Кібероборона. Випуск 4. Соціальна інженерія

Кібероборона. Випуск 4. Соціальна інженерія

Сучасний світ — це швидкі процеси та величезні потоки інформації. І багато в чому вони пов’язані із цифровим простором, де люди проводять значну частину свого часу. Але, як і в реальному житті, в інтернеті людина залишається   людиною — зі своїми перевагами та недоліками, емоціями, слабкостями та вразливостями. І так само, як у реальному житті, у цифровому просторі цим можуть скористатися зловмисники. Психологічно впливаючи на людину, маніпулюючи нею, вони можуть змусити її зробити те, що полегшить їм отримати бажане. Таке психологічне маніпулювання людьми задля обману має своє визначення — соціальна інженерія. До речі, за словами викладача факультету інформатики Національного університету "Києво-Могилянська академія" Трохима Бабича, соціальна інженерія — це те, що не потребує технічних навичок.

0:00 0:00
10
1x

колаж: Українське Радіо

Трохим Бабич: Соціальна інженерія ґрунтується на багато більш зрозумілих для людини засадах, це просто омана. Що ти підбираєш ключики не до технічного рішення, а до людини. Тому що рано, чи пізно, вона може повестися і прикладів того, як це спрацьовувало, можна дуже довго, дуже багато наводити. Від вочевидь самих простих, що там якогось недосвідченого користувача обманули на якихось банальних речах. І, закінчуючи тим, як технічних директорів бірж крипто валют обманювали. Наприклад. Прилітав лист: "Хочемо вас визнати суперкласним  технічним спеціалістом." І людина відкривала. Є канадський блогер, такий Лайнос, у якого є Ютуб-канал  "Лайнос тептіпс", тобто людина, яка спеціалізована в АйТі. Вочевидь, у них кібербезпека як загроза на найбільшому рівні. І більше вивчають. Але, навіть їх обманювали. Їх Ютуб-канал крали. Потім наш товариш, який нам дав спершу Старлінк, а потім почав дивне писати. Було розміщено з ним відео, де він, нібито обіцяв подвоїти, чи подесятерити те, що скинуто у крипті. І якою інформацією і як? Треба собі назавжди запам’ятати: те, що одного разу опинилося в Інтернеті, лишається там назавжди.  І не треба покладатися на те, що ти чи встигнеш видалити, чи ще щось. Тому що стільки є всього, чому ти не встигнеш і чому ти не видалиш? Щоб потім розгрібати наслідки — це не найкласніше з усього цього. Яку інформацію можуть використовувати? Абсолютно будь-яку. Ваші родичі. Ваші друзі. Ваші вороги. Ваші інтереси якісь. Те, що вам не подобається. Будь-що, що дозволяє складати ваш психологічний портрет для розуміння яка ви людина, що вам цікаво, що вам не цікаво. Тому що наступний етап після збору інформації це буде безпосередня дія. І тут питання — яка буде дія? Це дія буде емоціональна. Тому що беземоційна дія у користувача викличе якісь питання. Він беземоційно буде на це реагувати. І, відповідно, це не те, що потрібно. Ця реакція може бути сумна. Ця реакція може бути панічна. Може бути радісна. Будь-який насичений елемент може стати для вас, скажімо, спусковим гачком усієї цієї справи. І, відповідно, вам може прийти лист, згадуючи цю класику, що у вас помер дальній родич в Африці, заберіть свій мільйон. Ну, це поганий приклад, але, вочевидь, існують і кращі приклади. Що вам випадково перерахували кошти — Вестерн Юніон, чи ще якась платіжка перерахувала, склас! Давайте! Згадуючи крипто біржу, ви суперкрутий спеціаліст, хочемо вас нагородити! Онлайн Су, наприклад, його як ламали, йому прилітав лист про партнерство. І там це був не один лист! Це була переписка — на п’ять, сім. Це така довга переписка, після якої влетів педіафайл, відповідно попередньо сформований з певним використанням вразливостей. І це, якщо ми кажемо про радість. Про сум — вочевидь, це може бути "будь ласка, допоможіть, те-те-те!" все зрозуміло. Може бути якась провокативна злість. Ну, наприклад. "Ваші фотографії опубліковані там-то. Щоб їх видалити, зробіть те-то й те-то". Але, найдієвіше підсилюючий факт в усьому цьому, це є не тільки паніка, а загалом бурхливість емоцій. Тому що паніка — це такий страх, в певній ступені. І, відповідно, паніка, це те, що грає однозначно, шахраям на руку. Тому що крім того, що у людини тоді блокується раціональне мислення, так до того, вона ще починає бачити картину вужче. І не помічати якихось деталей. Або ж підсвідомість буде сама вигадувати людині на підсвідомому рівні чому ж це так?

Отже, соціальна інженерія у цифровому просторі — це не про злам програми чи пристрою, а про "злам" людини, яка після певних маніпуляцій сама відкриє доступ шахраям до своєї конфіденційної інформації чи захищеного пристрою. До речі, за допомогою соціальної інженерії зловмисники також можуть підмінювати, викрадати або знищувати інформацію. Тобто в основі соціальної інженерії лежать психологічні методи, які використовуються для того, щоб вплинути на поведінку людей та отримати від них інформацію. Цей метод вважається досить ефективним, оскільки спирається на людські слабкості та вразливості.

Тож як, використовуючи його, зловмисникам вдається, наприклад, отримати доступ до акаунта? Пояснює викладач Києво-Могилянської академії Трохим Бабич.

Трохим Бабич: З високою ймовірністю — 97 відсотків, це буде соціальна інженерія. Все в тій, чи іншій формі. Це може бути як і простий розвод. Тому що, от існують же такі схеми, типу "Скажіть пін-код від картки". Тому що ми усі сміємося з цього. А, якщо вони існують, отже вони працюють. Відповідно ще можуть бути різні варіації. Це можуть бути так звані фітинг-атаки. Фітинг через сайти, через емейл, через месенджер. Навіть смски-фішинг. Це те, коли ти відкриєш якусь веб-сторінку, і ви побачите там, що, здається це вхід, ну, скажімо так, в якусь соціальну мережу. Ага, треба зайти! І це все можна широко перекручувати, переосмислювати, що там викрали мобільний телефон, айфон, наприклад. Через Х часу прилітає смска про те, що "для блокування зайдіть в ай-клауд". А ти ж емоційний, вкрали телефон! Ти заходиш в ай-клауд, бо треба заблокувати. А там в результаті це не ай-клауд. Відповідно, тебе будуть ловити якраз на, знову ж таки, на твоїх емоціях, на знаннях про тебе. Але просто буде існувати точка отримання логіну та паролю від тебе. Це може бути сайт. Це може бути застосунок якийсь. Тому що існують фейкові застосунки. В апл-сторі з ними легше. В гуглплеї з ними складніше, але в плані їх там більше. І можуть існувати фейкові застосунки, які можуть маскуватись під оригінальні. Ти зайшов, ввів. Клас! Вкрали. Як виявити, що вкрали твій акаунт? Зараз, скажімо, всі платформи з цим стикаються. І у всіх є розділ "активні сесії". От через активні сесії можна вочевидь побачити активні сесії. І вирахувати шляхом нескладної дедукції — чи ти це, чи це не ти? Глянути всі активні штуки. Якщо ти це виявив, одразу необхідно прибрати всі сесії. Необхідно скидати паролі щонайменше на тому акаунті. А краще взагалі, щоб прикрити рамку до пошти. Якщо ти богохульничав і використовував цей пароль, взагалі всюди його зітри. Тому що, ну, можуть піти далі дедуктивно перевіряти. Тому що оця невіра "а що буде, якщо мій пароль вкрадуть?" та що буде? Зараз є автоматичні інструменти, які ваш логін-пароль за секунду по всім сервісам перевірять. Ці утиліти не приховані десь за семи дверями! І, якщо від вас отримали дані, то це буде другим етапом подивитися куди вони підійшли. Тому змінюєш логін-пароль на цій мережі. Бажано ще на поштовій скринці. Тому що ти не можеш ідентифікувати звідки прийшла атака — чи це з електронної пошти, зламали її і отримали, ті доступи. І, якщо у тебе цей пароль десь ще, не дай бог, стояв, його спалюй, забувай, і ні в якому разі не потрібно грати в цю гру, як наші мало розвинуті сусіди люблять грати, коли у них був пароль moscow1, потім moscow2 і т. д. і т. п. Це не працює. Бо, це теж другий етап, як будуть перевіряти паролі. Повірте мені, я зараз читаю курс з кібербезпеки у Києвомогилянці. І я бачу, як навіть студенти без досвіду дедуктивно до таких переборів доходять, хоча їм і не кажеш цього усього.   

Соціальна інженерія у ширшому розумінні — це наука, що вивчає людську поведінку та чинники, які на неї впливають. Але кіберзловмисники, по суті, приватизували це поняття у цифровому просторі і надали йому негативного відтінку. Не дивно, що в мережі часто можна зустріти визначення соціальної інженерії не як науки, а як виду шахрайства.

Сьогодні існує чимало методів використання соціальної інженерії. В основі — маніпуляція людськими страхами, зацікавленістю або довірою. Жертвою соціальної інженерії можна стати як під час особистого спілкування, так і по телефону або через цифрові гаджети. Продовжує директорка Центру медіааналітики "Cyber Media Track" Анастасія Кондрико.

Анастасія Кндрико: В першу чергу, коли ми говоримо про соціальну інженерію, то мова йде про наші з вами емоції. Ми часто любимо безкоштовний сир. Нам здається, що акція, розіграш, це якраз про нас. Нарешті настала та мить у житті, коли можна зекономити. Щось безкоштовно отримати тощо. Але ми маємо пам’ятати, що навіть за безкоштовні можливості ми зажди платимо. З одного боку це наша довіра. З іншого боку це наші персональні дані. І, зрештою, коли шахрай знаходить ту емоцію, яка йому потрібна, щоб ми просто зараз ухвалили певне рішення і натиснули на певне посилання для того, щоб перейти на фітингову платформу, або підтвердили комусь сторонньому доступ до нашого акаунта,  або ввели дані своєї платіжної картки. Зрештою, це якраз той момент, який характеризується у нас певною емоцією. І часто ми спочатку робимо. А потім вже замислюємось. І, насправді, це дуже неприємно. Тому що наслідки можуть бути досить серйозними. Не тільки 100, 200, або 1 000 гривень, це можуть бути повністю наші заощадження, а також відкриті кредитні лінії на наших картках.


Фото: armyinform.com.ua

Найпопулярніший серед численних сучасних інструментів соціальної    інженерії — так званий фішинг. Мета — заволодіти інформацією приватного характеру обманним шляхом. Попри те, що він добре відомий і про нього багато розповідають, фішинг і досі активно використовують кібершахраї. А люди й досі потрапляють на цей гачок. Ось один зі прикладів, як це може працювати: користувач отримує повідомлення про те, що здійснив покупку певного товару у певному магазині. І система нібито сповіщає про списання коштів з його рахунку. Яка його перша реакція? Звісно ж, перейти за посиланням і все з’ясувати. Але це якраз те, на що й розраховували шахраї. Продовжує директорка Центру медіааналітики "Cyber Media Track" Анастасія Кондрико.

Анастасія Кондрико: Насправді, таких схем сьогодні існує багато. І, звичайно, що вони в першу чергу пов’язані із соціальною інженерією, з нашими емоціями. Відповідно, коли ми говоримо про вішинг, це шахрайство за допомогою голосу. Коли до вас звертаються, можливо, називають себе співробітником, або працівником якоїсь установи,  наприклад, сервісу поштової доставки, наприклад, певного банку і так далі, і пропонують зафіксувати, наприклад, їх номер телефону, свої контакти, для того, якщо раптом виникла якась проблема, ви могли безпосередньо з ними зв’язатися і отримати вирішення своєї проблеми без гарячої лінії, без чекання і так далі. І потім, коли така ситуація стається, —  як ми розуміємо, кіберзлочинці їх самостійно провокують — зрештою ми якраз телефонуємо цим людям, які, як правило, не мають жодної причетності до таких організацій. І, звичайно, використовують наші з вами рухи, емоції, дії для того, щоб досягти певної мети. Стосовно смішинку  — це надсилання посилання через  СМСки. Насправді, коли ми отримуємо посилання від якоїсь серйозної державної організації, або від банку, наша з вами перша емоція, перше бажання, перейти за посиланням  і з’ясувати що там є. Ну, а далі механізм може бути абсолютно різним. Знову ж таки, одна людина, яка виконує певні обов’язки в якійсь державній структурі, чи виконує якісь особливі доручення в комерційних організаціях, може стати ключиком до всієї бази даних, зрештою структури загалом. Якщо вона самостійно може ухвалити рішення і перейти кудись, надати дозвіл, або виконати дію, яка вигідна маніпуляторам. Тому ми повинні з вами ще раз підкреслити і те, що наша з вами відповідальність за використання Інтернету лежить в першу чергу на нас. Далі від того можуть залежати наші близькі, наші професійні обов’язки, звичайно, що і наші колеги. Ну, і держава загалом, якщо ми говоримо про державну безпеку. Ми часто сьогодні отримуємо такі посилання. І, іноді, нам навіть здається, що ми знаємо тих людей, або знаємо адресу електронної пошти, з якої ми те посилання отримали. Але категорично не рекомендую переходити за будь-якими посиланнями, походження яких ви не знаєте. Плюс до того, ніколи не завантажувати файли, які можуть містити листи від незнайомців. Це можуть бути і PDF файли, і вордівські документи, мп3 файли, які завгодно. Також існує така неприємність, яка називається трекером, коли нам кидають посилання, ми за ним переходимо, намагаючись з’ясувати що там є, а зловмисник, який нам це посилання надіслав, може отримати уявлення про нашу IP-адресу. За IP-адресою можна з’ясувати фізичне місцеперебування людини. І ми в цей момент абсолютно нічого не побачимо. Це може бути листівка, якийсь мем, певна новина і так далі. А третя особа дізнається де ми перебуваємо. Тому з посиланнями слід бути максимально обережними. Ну, і пам’ятати, звичайно, що перш ніж комусь щось пересилати, які можуть бути наслідки. Особливо, коли мова іде про літніх людей, про дітей, які геть до кінця не усвідомлюють ці Інтернет ризики.

Під час повномасштабної війни одним із напрямків, де шахраї почали активно вдаватися до соціальної інженерії, стали пожертви. Заклики на сторінках у соцмережах, фото військових, зруйновані будинки, безпритульні тварини    тощо — усе це емоційно дуже впливає на людей, які готові одразу ж переказувати кошти. Але донатити треба теж уміти. Продовжує Анастасія Кондрико.

Анастасія Кондрико: Звичайно, ми повинні з вами сьогодні всіх донатити. Хтось своєю власною кров’ю, своїм потом нас сьогодні захищає, наші захисники, захисниці. Хтось це робить за допомогою певного інформаційного супротиву, коли ми говоримо про нашу з вами підтримку з точки зору кібервоїнів, які намагаються блокувати намагання русні, і власне реалізовувати ті завдання, які сьогодні мають бути реалізовані в Україні. Коли ми говоримо про фінансову підтримку, звичайно, що слід зважати на  ті організації, які ми донатимо, чи тих людей, які збирають кошти. Зрештою розуміти хто саме і на які потреби ці кошти збирає. Ну, і зрештою, чи не були ці історії пов’язані з певними репутаційними викликами. Тому, звичайно, супер, коли ми донатимо. Але добре, коли це відбувається саме адресно — на певну людину, на певний підрозділ, для певної організації. І ми з вами, очевидно, можемо отримати звіти за ці донати, які ми робимо.

Шахраї грають на почуттях людей, і їхні дії стають дедалі жорстокішими. Один із таких методів — пропозиція рідним військовополонених визволити їх за гроші з полону, або допомогти у поверненні тіла загиблого. Отримуючи кошти на рахунок, шахраї зникають.

Або ж вони виманюють гроші, які рідні отримали від держави за полеглих захисників. Зловмисники дізнаються інформацію про такі виплати кількома шляхами: інсайд із банку, відстежування соціальних мереж потенційних жертв, моніторинг ЗМІ, пабліків та сторінок про загибель бійців.

Популярними залишаються і схеми із псевдоперевезеннями чи орендою житла. Внутрішньо переміщені особи, втікаючи від війни у більш безпечні регіони, пересилають завдаток за перевезення чи оренду квартири, а, приїжджаючи за адресою, не знаходять контактну особу. На зв'язок вона, звісно, більше не виходить.

Ще однією поширеною схемою є продаж товарів для військовослужбовців. Бійці або волонтери, замовляючи в інтернеті військове спорядження, автівки на фронт, надсилають продавцеві повну суму коштів або її частину, і можуть не отримати свій товар.

Але наймасовіше шахраї діють саме у площині донатів. Викладають реальні фото поранених бійців/бійчинь, але зі своїм номером картки; створюють сторінки бійців, навіть бригад, і наповнюють їх, щоб користувачі із досвідом розуміли — перед ними справжня, а не вигадана особа. Як не потрапити на гачок і не задонатити шахраєві? Говорить начальник відділу протидії злочинам у сфері комп'ютерних систем Департаменту кіберполіції Національної поліції Євгеній Дороганов.

Євгеній Дороганов: Треба перевіряти, перше, через знайомих. Друге, я би просто ще додав до цього: дивитися сторінки цих бригад. Якщо вони створені місяць тому, то зрозуміло, що там нікого немає. Але, знову ж таки, якщо є можливість такі моменти уточняти, було б дуже непогано. Знову ж таки, треба дивитися чи викладають такі волонтери, які збирають на бригаду, звіти про свою діяльність. Тобто, це сукупність факторів, які повинні складати певну позицію людини, яка хоче задонатити щодо тієї, чи іншої волонтерської організації. Якщо ми говоримо про те, що особа задонатила і її там заблокували, з нею більше не спілкуються, то, звичайно треба іти до Кіберполіції і про це говорити. Тому що особа, яка іде до Кіберполіції, вона ж не знає, які вже досудові розслідування нами здійснюються. І, написавши це звернення, рано, чи пізно бандит буде нами знайдений та притягнутий до відповідальності. Але, кожне таке звернення, воно є епізодом злочинної діяльності. Тому не треба зволікати, якщо вже така біда сталася, треба іти писати заяву. У нас є окремий колл-центр, який опрацьовує всі звернення громадян. І готовий опрацювати в найкоротший термін будь-яке. Тому не треба зволікати. Як тільки такий випадок стався, треба іти писати електронне звернення на нашому сайті.

Психологи звертають увагу, що шахраї активізуються саме у складні, кризові періоди життя суспільства, оскільки критичне мислення людини знижується, вона втрачає пильність і через занурення у свої думки не помічає небезпеки. Єдине, що може допомогти у цій ситуації — самоконтроль. Шахраї розраховують якраз на емоційну незрілість. Вони тиснуть на слабкі місця людей. А ще вони дуже спостережливі: відстежують у соціальних мережах, що зараз актуально, на що реагують люди. Відповідно до цього створюють контент — зі зворушливою історією та вразливою картинкою, щоб це було емоційно, щоб зачіпало за живе.

Якщо не хочете стати жертвою кібершахраїв, будьте пильними — у листуванні (якщо таке ведете) звертайте увагу на деталі, перевіряйте усі номери, теги, відгуки, де ще ця інформація публікувалася. Читайте коментарі під постом, на який емоційно реагуєте.

У телефонній розмові аферистів можна виявити за мовленням. Вони дуже швидко говорять. Але якщо ви попросите ще раз чітко і повільніше повторити інформацію та залишити свої контакти, пообіцявши зв’язатися пізніше, зазвичай, вони просто кидають трубку.

 

Цей матеріал підготовлено в рамках "Всеохопної інформаційно-просвітницької кампанії з протидії дезінформації", що впроваджується Українським радіо та Smart Angel у співпраці з експертними організаціями за фінансової підтримки Європейського Союзу. Його зміст є виключною відповідальністю редакції програми і не обов'язково відображає позицію ЄС.