Социальная инженерия является методом, который злоумышленники активно используют для кибермошенничества, направленного на финансовые манипуляции, кражу данных и несанкционированный доступ к системам и конфиденциальной информации. Об этом в интервью с RT рассказал Василий Шутов, преподаватель кафедры КБ-1 «Защита информации» РТУ МИРЭА.

По его словам, данный метод основан на использовании различных психологических приемов воздействия на людей, в том числе с применением современных технологий. В отличие от традиционных киберугроз, таких как вирусы или хакерские атаки, социальная инженерия не эксплуатирует уязвимости программного обеспечения или оборудования, а нацеливается на человеческие слабости, предупреждает эксперт. Это делает метод особенно опасным, так как даже самые совершенные технические меры безопасности могут оказаться бессильными, если человек сам предоставляет доступ к критически важным данным. Шутов отметил, что злоумышленники часто играют на страхах пользователей, на их желании помочь или на необходимости срочно решить важный вопрос.

Фишинг

Одним из наиболее распространенных методов социальной инженерии является фишинг, объяснил аналитик. Этот метод включает отправку поддельных электронных писем или сообщений, которые имитируют доверенные источники, такие как официальные сайты или социальных сетей. Цель фишинга состоит в том, чтобы обмануть пользователя и заставить его предоставить личные данные, такие как пароли, номера кредитных карт и контактную информацию.

Фишинг-атаки часто маскируются под срочные или чрезвычайно важные сообщения, чтобы вызвать у пользователя чувство необходимости срочно отреагировать. Например, мошенники могут рассылать письма от банков с просьбой обновить информацию для обеспечения безопасности или сообщения об участии в розыгрыше призов.

Существует также голосовой фишинг, когда злоумышленники звонят, представляясь сотрудниками финансовых организаций, органов власти или других уважаемых структур. Однако, зачастую, личное общение с пользователем не требуется — достаточно отправить ему ложное сообщение или уведомление.

Претекстинг

Еще одной техникой социальной инженерии является претекстинг, который предполагает создание ложного предлога для получения информации, пояснил Шутов. В отличие от голосового фишинга, который в основном реализуется через телефонные звонки, претекстинг может включать различные формы коммуникации, такие как электронные письма, личные встречи и даже использование поддельных документов. Мошенники собирают данные о пользователе из открытых источников и социальных сетей, чтобы вынудить его выдать конфиденциальную информацию, перевести деньги или предоставить доступ к личным аккаунтам.

Кроме того, социальная инженерия может включать и физический доступ к документам или оборудованию. В таких случаях злоумышленники выдают себя за сотрудников компаний или представителей официальных органов, используя поддельные удостоверения и специальную форму, что помогает им обмануть бдительность жертвы.

Социальная инженерия может быть использована не только для кражи данных и денег у отдельных пользователей, но и для проведения более сложных кибератак, например, внедрения вредоносного ПО или получения контроля над критическими системами. Таким образом, социальная инженерия представляет одну из самых серьезных угроз в сфере кибербезопасности.