Сначала о терминах. Социальная инженерия – это метод управления действиями человека, основанный на использовании слабости человеческого фактора. По сути, она отвечает на вопрос, каким образом можно заставить человека действовать так, как это нужно вам.
Социальная инженерия – это более общее понятие, включающее в себя в том числе и фишинг. Фишинг – слово, по звучанию похожее на английское «fishing», – рыбная ловля. Означает оно разновидность интернет-мошенничества, при котором злоумышленники пытаются добыть конфиденциальные данные пользователя (обычно это его логины и пароли).
Вообще на встрече с Михаилом Ивановским звучало очень много узкоспециальных терминов. Однако это не превращало общение в разговор на птичьем языке: все понятия вовремя разъяснялись, причем с примерами. Вот, скажем, фишинг. Очень часто это выглядит так.
Вам на электронную почту приходит письмо якобы от администрации вашей любимой социальной сети (скажем, «Вконтакте»). В письме вас просят заново авторизоваться в соцсети, ввести свои логин и пароль.
Объясняется эта необходимость, например, техническими неполадками. В письме указывается ссылка, по которой нужно перейти, чтобы выполнить авторизацию.
Вы (если вы неосторожный человек) переходите по данной ссылке и видите вроде бы обычную стартовую страницу социальной сети. На самом деле страница фальшивая, и вводя здесь свой пароль, вы передаете его напрямую злоумышленникам. Все, конфиденциальные данные похищены.
Это один из множества вариантов фишинга. В данном примере мошенники получили доступ к вашей странице в социальной сети, к вашей информации.
Но зачастую фишеров интересуют ваши деньги. Для этого они похожими способами стараются выманить информацию о банковских картах – их номера и коды доступа.
Есть и другие разновидности мошенников, близкие к фишерам. Например, фрикеры. Фрикинг – это уже несколько устаревший вид мошенничества.
Фрикеры использовали уязвимости телефонных сетей, чтобы с помощью некоторых технических ухищрений пополнять свой баланс или звонить не за свой счет, а за счет какого-нибудь другого абонента.
Еще одна разновидность мошенничества, о которой рассказал Михаил Ивановский, это вишинг. Вишеры для получения конфиденциальной информации (или ваших денег) используют телефон и свой голос.
Автоинформатор или живой человек звонит вам, представляется, скажем, сотрудником банка и сообщает, что ваша карта заблокирована. Чтобы ее разблокировать, у вас могут попросить перезвонить на некий номер или сразу попытаться вызнать номер карты и ее ПИН-код.
В любом случае целью является получение доступа к конфиденциальной информации, а далее – к вашим деньгам.
Опасности стать жертвой фишинга или сходных видов мошенничества сегодня подвергаются практически все граждане, утверждает Михаил Ивановский. Исключением здесь будет являться лишь какой-нибудь отшельник, который вообще не пользуется интернетом, электронной почтой, социальными сетями, не имеет счета в банке и какой-либо значимой конфиденциальной информации.
Чтобы понять, как защититься от фишинга, нужно знать, какими возможностями и инструментами обладают мошенники.
Михаил Ивановский обратил внимание на то, что люди сегодня сами предоставляют о себе множество информации, которую могут использовать злоумышленники. Например, человек ведет со своим другом открытую электронную переписку (скажем, в комментариях к посту в Фейсбуке).
Позднее этому человеку приходит письмо, якобы от того самого друга. В письме – просьба о материальной помощи (например). Сообщение при этом написано тем же стилем, что использует тот самый друг.
Злоумышленники подметили его стиль, распространенные слова и обращения и использовали их в своем мошенническом письме для мимикрии. Но данное письмо вроде бы пришло с правильного, проверенного адреса? А адрес отправителя, как пояснил Ивановский, довольно легко подделать.
Отсюда совет – публикуйте о себе как можно меньше важной информации, чтобы ее не использовали против вас (или против ваших знакомых).
Получив подозрительное, явно мошенническое электронное письмо или СМС, некоторые люди совершают ошибку – начинают отвечать отправителям. Иногда чтобы рассказать: «Я вас раскусил», иногда, чтобы самим подшутить над злоумышленниками.
Но отвечать на такие письма явно не стоит, предупреждает Михаил Ивановский. Возможно, мошенникам как раз и требуется, чтобы на их письмо просто ответили (или перезвонили на их телефонный номер).
Но даже если это и не так, то ответ на фишинговое письмо почти наверняка увеличит количество спама – автоматической и зачастую вредоносной почты.
Ведь если раньше человек получал мошеннические – например «Нигерийские» – письма случайно, как один из многих, то после ответа на такое письмо он станет объектом уже адресной, направленной рассылки.
Ведь он подтвердит своим ответом, что такой электронный адрес существуют и что за ним стоит живой конкретный человек (который, к тому же, склонен идти на контакт). Михаил Ивановский завершил свое выступление перечислением мер безопасности, ответом на вопрос, как не попасться на фишинг.
Меры эти хорошо известны и многократно озвучены по всем информканалам: будьте внимательны, с осторожностью относитесь к письмам и сообщениям с предложением халявы или с некой пугающей информацией; не спешите переводить деньги или сообщать данные по первому звонку якобы вашего родственники или «сотрудника банка».
Сначала перезвоните этому родственнику или в банк по проверенным телефонам. И так далее – несколько страниц подобных советов.
Митап прошел достаточно живо. Пришедшие на встречу пензенцы охотно включались в разговор, делились своими случаями из жизни и способами не попасть в ловушку фишеров.
