Как социальная инженерия пользуется вашей добротой
Как социальная инженерия использует вашу доброту
На прошлой неделе компания MGM Resorts сообщила о массовой проблеме в системе, которая, по сообщениям, вывела из строя игровые автоматы, комнатные ключи и другие критические устройства. Какие сложные методы потребовались для взлома почти 34-миллиардного казино и отельной империи? Согласно самим хакерам (и, кажется, подтверждено источником, говорившим с Bloomberg), им понадобился всего лишь десятиминутный телефонный звонок.
Предполагаемые хакеры, стоявшие за проблемой MGM, по всему видимому, получили доступ через один из самых распространенных и низкотехнологичных способов: атаку социальной инженерии. Социальная инженерия психологически манипулирует целью, заставляя ее делать то, что хочет атакующий, или отдавать информацию, которую она не должна — в данном случае, по-видимому, обманув ничего не подозревающего сотрудника службы поддержки IT. Последствия таких атак могут варьироваться от сбоя глобальных корпораций до разорения личных финансов несчастных жертв. Но что делает атаки социальной инженерии настолько эффективными и почему их так сложно предотвратить?
Кажется, нелогично передавать чувствительную информацию полностью незнакомому человеку, но атакующие разработали способы обмануть вас, заставив почувствовать себя комфортно в такой ситуации. Это может включать постепенное построение доверия, сбор информации о вас, чтобы выглядеть так, будто они вас знают, или использование чувства срочности, чтобы заставить вас действовать быстро, не размышляя о том, что вы отдаете. Вот почему общие черты личности среди жертв кибератак включают экстравертированность, доброжелательность и открытость к новым впечатлениям, согласно исследователю Эрику Хаффману, изучающему психологию тенденций в кибербезопасности.
“Страх — это вектор атаки. Помощь — это вектор атаки,” сказал Хаффман. “Чем больше вы чувствуете себя комфортно, тем более поддающимся взлому вы становитесь.”
Кроме того, в цифровой среде меньше социальных намеков, в отличие от личного общения, поэтому потенциальная жертва не так хорошо улавливает потенциально подозрительные признаки, сказал Хаффман. Мы читаем сообщения своим голосом, проецируя на них наши добрые намерения, что обычно не происходит при личной встрече. Меньше информации, такой как социальные намеки или язык тела, чтобы направлять нас или давать нам чувство, что что-то не так.
- Панос Панай покидает компанию Microsoft после почти 20 лет работы
- iPadOS 17 готов к загрузке
- По сообщениям, Панос Панай уходит из Microsoft и переходит в Amazon.
Атака социальной инженерии может быть настолько простой, как фальшивый срочный звонок от мошенника, чтобы получить информацию о вашей кредитной карте для мелкого кражи. Но есть все более сложные “Rube Goldberg атаки”, которые используют несколько подходов, чтобы обмануть вас, согласно Андрю Брандту, главному исследователю Sophos X-Ops. В примере такой атаки Брандт наблюдал, как мошенники сначала действуют по телефону, чтобы заставить цель кликнуть по электронной почте, также отправленной мошенником. После клика электронная почта активирует цепочку атаки, включающую вредоносное программное обеспечение и программное обеспечение удаленного доступа.
Более вероятно, вы столкнетесь с этим на более простом уровне. Вам может прийти сообщение от кого-то, выдающего себя за вашего начальника, который просит подарочные карты, или вы можете быть обманутыми, кликнув по вредоносной ссылке, которая рыбит ваши учетные данные. Но одним или другим способом вы, вероятно, рано или поздно столкнетесь с этим, поскольку, согласно исследованию компании Splunk, около 98 процентов кибератак в какой-то степени основаны на тактиках социальной инженерии.
Есть и другие признаки, на которые люди могут обратить внимание. Например, если вам нужно загрузить необычно большой файл, защищенный паролем zip-файл, который нельзя просканировать на наличие вредоносного программного обеспечения, или подозрительный ярлык — все это признаки потенциальной атаки, согласно Брандту. Но во многом это основывается на интуиции — и нужно немного времени, чтобы отойти в сторону и обдумать, что может пойти не так.
“Это практика, требующая повторения и репетиции снова и снова, чтобы рефлексивно не доверять тому, что вам говорят люди, которых вы не знаете”, сказал Брандт.
Хаффман сказал, что люди могут попытаться избежать стать жертвой, признавая ограничения цифровой среды, и задавая такие вопросы, как: Может ли иметь смысл, чтобы этот человек связывался со мной? Ведет ли себя этот человек надежно? Имеет ли этот человек полномочия или власть давать такие указания? Действительно ли этот человек понимает тему, о которой мы говорим?
Атаки социальной инженерии происходят постоянно, как к огромным корпорациям, так и к обычным людям. Зная, что наши добродушные черты могут быть нашей самой большой слабостью, когда мы сталкиваемся с таким разнообразием плохих актеров, может быть искушение прекратить быть добрыми ради безопасности. Ключевым является балансировка наших социальных инстинктов с здоровым скептицизмом. “Вы можете быть полезными”, сказал Хаффман, “но будьте осторожны”.
