; они называются состояниями повышенной внушаемости.

Например, в просоночном состоянии (почти заснув или почти проснувшись) люди весьма внушаемы, и если позвонить человеку очень ранним утром или очень поздним вечером, он плохо контролирует свой ответ — и может рассказать сведения, необходимые для хищения его денег со счёта. Человек растерянный, находящийся в замешательстве, застигнутый врасплох, в принципе повышенно уязвим для внушений — и если у него внезапно что-то спросить, он может сказать то, что привык скрывать», — объясняет Сергей Горин.

Доброта, как уязвимость

«Злоумышленники обычно взывают к нашим положительным качествам, благодаря которым человека можно считать хорошим и отзывчивым — это и готовность помочь другому в беде, и сопереживание, и милосердие. И вот, увидев сообщение о том, что человек потерялся, заболел или находится в любой другой беде, мы, привыкшие с малых лет помогать людям, бежим его спасать. Думаю, что нельзя называть такое поведение неправильным, и, конечно, нельзя отказаться от помощи другим из-за страха быть обманутым, поэтому главное — не быть чересчур доверчивым в своих лучших побуждениях и хотя бы немного подумать о возможных мотивах человека перед тем, как оказать ему помощь», — Петер Гъёнгёши, менеджер по продукту Blindspotter компании Balabit.

«Твой отжиг на корпоративе попал на youtube» и посложнее

«Ключевая цель хакера — получить доступ к электронной почте, т.к. именно к ней привязываются аккаунты в соцсетях и других сервисах. Несколько лет назад основным способом защиты от атак являлись контрольные вопросы, ответы на которые знает только владелец учетной записи. Однако «добыть» такую информацию для взломщика не составляет особого труда. 

Как правило, контрольные вопросы не отличаются большой оригинальностью (первый питомец, девичья фамилия матери и пр.), часть ответов на них можно и вовсе получить из тех же соцсетей (вроде номера школы, детского сада и родного города). Ответы злоумышленники также могут выманить. Например, если жертва — молодой человек, хакеры могут создать фейковую страницу в социальной сети с фотографиями привлекательной девушки и завести разговор от ее имени, «втереться» в доверие, утверждая, что учились вместе в университете или проводили лето на одном курорте. Так, между делом, задаются контрольные вопросы, и человек все рассказывает сам. 

Иногда к жертве подбираются через взлом аккаунтов друзей, что в последнее время случается довольно часто. Обычно это просьбы перевести деньги до зарплаты. Иногда банальные рассылки с темой «твой отжиг на корпоративе попал на youtube, щелкай сюда» тоже могут иметь эффект», — рассказывает Андрей Врублевский.

Как минимизировать риски

«Необходимо периодически менять контрольные вопросы на важных учетных записях, во-вторых, проявлять больше бдительности и не переходить по ссылкам, пришедшим от незнакомых адресатов, в-третьих, пользоваться (при наличии такой возможности) двухфакторной аутентификацией через смс, в-четвертых, использовать антивирусное программное обеспечение», — говорит Андрей Врублевский.

«Будьте максимально насторожены к телефонным звонкам с неизвестных номеров. Если звонок с неизвестного номера сразу срывается, и вы получаете с него несколько звонков, ни в коем случае не перезванивайте на этот номер. Неизвестный телефонный номер можно ввести в поиск Яндекса — часто в Интернете уже есть информация о телефонах мошенников.

Возьмите в привычку не брать телефонную трубку после 23 часов и до 7 часов утра — кстати, на многих аппаратах есть возможность блокировки принимаемых звонков в указанное вами время.

И если у вас требуют срочно ответить на вопрос, возьмите паузу под любым предлогом — эта срочность нужна мошеннику, а не вам», — рекомендует Сергей Горин.

А вы когда-нибудь сталкивались с социальными хакерами? Какие приемы они использовали?