Технологии 21 июля 2020

Илон Маск и Билл Гейтс — жертвы социальной инженерии, вы можете быть следующими. Рассказываем, как защититься

Аккаунты Илона Маска, Билла Гейтса и других знаменитостей были взломаны в Твиттере — одна из самых масштабных в мире атак на страницы селебрити произошла на прошлой неделе. Миллиардеры, звезды шоу-бизнеса, влиятельные спортсмены и политики поневоле оказались замешанными в аферы: в их микроблогах появились сообщения о заработке. Пользователям предлагалось перевести деньги на биткоин-кошельки с возвратом суммы в двойном размере. В результате мошенники успели заработать около $ 100 000. Предполагается, что они использовали метод социальной инженерии: рассылали сотрудникам Твиттера поддельные (так называемые фишинговые) письма, чтобы войти в доверие и под вымышленным предлогом узнать пароли от аккаунтов.

Мошеннические методы социальной инженерии набирают обороты по всему миру. Например, в России, Беларуси, Украине с приходом пандемии появилась масса сайтов, которые под предлогом помощи больным узнают данные о пин-кодах с карточек, пароли к интернет-банкингу. В результате деньги переводятся добровольно или похищаются со счетов и физлиц, и компаний. Как защититься? Комментирует Александр Хмыль, руководитель проекта HostFly.by.

— Мошенники в последнее время все чаще прибегают к механизмам социальной инженерии, как в интернете, так и за пределами Глобальной сети.

Александр Хмыль, руководитель проекта HostFly.by — Александр Хмыль. Фото из личного архива

Вот несколько примеров:

1. Недавно жителей Беларуси потрясли случаи массового телефонного «взлома», когда доверчивые владельцы банковских карт — по телефону — сами давали доступ мошенникам к своему интернет-банку.

Как это работает? Тут очень важно понимать, что смысл всех манипуляций, которые предпринимают злоумышленники, сводится к тому, чтобы расположить к себе жертву, войти к ней в доверие. Чтобы человек поверил, нужны инструменты социальной инженерии. Во время телефонных звонков мошенники представлялись работниками банка и в разговоре использовали термины, которые рядовому человеку могут показаться профессиональными. Они говорили быстро, не давая времени на размышление, моделировали ситуацию, которая требовала быстрой реакции. Как результат, человек терялся и выдавал конфиденциальную информацию о паролях, номерах счетов и т.д.

2. В интернете с началом пандемии произошел взрывной рост количества фишинговых сайтов: появились якобы «государственные» порталы по выплате пособий, покупке средств защиты и других товаров и услуг, востребованных многими людьми. Дошло до того, что появились поддельные сайты по выплате помощи пострадавшему бизнесу. И люди охотно вовлекались! Они вводили номера кредитных карт и коды безопасности. И вместо помощи у них снимали деньги.

Самый вопиющий случай — сайт по продаже вакцины от коронавируса. И люди «покупали» ее, несмотря на тысячи сообщений, что вакцина еще не готова и будет только через год. Злоумышленникам достаточно было подключить к обработке заказов человека, который сыпал медицинскими терминами и уточнял противопоказания. И эта схема социальной инженерии сработала.

Принцип остается прежним: жертва злоумышленников должна им доверять или думать, что пользуется проверенным сервисом или интернет-банком. Самый распространенный способ обмана — мимикрия. Создаются сайты или сервисы, очень похожие на настоящие. После чего пользователей приглашают ими воспользоваться — по почте или через ссылки в социальных сетях.

Например, вы получаете письмо от банка, что вам нужно срочно ввести личные данные и остановить блокировку счета. Это нужно сделать очень быстро, ссылку вам предлагают, а переходя по ней вы видите привычный дизайн и лого банка. Отличить подделку с первого взгляда — сложно, плюс человека мотивируют не думать, сделать что-то очень быстро. Создается атмосфера спешки, необходимости принятия экстренного решения. Естественно, цель преступников — узнать актуальные сведения: номер и пин-карты, данные к интернет-банку.

3. Еще одна распространенная схема — это сборы пожертвований для больных или под какие-то проекты. В ней есть место как несуществующим просителям помощи, так и площадкам, которые собирают деньги, но не отправляют их нуждающимся или стартапам.

Слабое место — человек. На его восприятие, страхи, надежды и неосведомленность направлены такие атаки. Формула практическим всегда и везде одинаковая — усыпить бдительность, притвориться честным сервисом и получить информацию или деньги:

Люди всегда были и остаются очень доверчивыми. Некоторые до сих пор переводят деньги наследным принцам Африки — когда получают сообщения на электронную почту
Кроме доверчивости, чувство, в которое попадают мошенники, — желание заработать (получить часть наследства принца), самоутвердиться. Мошенники пытаются надавить на все грани нашего восприятия.

Чтобы защититься от обмана в Сети, нужно:

1. Научитесь правильно реагировать на просьбы, которые вы получаете в почте или социальных сетях. Помните, что маркер социальной инженерии в Сети — это слово «срочно» и его синонимы.

2. Не спешите бросать все дела и быстро выполнять инструкции, которые вы получили. Замедлите процесс, задайте наводящие вопросы. Сомневаетесь — проконсультируйтесь по телефону со специалистом.

Помните, что банки, государственные ведомства (правоохранительные органы, суды) не используют электронные каналы связи как единственные. Не поленитесь позвонить в банк или в госорган, который прислал требование.

3. Проверяйте сайты, на которых вы совершаете действия, связанные с финансами. Обратите внимание на имя в адресной строке, а также то, кому был выдан сертификат безопасности (нажмите на знак замочка в начале адресной строки). В сертификате указывается, кому он был выдан.

Вот пример (нажмите, чтобы увеличить):

Совпадают ли названия организации с теми, в которых вы обслуживаетесь или где должны внести свои данные.

4. Будьте разумными консерваторами, не спешите совершать действия, которые вызывают у вас подозрение. Если вы хотите пожертвовать деньги в Сети, прочитайте отзывы на сервис. Но помните, что и отзывы могут быть поддельными.

5. Опирайтесь на опыт других людей, но не доверяйте опыту одного или двух незнакомцев.

6. Относитесь подозрительно к просьбам дать доступ к электронной почте или аккаунту в социальных сетях. Через них можно получить другие ваши личные данные. Сейчас почта и социальные сети являются ключами для многих других сервисов. В том числе с их помощью можно получить данные ваших платежных карт. Например, если зайти через социальную сеть в ваш профиль сервиса по покупке билетов в кино.

Что же касается защиты техническими средствами, отмечу: существуют глобальные программы по защите людей в Сети от ловушек злоумышленников. Например, компания ICANN сотрудничает с некоторыми организациями, которые занимаются вопросами информационной безопасности. Они составляют черные списки доменных имен, с которых ведется опасная деятельность. Эти списки анализируют операторы во всем мире, дополняют их и передают властям. Борьба ведется постоянно, хотя это не заметно большинству пользователей.