Соціальна інженерія: найпоширеніші методи, приклади та контрзаходи

Що таке соціальна інженерія

Тож дізнаймося більше про найпоширеніші види шахрайства з долученням соціальної інженерії та як від них захиститися.

На чому базується соціальна інженерія

Соціальна інженерія використовує емоції жертви. За допомогою різних методів психологічної маніпуляції зловмисники викликають сильні емоційні реакції (наприклад, страх або збудження), з метою затьмарити мислення людини. Опинившись у скрутному становищі, жертви соціальної інженерії приймають необдумані рішення, наражаючи себе на небезпеку втрати грошей, інформації та особистих даних.

В інтернет-просторі соціальні інженери надсилають потенційним жертвам повідомлення, розігруючі певний сценарій (наприклад, крадіжку банківського рахунку або великий виграш у лотерею). Якщо жертва ковтає гачок, наступним кроком буде заохотити її перейти за підозрілим посиланням, переказати гроші, завантажити шкідливу програму або передати конфіденційну інформацію (наприклад, облікові дані для входу).

Типи атак соціальної інженерії

Хоча найпоширенішим проявом соціальної інженерії вважаються фішингові атаки, у зловмисників широкий арсенал можливостей щодо маніпулювання людьми. Наведемо найбільш популярні види атак з використанням соціальної інженерії.

Фішингові атаки

Фішинг-атаки – це тип кіберзлочинів, де використовується електронна пошта. Отримувача такого листа спонукають перейти за шкідливим посиланням або завантажити небезпечний софт. А щоб жертва не мала сумнівів, зловмисники видають себе за представника банку, державної установи, компанії з доставки товарів або іншої організації, якій люди довіряють. Їх мета – змусити жертву відкрити фішинговий електронний лист і мимоволі завантажити шкідливе ПЗ або перейти за підозрілим посиланням, що веде на підроблений вебсайт. А от там вже з жертви можна вивудити конфіденційну інформацію, як-от облікові дані для входу чи номер банківської картки (включаючи CVV-код).

Фішинг може проявлятися в різних формах. До найбільш поширених належать:

• Підроблена відображувана назва. Електронний лист може виглядати як офіційно надісланий від відомої організації, але доменне ім'я посилання буде дещо відрізнятися від назви, зазначеної на вебсайті компанії (наприклад, містити додатковий тире або цифру).
• Вбудовані посилання. Зловмисники надсилають електронний лист із проханням перейти за посиланням, щоб знову увійти у свій обліковий запис (навіть якщо ви не міняли свою поведінку на цьому сайті). Перехід за підробленою URL-адресою виведе вас на заражений вебсайт, де хакери намагатимуться викрасти ваші облікові дані для входу.
• Вкладення в електронному листі. Зловмисники можуть відправляти рахунки-фактури, підтвердження замовлень і запрошення на заходи, за якими ховаються віруси або шкідливі програми. Їх завантаження може призвести до злому систем і крадіжці особистих даних.

Фішинг у соціальних мережах

Фішинг у соціальних мережах націлений на користувачів, які нещодавно подали скаргу. З підробленого акаунту до них звертається хакер, видаючи себе за представника служби підтримки. Під час розмови він намагається отримати від користувача особисту інформацію або облікові дані від акаунту. Атака відбувається за наступною схемою:

1. 1.Зловмисник слідкує за каналами соціальних мереж і чекає, коли хто-небудь звернеться у службу підтримки якоїсь компанії зі скаргою або питанням про свій акаунт.
2. 2.Видаючи себе за співробітника служби підтримки саме цієї компанії, шахрай звертається до жертви (з підробленого облікового запису в соціальних мережах).
3. 3.Через кілька повідомлень шахрай завойовує довіру жертви і намагається отримати її пароль та іншу конфіденційну інформацію, щоб "допомогти вирішити проблему".

Цільовий фішинг

Цільовий фішинг – це тип фішингу, який вимагає більше зусиль, але також має 66% успіху (дані Barracuda). Ця атака з метою витоку даних націлена на окремих осіб і невеликі групи. Злочинці зазвичай видають себе за конкретну людину, якій жертва довіряє або перед якою звітує.

Щоб атака соціальної інженерії спрацювала, хакери спочатку вивчають своїх жертв, а потім використовують здобуті дані проти них. Багато інформації про своїх жертв хакери отримують з соціальних мереж, наприклад, адреси електронної пошти, бренди, яким вони довіряють і на яких підписані, а також імена та облікові записи друзів. Зібрав необхідні дані, хакер надішле жертві електронний лист із правдоподібною причиною надати йому додаткову інформацію.

Атаки цільового фішингу розпізнати важко, але можливо. Щоб від них захиститися:

• Завжди перевіряйте джерело електронного листа.
• Запитайте себе, чи повідомлення схоже на звичайний офіційний запит.
• Якщо лист здається підозрілим, не відповідайте на нього. Краще зв'яжіться з цією людиною безпосередньо, надіславши їй окремий електронний лист, зателефонувавши або дочекавшись можливості поговорити особисто.

Смішинг або SMS-фішинг 

Смішингом (від англ. “SMS” та “фішинг”) називають різновид атаки, де фішингове повідомлення приходить через SMS, а не електронною поштою. Цей тип атаки соціальної інженерії виявився ефективним, ймовірно, через його більш особистий характер.

SMS-шахраї отримують телефонний номер жертви через зламані бази даних або купують його в даркнеті. Якщо повідомлення персоналізоване, існує навіть ймовірність того, що злочинець отримав ваш номер телефону, просто риючись у контейнері для сміття.

Звичайна смішингова атака може виглядати як текстове повідомлення з проханням змінити порядок доставки посилки, для чого треба натиснути на посилання. Або ж це може бути повідомлення від банку з проханням підтвердити свою особу, перейшовши за URL-адресою.

Переходити за посиланнями в розсилках небезпечно. Адже вони часто ведуть на шкідливі вебсайти, де можна втратити ще більше своїх даних. Крім того, шахраї можуть маніпулювати посиланнями, змінюючи URL-адресу, щоб замість вказаної назви сайту на пристрій жертви завантажилася шкідлива програма.

Телефонне шахрайство або вішинг

Шахраї-вішингери (від англ. “голос” та “фішинг”) не надсилають SMS чи електронний лист, а телефонують жертві, видаючи себе за працівника відомої організації. А щоб жертва не мала сумнівів, вони підробляють свій номер телефону, щоб він виглядав як від організації. Також хакери залучають попередньо записані голосові або синтезовані повідомлення, щоб приховати свою особу. Інші навіть використовують людей з шахрайських кол-центрів та голосових ботів зі штучним інтелектом, щоб розширити масштаби афери й зробити атаку більш переконливою.

Обґрунтовують свій дзвінок зловмисники переконливо: на вашому банківському рахунку підозріла активність, у вас переплачені чи недоплачені податки або ви стали переможцем у розіграшу. Незалежно від сценарію, їх мета – отримати конфіденційну інформацію, яка може бути використана для крадіжки особистих даних, запуску атак з підвищенням привілеїв або інших прийомів соціальної інженерії.

Якщо ви отримали несподіваний дзвінок та підозрюєте шахрайство, дотримуйтесь наступних порад:

• Запитайте, з якої компанії людина дзвонить та причину дзвінка. Чи ви коли-небудь чули про цю компанію або мали з нею діло?
• Чи пропонують вам нереально великий виграш у конкурсі, в якому ви ніколи не брали участь? Або допомогу з боргами, про які ви ніколи не чули?
• Чи відчутно, що на вас тиснуть або залякують, щоб змусити розкрити особисту інформацію?

Все це є попереджувальними ознаками вішингу.

Претекстинг

Претекстинг – це атака соціальної інженерії, в якій для жертви створюється емоційно привабливий сценарій (привід, чи претекст). На відміну від фішингу, що експлуатує почуття страху та терміновості, претекстингова атака заснована на довірі й взаєморозумінні.

Створення правдоподібного сценарію вимагає від зловмисника набагато більше зусиль, ніж в інших методах соціальної інженерії. Готуючись до атаки, кіберзлочинці збирають якомога більше інформації про жертву, а потім використовують її, щоб видати себе за друга або колегу. Вони не просто брешуть, а придумують цілий сценарій, щоб обдурити жертву. У корпоративному середовищі ці хакери будуть прокладати собі шлях наверх і не зупиняться на одній атаці. Їх мета зазвичай полягає в тому, щоб отримати інформацію від особи на високій посаді.

Через велику кількість досліджень і зусиль, які шахраї докладають для створення собі фальшивої особистості, претекстинг розпізнати важко. Однак, якщо хтось здається вам занадто доброзичливим і просить надати дані, якими не можна ні з ким ділитися, не бійтеся піддати його запит сумніву, адже це може бути атака соціальної інженерії.

Наведемо наочний приклад шахрайства зі сценарієм “технічна підтримка”:

1. 1.Вам дзвонить "представник технічної підтримки" з відомої компанії.
2. 2.Щоб покращити досвід клієнтів, він просить вас допомогти перевірити, чи працює внутрішня система грошових переказів належним чином.
3. 3.А для цього вам тільки треба переказати гроші на вказаний банківський рахунок, а також ввести дані для входу в систему компанії.
4. 4.Як тільки гроші переказано, ви їх більше не побачите, а система компанії з вкраденим паролем опиниться під загрозою.

Звичайно, хакер буде запевняти, що грошовий переказ буде тимчасовим і що все це – частина рутинних перевірок їх компанії. Представившись вигаданим ім’ям, кіберзлочинець звучатиме впевненим в собі та надійним. Однак, навіть попри його професійну поведінку, будьте насторожі та перш ніж виконувати такі прохання, проконсультуйтеся з досвідченим колегою.

Кетфішинг

Кетфішинг – це кіберзлочин, коли шахраї створюють вигадані профілі в соціальних мережах, використовуючи фотографії, відео та особисту інформацію інших людей. Підроблені акаунти використовуються для кібер-знущань, привернення уваги, а іноді й для отримання грошей або особистих даних жертви, особливо у сценаріях зловживання довірою, для чого шахрай спочатку намагатиметься встановити довірливі відносини з жертвою, перш ніж її кинути.

Якщо у вас з'явився надзвичайно милий онлайн-друг, який постійно знаходить виправдання, щоб не зустрічатися особисто чи не ділитися інформацією про себе, існує ймовірність, що вас заманюють в пастку. Наведемо кілька тривожних ознак:

• Жалісні історії та прохання позичити гроші.
• Дивні виправдання, наприклад, чому у нього не працює вебкамера чи телефон.
• Виправдання не зустрічатися, скасування зустрічі в останню хвилину з особистих причин.
• Пропонує зустрітися десь наодинці, а не в громадському місці.

Фішингові електронні листи

Найпоширенішим типом фішину є розсилка фішингових електронних листів зі шкідливими вкладеннями та небезпечними URL-адресами. Деякі вважають, що фішингові листи – це те саме, що спам-фішинг, хоча спам-листи не завжди містять фішингові посилання. Шахраї часто використовують методи URL-фішингу для крадіжки конфіденційних даних за допомогою таких прийомів соціальної інженерії, як видача себе за легальний сервіс і створення відчуття терміновості.

Внутрішньосесійний фішинг

Внутрішньосесійний фішинг – це відносно новий метод фішингу, який постійно поширюється протягом останніх кількох років. Його суть в тому, що хакери зламують вебсайт та надсилають користувачам шахрайські повідомлення, які спрямовують їх на шкідливі вебсайти із зараженими файлами. Основний сценарій внутрішньосесійного фішингу виглядає так:

1. 1.Користувач входить на звичайний вебсайт.
2. 2.Шахраї перехоплюють сеанс перегляду у цільової аудиторії та впроваджують шкідливі скрипти в сторонні рекламні мережі, використовуючи вразливості в управлінні браузером або, в рідкісних випадках, навіть такі методи, як кейлоггінг.
3. 3.Шахраї вводять фішингові запрошення та інші шахрайські повідомлення в сеанси перегляду, запрошуючи користувачів ознайомитися з контентом. Якщо користувач виконує запит, його важливу інформацію може бути розкрито (наприклад, дані кредитної картки або коди доступу 2FA), а на пристрій може завантажитися шкідливий код.

Фішинг в пошукових системах

Пошуковий фішинг (більш відомий як "отруєння пошукових систем" або "маніпулювання пошуковими системами") – це ще одна складна тактика, яку зловмисники використовують для крадіжки даних. Кіберзлочинці маніпулюють результатами пошуку, щоб шахрайські або шкідливі вебсайти відображалися у верхній частині результату пошуку, створюючи враження авторитетного джерела. Якщо користувач натисне на сфабрикований результат пошукової системи, він потрапить на шкідливий вебсайт, де шахраї можуть вкрасти його дані та ініціювати завантаження вірусів.

Інший тип обману включає шахраїв, які платять за розміщення реклами у верхній частині результатів пошукової системи і заманюють людей на фішинговий вебсайт, який буде дублікатом оригінального. Якщо жертва купує що-небудь на шахрайському сайті, зловмисники отримують її платіжну інформацію, піддаючи жертву фінансової небезпеки.

Щоб захиститися від заражених пошукових систем:

• Завжди перевіряйте, чи URL-адреса на сторінці пошукової системи відповідає оригінальному вебсайту (для цього можна скористатися функцією індикатора безпеки результатів пошуку NordVPN Threat Protection Pro™).
• Використовуйте двофакторну автентифікацію (2FA), щоб захиститися від несанкціонованих транзакцій.

Лжеантивірус

Якщо на екрані раптово з'являється повідомлення з вигаданими загрозами, скоріш за все це лжеантивірус, чи програма-страшилка (англ. scareware).

Лжеантивірус видає оголошення, що пристрій заражений шкідливим кодом і треба встановити програму антивірусу, а насправді завантажує на пристрій реально шкідливий скрипт.

Зловмисна програма може виглядати як вигулькний банер, який раптово з'являється під час перегляду вебсайту і повідомляє щось на кшталт: "Ваш комп'ютер може бути заражений вірусом". Якщо натиснути на цей банер, вам або буде запропоновано встановити засіб для видалення вірусу або ви будете перенаправлені на шкідливий вебсайт, який може в подальшому заразити пристрій.

Варто також зазначити, що при подібних атаках соціальної інженерії шкідливий код також може поширюватися електронними листами, де вас будуть переконувати придбати непотрібні або шкідливі послуги.

Підсадна качка

Підробивши свою адресу електронної пошти, зловмисник може видавати себе за співробітника аудиторської фірми, фінансової установи або навіть за колегу з роботи та запитати у жертви надати корпоративну інформацію.

Якщо у жертви не виникне підозр на адресу цієї “підсадної качки” і атака виявиться успішною, зловмисник може заволодіти конфіденційною інформацією компанії, її бізнес-планами, даними клієнтів та навіть особистою інформацією про співробітників.

Атака з приманкою

Атака з приманкою – це атака соціальної інженерії, яка використовує приманку, розраховуючи на те, що природна цікавість жертва підштовхне її “проковтнути” приманку, таким чином дозволивши зараження комп'ютера вірусом. Багато соціальних інженерів використовують USB-накопичувачі як приманку, залишаючи їх в офісах або на стоянках. На флешці може бути напис на кшталт "Зарплат керівників за четвертий квартал 2019 року".

Люди, які їх знаходять, просто з цікавості вводять їх у свій комп'ютер. Прихований всередині вірус швидко поширюється на пристрій. Однак у наш час використання USB-накопичувачів скорочується, тому наразі атаки з приманкою в основному використовуються на вебсайтах P2P (як-от файлообмінники або вебсайти, присвячені криптовалютам).

Зловмисники використовують Р2Р-сайти для приманки, створюючи підроблені сайти-двійники. Натрапивши на такий вебсайт з ціллю завантажити фільм, користувач, швидше за все, завантажить шкідливий скрипт. Завантажувати файли з ненадійного джерела завжди ризиковано, але захиститися від злому можливо, якщо вживати заходів обережності. Завжди перевіряйте тип файлу, який завантажуєте, і оновлюйте антивірус до останньої версії.

Надамо дві прості поради, як не вестися на “приманку”:

• Використовуйте засоби захисту від шкідливих програм, блокувальник реклами й захист від відстеження. Функція NordVPN Threat Protection Pro допоможе у всіх цих областях.
• Здійснюйте покупки у перевірених, відомих онлайн-магазинах. Проведіть невеличке дослідження компанії, перш ніж щось у неї купувати. Перевірте її вебсайт та URL-адресу на наявність орфографічних помилок, а також на те, чи є вона зареєстрованою компанією. Уважно вводить назву у рядок пошуку, адже навіть одна помилка у літері може завести вас на небезпечний сайт-двійник. Також можна ознайомитися з відгуками клієнтів, опублікованими неупередженими рецензентськими компаніями.

Послуга за послугу

Атака "послуга за послугу" трапляється, коли шахрай пропонує жертві послугу в обмін на її особисту інформацію. Кілька років тому атаки "послуга за послугу" поширювалися електронною поштою. Прикладом є афера з нігерійським принцом, в ході якої жертва отримувала лист про те, що нігерійський принц помер, а вона успадкувала всі його гроші. Потрібно тільки надати їм свої банківські реквізити або надіслати невелику "плату за обробку", щоб вони переказали вам гроші.

Найпоширеніші атаки "послуга за послугу" трапляються, коли хакер видає себе за спеціаліста з ІТ-підтримки. Кожен з нас, як правило, має певні незначні проблеми з пристроєм або потребує оновлення програмного забезпечення, тому у жертви зазвичай не виникає підозри. Псевдоспеціаліст каже, що йому потрібно отримати доступ до вашого комп'ютера, щоб усунути проблему. Отримавши доступ, він встановлює шкідливу програму або краде конфіденційну інформацію.

Злам контактів

Це один із найдавніших методів, який й досі використовується. Кіберзлочинець зламує електронну пошту або акаунт у соціальних мережах жертви й надсилає її друзям й контактам повідомлення на кшталт: "Знайшов таке класне відео, подивись його!”

На жаль, повідомленням від близьких друзів ми схильні довіряти. Але якщо перейти за цим посиланням, відправленим текстовим спамером, в кінцевому підсумку можна заразити свій пристрій вірусом. Але гірше те, що опинившись на пристрої, вірус може поширити те саме повідомлення й серед ваших контактів.

Викликає занепокоєння те, що xHelper (шкідливий додаток, виявлений у 2019 році) може навіть перевстановити себе, якщо його видалити. Тому, хоча легко думати “мене всілякими прийомами соціальної інженерії не проведеш”, краще бути особливо пильним, оскільки наслідки атаки можуть бути незворотними.

Атака “сісти на горгоші”

Атака “сісти на горгоші” належить до типу методів соціальної інженерії, при яких зловмисники використовують людські помилки або поведінку, щоб проникнути всередину приміщення (офісу, будівлі компанії) чи онлайн-простору. Хоча методи фізичного та цифрового втручання різняться, вони мають один спільний знаменник — хтось у системі чи приміщенні навмисно чи ненавмисно допомагає зловмиснику – “бере його на горгоші”.

У разі онлайн-атаки шахраї використовують фішингові посилання, щоб обдурити жертву та змусити її надати облікові дані для входу в систему компанії, а потім використовують їх для доступу до конфіденційної інформації або інших онлайн-акаунтів жертви (наприклад, соціальних мереж). Хакери, що проникають до приміщень, “сідають на горгоші” жертві, впевнено видаючи себе за працівника компанії, і таким чином потрапляють до серверних приміщень або іншої критичної інфраструктури компанії та встановлюють шкідливі програми (через зламані USB-пристрої), проводять DDoS-атаки та завдають іншої шкоди апаратному забезпеченню компанії (і, отже, програмному забезпеченню).

Щоб захиститися від охочих залізти вам на горгоші, включайте двофакторну автентифікацію й стережіться пасток фішингу. Періодична перевірка своєї мережевої активності також є хорошим способом убезпечити системи від довготривалих пошкоджень. Захист від проникнення у приміщення потребує інвестиції в заходи фізичної безпеки (наприклад, в'їзні ворота та картки-ключі для працівників) та спостереження за підозрілими людьми, що вештаються біля офісних приміщень.

Забій свиней

“Забій свиней” – один з новітніх і найбільш небезпечних видів атак соціальної інженерії. Небезпека цього нападу полягає в його нетрадиційному характері. На відміну від типових прийомів соціальної інженерії, “забій свиней” не змушує жертву діяти швидко. Натомість шахраї зав'язують дружбу зі своїми жертвами, зазвичай спілкуючись і завойовуючи їхню довіру місяцями, поки не настане час завдати удару, “забити свиню”. Завоювавши довіру жертви, зловмисник може "рекомендувати" своїм новим "друзям" інвестувати в сумнівні казино-сайти або іншим чином здійснити грошовий переказ, який часто неможливо скасувати, що призводить до величезних фінансових втрат з боку жертв. Шахрайством “забій свиней” часто керують великі злочинні синдикати, які мають засоби для створення мережі добре навчених шахраїв, кожен з яких здатний вкрасти сотні тисяч доларів.

Атака “сісти на хвіст”

Атака “сісти на хвіст” (англ. “тейлгейтинг”) – це той самий метод соціальної інженерії, що й “сісти на горгоші” (терміни часто використовуються як взаємозамінні). Єдина відмінність полягає в тому, що тейлгейтинг передбачає отримання зловмисником несанкціонованого доступу до фізичних об'єктів (як-от центри обробки даних або серверні приміщення) без відома жертви. А от у “сісти на горгоші” шахраї отримують допомогу зсередини або, в разі цифрового проникнення, використовувати онлайн-інструменти (наприклад, коди для перехоплення сеансів), щоб втрутитися до певних систем. 

Водопій

Атака “водопій” – це різновид кібератаки, яка імітує дії природних хижаків. Подібно до того, як хижаки чекають своєї здобичі біля джерел води, зловмисники знаходять популярні вебсайти й тихенько зламують їх, щоб розповсюдити передові шкідливі програми (наприклад, програми-вимагачі, шпигунські програми) або викрасти якомога більше конфіденційних даних. Шахраї можуть вводити на вебсайти шкідливий код для зараження пристроїв або підробляти облікові дані для входу, надаючи собі доступ до важливих даних (таких як комерційна таємниця). Ось чому атаки "водопій" зазвичай спрямовані на конкретні компанії чи державні установи, а також на конкретні галузі, як-от фінанси чи ІТ. 

Злам ділового листування

Злам ділового листування – це кіберзлочин, який може включати різні схеми соціальної інженерії. Зловмисники можуть виставляти співробітникам компанії підроблені рахунки, зв'язуватися з ними, видаючи себе за генерального директора, або використовувати фішинг для отримання доступу до корпоративних рахунків. Залежно від обраної тактики, мета зламу корпоративного листування може варіюватися від крадіжки грошей до захоплення акаунту та крадіжки даних.

Приклади атак з використанням соціальної інженерії

Один з недавніх прикладів атак з використанням методів соціальної інженерії стався у 2023 році, коли з'явилися повідомлення про порушення даних Twitter. Зловмисники скористалися вразливістю в інтерфейсі прикладного програмування (API) платформи й застосували соціальну інженерію (видали себе за співпрацівника), щоб співробітники Twitter надали їм доступ або облікові дані. Зловмисник отримав доступ до даних користувачів (особисті номери телефонів та адреси електронної пошти, імена користувачів, псевдоніми, кількість підписників і дати створення облікового запису) навіть без залучання складних хакерських навичок.

Іншим прикладом соціальної інженерії стала остання інвестиційна афера WhatsApp, в результаті якої жінка з Кардіффа втратила 50 000 фунтів стерлінгів. Шахраї підійшли до жертви, представившись представниками інвестиційної фірми, і запропонували допомогти їй інвестувати в біткоіни. Потім вони переконали її надати доступ до свого пристрою, щоб вивести зароблені гроші. Отримавши доступ до комп'ютера жертви, шахраї використали конфіденційну інформацію (що зберігається на пристрої), щоб увійти на банківський рахунок жінки, та викрали понад 50 000 фунтів стерлінгів.

Соціальна інженерія в сфері кібербезпеки

Соціальна інженерія є однією з найбільших проблем кібербезпеки. При наявності безлічі прийомів шахрайства організаціям доводиться вкладати величезні кошти й залучати персонал для забезпечення безпеки систем від зловмисників. І все ж, при використанні соціальної інженерії можливостей для атак настільки багато, що досить співробітнику перейти за одним-однісіньким фішинговим посиланням, як вся компанія опиниться заручником кіберзлочинця. 

Ось чому в якості запобіжного заходу експерти з кібербезпеки рекомендують організаціям регулярно проводити тести на фішинг, щоб співпрацівники були готові до потенційних атак. Разом з навчанням активне тестування співробітників підвищить як загальну кібербезпеку компанії, так і її стійкість до атак соціальної інженерії.

Як розпізнати атаки соціальних інженерів

Для розпізнавання атаки з використанням соціальної інженерії вам знадобляться попередні знання про те, як атаки здійснюються. Однак найголовніше, що треба розвивати, – це  пильне, скептичне ставлення до всіляких електронних листів, телефонних дзвінки та текстових повідомлень. Тоді у вас буде більше шансів не потрапити у пастки шахрая. Ось від чого слід насторожитися, щоб потенційно уникнути атаки соціальної інженерії:

• Підозрілі, незвичні запити. Якщо у вас запитують конфіденційну інформацію (облікові дані для входу, банківський номер, дозвіл працівника), будьте пильні та зверніться до когось, хто може підтвердити особу відправника (залежно від відправника, це може бути постачальник послуг або менеджер з персоналу).
• Граматичні та орфографічні помилки. Хоча сучасні шахраї навчилися писати грамотно, все ще можна зустріти випадки фішингу, які мають погано сформульовані повідомлення та безліч помилок. Негайно заблокуйте такого відправника.
• Дивні посилання та вкладення. Якщо ви отримали електронний лист або текстове повідомлення, до якого додається посилання або файл, будьте обережні. Краще скористайтеся засобом перевірки URL-адрес перед переходом за цим посиланням, а також інструментом NordVPN Threat Protection Pro™ для блокування шкідливих посилань і завантажень.
• Неймовірно вигідні пропозиції. Розмірковуючи, чи якась супер-вигідна пропозиція є реальною, завжди пам'ятайте прислів'я: безплатний сир тільки в мишоловці.
• Невідповідності в дескрипторі імейла. Можна підробити практично все, що стосується електронного листа — підпис, стиль письма, логотипи. Однак створити точну копію дескриптора імейла неможливо. Якщо ви маєте сумніви щодо певного електронного листа, перевірте адресу електронної пошти відправника та порівняйте її з офіційними джерелами (наприклад, якщо це постачальник послуг, адресу можна знайти на офіційному вебсайті компанії). Якщо адреси електронної пошти не збігаються, не відповідайте. 
• Непослідовність у спілкуванні. Якщо ви отримали електронний лист від відомої компанії (або начальника на роботі), і формулювання повідомлення (або його тон загалом) здалося вам дивним, не вагайтеся поставити відправнику запитання. Особливо мають насторожити термінові повідомлення, в яких міститься прохання перевести гроші або перейти за якимось посиланням.  
• Запитує забагато інформації. Якщо ви отримали лист від колеги або начальника, в якому міститься запит на надання незвичайного обсягу інформації (або доступу до конфіденційних баз даних), проконсультуйтеся з ним безпосередньо. Навіть якщо справа виявиться реальною й дійсно терміновою, вас, швидше за все, тільки схвалять за те, що поставили кібербезпеку компанії на перше місце. 
• Тиск діяти швидко. Це один з головних ознак атаки за допомогою соціальної інженерії. За деякими винятками (як афера з забоєм свиней), зловмисники будуть намагатися надати своїм повідомленням терміновий характер. Тому, якщо ви відчуваєте тиск надати інформацію або перейти за сумнівними посиланнями, не поспішайте, а тверезо оцініть ситуацію, перш ніж що-небудь робити.

Як запобігти атакам соціальної інженерії

Знаючи тактику обману соціальних інженерів, легше вберегти себе від їх пасток. Надамо кілька додаткових порад щодо запобігання атакам соціальної інженерії:

• Навчайте себе та інших. Якщо ви керуєте компанією, дуже важливо навчати співпрацівників методів захисту від соціальної інженерії. Тестування на проникнення – це чудовий спосіб знайти вразливості у своїй мережі та відпрацювати їх з колегами.
• Звертайте увагу на граматичні та орфографічні помилки. Реальні компанії, як правило, ретельно перевіряють свій контент перед відправкою. А от хакери й досі можуть залишити незліченну кількість граматичних та орфографічних помилок, які можуть свідчити про атаку соціальної інженерії.
• Не бійтеся ставити запитання. Якщо здається, що вас намагаються обдурити по телефону, сміливо ставте додаткові запитання. Найголовніше, слідкуйте за відповідями, чи відповідають вони попередній історії.
• Обмежте кількість інформації, яку ви публікуєте про себе в Інтернеті. Надмірне поширення інформації (наприклад, номерів телефонів, фотографій з робочого місця або навіть сімейного статусу) у соціальних мережах або інших загальнодоступних онлайн-доменах тільки допоможе шахраям зібрати про вас інформацію, а потім використовувати її для атак соціальної інженерії.
• Подбайте про своє програмне забезпечення. Регулярно оновлюйте програми та ОС, інвестуйте в антивірусні програми, встановлюйте спам-фільтри та використовуйте розширення конфіденційності браузера.

Використовуйте VPN. VPN забезпечує користувачу конфіденційність в Інтернеті та захищає його онлайн-трафік від перехоплення потенційними хакерами, особливо під час використання загальнодоступного Wi-Fi. Функція захисту від фішингу Threat Protection Pro™ в NordVPN запобіжить переходу на шкідливі вебсайти та сприятиме формуванню культури безпеки.