Самая эффективная атака — на человека
Зачем взламывать сложные системы технически, если можно просто попросить пользователя самого всё сделать? Социальная инженерия — манипулирование людьми с целью получения конфиденциальной информации или совершения нужного действия. Это не хакинг кода — это хакинг психологии.
По данным Verizon, более 80% кибератак начинаются с социальной инженерии. Самая защищённая техническая инфраструктура бессильна, если сотрудник сам передаёт пароль.
Фишинг
Фишинг (phishing — «рыбалка») — массовая рассылка писем, имитирующих легитимные сервисы. «Ваш аккаунт заблокирован, войдите немедленно» — ссылка ведёт на поддельную страницу. Жертва вводит логин и пароль — злоумышленник их получает.
Спир-фишинг (spear phishing) — целевой фишинг: письмо составлено специально для конкретного человека с личными деталями. Намного эффективнее массового.
Вишинг и смишинг
Вишинг (voice phishing) — голосовой фишинг. Звонок от «службы безопасности банка»: «На ваш счёт совершена подозрительная операция, срочно продиктуйте код из SMS». Используют поддельные номера телефонов.
Смишинг (SMS phishing) — фишинг через SMS. «Вы выиграли приз, перейдите по ссылке». Короткий URL — поддельный сайт.
Претекстинг
Претекстинг — создание выдуманного сценария (претекста) для получения информации. Атакующий представляется IT-специалистом («нам нужен ваш пароль для технического обслуживания»), сотрудником банка, аудитором. Легенда готовится заранее.
Психологические рычаги
Социальная инженерия использует базовые психологические механизмы: срочность («немедленно, иначе счёт заблокируют»), авторитет («звоню из службы безопасности»), страх («обнаружен вирус на вашем компьютере»), жадность («вы выиграли»), любопытство.
Защита
Обучение сотрудников — главный инструмент. Правило: никогда не передавать пароли и коды по телефону и email. При подозрительном звонке — перезвонить самостоятельно по официальному номеру. Многофакторная аутентификация снижает ущерб даже при компрометации пароля.