Более подробную информацию о Брюсе Шнайере смотрите по ссылкам:
• блог Брюса Шнайера: https://www.schneier.com;
• рассылка Брюса Шнайера Crypto-Gram newsletter: https://www.schneier.com/crypto-gram/;
• книги Брюса Шнайера: https://www.amazon.com/Bruce-Schneier/e/B000AP7EVS/.
В компьютерном мире социальная инженерия – это методы побудить человека сделать что-то нехорошее для себя или других людей. Это одна из наиболее распространенных форм взлома, потому что часто успешна. И самая неприятная для специалистов по ИБ, потому что ее нельзя предотвратить только с помощью технологий.
Социальная инженерия может быть реализована многими способами, в том числе через Интернет, по телефону, лично или посредством традиционной почты. Ее разновидностей так много, что нередко в списках, претендующих на полноту их перечисления, некоторые из видов или способов отсутствуют. Социальная инженерия, реализуемая с помощью компьютера, использует электронную почту или Интернет, а также службы обмена мгновенными сообщениями и компьютерные программы практически любого типа.
Распространенная цель социальной инженерии – перехват учетных данных пользователя в процессе так называемого фишинга. Фишинговые сообщения электронной почты или веб-сайты пытаются обмануть пользователя и заставить его указать свои реальные учетные данные для авторизации, имитируя легитимный веб-сайт или администратора-отправителя, с которым конечный пользователь знаком. Наиболее распространенная фишинговая атака – это электронное письмо якобы от администратора сайта, утверждающего, что учетные данные пользователя должны быть проверены, иначе доступ к сайту будет прекращен.
Целевой фишинг — это тип фишинга, который нацелен против конкретного человека или группы людей с применением непубличной информации, которой владеет цель атаки. Например, отправка сотрудникам документа по электронной почте якобы от участника проекта: при его открытии файл выполняет вредоносные команды. Целевой фишинг часто упоминается во многих самых громких корпоративных скандалах.
Другой популярный прием социальной инженерии используется, чтобы заставить ничего не подозревающего конечного пользователя выполнить программу троянского коня. Она может быть отправлена по электронной почте, в виде файлового вложения или скачиваться по указанному в письме URL-адресу. Такой вредоносный код часто выполняется и на веб-сайтах. Легитимные сайты могут быть скомпрометированы, и когда пользователь загружает страницу, он видит инструкции по загрузке и запуску файла. Файл может быть «необходимым» сторонним дополнением, поддельным антивирусным приложением или «обязательным» патчем. Может быть скомпрометирован как непосредственно сам легитимный веб-сайт, так и независимый элемент на нем, например сторонний рекламный баннер. В любом случае, у пользователя, который доверяет сайту после многих лет его посещения, нет оснований подозревать, что он мог быть скомпрометирован.
Мошенники также звонят пользователям, которым может понадобиться техническая поддержка, от имени популярного разработчика, из государственного учреждения или компании.
Одна из самых популярных афер по телефону – когда мошенник звонит якобы от лица техподдержки, утверждая, что на компьютере пользователя была обнаружена вредоносная программа. Затем он просит загрузить «антивирусную» программу, которая, что неудивительно, обнаруживает множество вредоносных объектов. Мошенник побуждает загрузить и выполнить программу удаленного доступа, которую затем использует для авторизации на компьютере жертвы, чтобы внедрить другое вредоносное ПО. Фиктивные программы технической поддержки достигают кульминации, когда жертва покупает поддельные программы защиты, используя номер своей банковской карты.
Телефонные мошенники также могут представляться сотрудниками налоговой службы, правоохранительных органов и прочих государственных структур, стремясь получить деньги за то, чтобы конечный пользователь избежал якобы наложенных на него жестких штрафов или тюрьмы.
Мошенничество – еще одна очень популярная афера, которая осуществляется с людьми, покупающими или продающими товары на веб-сайтах, таких как аукционы или ресурсы, подобные Craigslist.
При мошеннической операции покупатель быстро отвечает, обычно предлагает оплатить полную стоимость покупки плюс доставку и просит продавца использовать своих «доверенных» эскроу-агентов (посредников). Затем они посылают жертве поддельный чек на бо́льшую сумму, нежели та, что была оговорена, и жертва возмещает излишек на счет злоумышленников (к сожалению, банки принимают поддельные чеки, но в итоге жертва теряет деньги). Покупатель просит потерпевшего продавца вернуть уплаченный излишек грузоотправителю по договору или посреднику. Жертва мошенничества обычно теряет как минимум сумму излишка.
При мошеннической продаже потерпевший покупатель отправляет средства, но не получает товар. В среднем в случае такой продажи жертвы теряют суммы в пределах тысячи долларов. В некоторых случаях сумма ущерба может достигать десятков тысяч.