Примеры и методы социальной инженерии

Методы социальной инженерии в сети: манипуляция сознанием пользователей и эксплуатация их интересов. Примеры мошеннических схем. Комбинированные модели хакинга (социальная инженерия + внедрение вирусов).
Методы социальной инженерии.

Социальная инженерия: взлом сознания — потом ПК

 
Социальная инженерия — несанкционированный доступ к конфиденциальной информации посредством манипуляции сознанием человека. Методы социальной инженерии базируются на особенностях психологии и направлены на эксплуатацию человеческих слабостей (наивность, невнимательность, любопытство, коммерческие интересы). Активно используются социальными хакерами как в сети Интернет, так и вне её. 
 
Впрочем, касательно цифровых технологий, веб-ресурсов, компьютеров, смартфонов — «затуманивание мозгов» пользователей сети происходит несколько по-другому. «Силки», «капканы» и другие уловки мошенники расставляют где угодно и как угодно, в соцсетях, на геймерских порталах, в электронных почтовых ящиках и онлайн-сервисах. Вот лишь некоторые примеры методов социальной инженерии:
 

В подарок на праздник... троянский конь 

 
Независимо от характера, профессии, финансовой состоятельности, каждый человек ждёт праздников: Новый Год, 1 мая, 8 марта, День святого Валентина и т.д., чтобы, естественно, отметить их, отдохнуть, наполнить свою душевную ауру позитивом и, попутно, обменяться со своими друзьями-товарищами поздравлениями. 
 
В этот момент социальные хакеры особенно активны. В предпраздничные и праздничные дни они рассылают на аккаунты почтовых сервисов открытки: яркие, красочные, с музыкальным сопровождением и... опасным вирусом троянцем. Жертва ничего не ведая о таком коварстве, пребывая в эйфории веселья либо, просто, любопытства кликает по открытке. В то же мгновенье зловред инфицирует ОС, а затем ждёт удобного момента, чтобы похитить регистрационные данные, номер платёжной карты либо подменить веб-страницу интернет-магазина в браузере на фейковую и украсть деньги со счёта. 
 
 

Выгодная скидка и вирус «в нагрузку»

 
Отличный пример социальной инженерии. Желание «сэкономить» свои кровно заработанные вполне оправдано и объяснимо, но в разумных пределах и при определённых обстоятельствах. Это о том, что «не всё золото, что блестит». 
 
Жулики под личиной крупнейших брендов, интернет-магазинов и сервисов, в соответствующем оформлении, предлагают купить товары по неимоверной скидке и плюс к покупке — получить подарок... Делают поддельную рассылку, создают группы в соцсетях и тематические «ветки» на форумах.
 
Наивные обыватели, что называется, «ведутся» на эту яркую коммерческую афишу: впопыпах в голове пересчитывают сколько осталось с зарплаты, аванса и кликают ссылку «купить», «перейти на сайт для покупки» и т.д. После чего, в 99 из 100 случаев, вместо выгодного приобретения, получают вирус на свой ПК либо безвозмездно отправляют денежки социальным хакерам. 
 

Геймерский донат +300% к навыкам воровства

 
В онлайн-играх, да и вообще в мультиплеерных играх, за редкими исключениями, выживает сильнейший: у кого крепче броня, урон, сильнее магия, больше здоровья, маны и т.д. 
 
И, конечно, каждый геймер хочет во что бы то ни стало добыть для своего перса, танка, самолёта и ещё ни бог весть чего эти заветные артефакты. В боях или в походах, собственноручно или за реальные деньги (функция доната) в виртуальном магазине игры. Чтобы быть лучшим, первым... достичь последнего уровня развития.
 
Мошенники знают об этих «геймерских слабостях» и всячески искушают игроков приобрести заветные артефакты, умения. Иногда за деньги, иногда бесплатно, но это сути и цели злодейской схемы не меняет. Заманчивые предложения звучат на фейковых сайтах примерно так: «скачай это приложение», «установи патч», «для получения предмета зайди под своим логином/паролем в игре». 

Взамен долгожданного бонуса у геймера воруют аккаунт. Если он отлично «прокачан», похитители его продают или выуживают с него платёжные данные (если таковые имеются). 
 

Вредоносное ПО + социальная инженерия = гремучая смесь коварства

 
В обмане, как и в любви, все средства хороши. Особенно, при распространении рекламных модулей, вирусов, шпионов и другой цифровой нечисти. И цель хакеров понятна и ясна: заразить как можно больше компьютеров и эксплуатировать их в своих целях («слив» данных, зомбо-сети). Если им не удаётся обойти антивирусную защиту, они пытаются «взломать» сознание пользователя... и, к сожалению, это им сделать удаётся.
 

Осторожно иконки!

 
Многие пользователи орудуют мышкой в ОС на «автопилоте»: клик туда, сюда; открыл это, то, другое. Редко, кто из них присматривается к типу файлов, их объёму и свойствам. А вот и зря. Хакеры маскируют исполняемые файлы зловредов под обычные папки Windows, картинки или доверенные приложения, то есть внешне, визуально, их не различишь. Пользователь кликает по папке, её содержимое, естественно, не открывается, ибо это вовсе не папка, а инсталлятор вируса с раcширением .exe. И зловред «в тихую» проникает в ОС. 
 
Верное «противоядие» от таких хитростей — файловый менеджер Total Commander. В отличие от интегрированного проводника Windows, он отображает всю подноготную файла: тип, объём, дату создания. Наибольшую потенциальную опасность для системы представляют неизвестные файлы с расширениями: «.scr», «.vbs», «.bat», «.exe».
 

Страх подогревает доверие

 
В сети есть особая категория мошеннических сайтов, «запугивающих» посетителей. Они действуют по следующей схеме:
  1. Пользователь открывает «сайт-страшилку», и ему тут же сообщают пренеприятнейшую новость, или даже новости: «ваш ПК заражён опаснейшим трояном», «в вашей ОС обнаружено 10, 20... 30 вирусов», «с вашего компьютера рассылается спам» и т.д. 
  2. И сразу же предлагают (проявляют «заботу») установить антивирус и, следовательно, решить озвученную на сайте проблему безопасности. И самое главное совершенно бесплатно. 
  3. Если посетителя одолевает страх за свой ПК, он проходит по ссылке и скачивает... только не антивирус, а ложный антивирус — подделку напичканную вирусами. Устанавливает и запускает — последствия соответствующие. 
 
Тут необходимо сказать, что социальные хакеры делают подделки достаточно искусные — внешний интерфейс от фирменных антивирусных продуктов практически не отличишь. Эта ловушка, безусловно, рассчитана на неграмотных и неопытных пользователей. 
 
Пример мошеннического сайта-антивируса
 
  • Во-первых, веб-сайт не может в одно мгновенье ока проверить ПК посетителя и выявить зловредов. 
  • Во-вторых, свои антивирусы, будь они платные или бесплатные, разработчики распространяют через свои, то бишь официальные, сайты. 
  • И, наконец, в-третьих, если есть сомнения и страх по поводу «чистая» ОС или нет, лучше проверить системные раздел, тем что имеется, то есть установленным антивирусом. 

Подводя итоги

 
Психология и хакинг сегодня идут рука об руку — тандем эксплуатации человеческих слабостей и программных уязвимостей. Пребывая в сети Интернет, в праздники и будни, днём или ночью, и неважно в каком настроении, в обязательном порядке нужно проявлять бдительность, подавлять наивность, отгонять наития коммерческой наживы и чего-то «бесплатного». Ибо, как известно, за просто так раздаётся только сыр и только в мышеловке. Создавайте только устойчивые ко взлому пароли, храните их в надежных местах и оставайтесь с нами, поскольку, как известно, безопасности много не бывает.
 
 
На этом мы заканчиваем наш рассказ о том, на какие ухищрения идут хакеры, чтобы раздобыть ваши пароли, а осилившим дочитать эту статью до конца дарим бонус - ссылку на сервис Генератор случайных личностей и профилей
 
Генератор профилей и случайных личностей.
 
С его помощью можно значительно упростить процесс регистрации и авторизации на любых сайтах, форумах и соц. сетях. Для этого при регистрации на каком-либо сайте генерируем профиль, копируем из него нужные поля на сайт, удаляем ненужные поля в профиле, скачиваем и сохраняем на компьютере созданный профиль с пометкой названия сайта, где его использовали. Папку с такими файлами рекомендуем архивировать с установкой пароля (при выборе настроек архивирования переключаемся на вкладку "Дополнительно"- "Установка пароля"). Готово. 
 
В следующий раз при авторизации на этом ресурсе достаточно открыть (с помощью ворда) файл с нужным названием и вуаля - вся необходимая информация о входе в аккаунт в одном месте.
 
Кроме этого, с его помощью можно придумать себе интересное фото на аватар для инстаграмма, Вконтакте и других соц.сетей.
 
Сохраняем в закладки, пользуемся и делимся в соцсети с друзьями!
 
Безопасности много не бывает, оставайтесь с нами!
 
 
 
Читать дальше:
 

Прослушка мобильного телефона

Как прослушиваются мобильные телефоны. Алгоритмы шифрования мобильной связи. Способы защиты мобильного телефона от прослушки