Введение

По данным CertiK, платформы верификации блокчейна и смарт-контрактов, атаки фишинга возросли на 170 процентов во втором квартале 2022 года, как отмечено в ихквартальный отчетКомпания Cisco Talos, специализирующаяся на разведке и исследованиях угроз в рамках Cisco Systems, предвидит, что атаки методом социальной инженерии, в частности, фишинг, станут доминирующими угрозамив Web3и метавселенная в предстоящие годы.

В то время как пузырь dotcom постепенно приобретал доминирование, став одним из самых широко исследуемых событий в истории, социальная инженерия в крипто-пространстве постепенно приобретает свою популярность с ежедневно возрастающими опасениями жертв от мошеннических схем и кибермошенничества, что оставило многих в разрушенном и смутном состоянии. С увеличением принятия крипто, NFT и технологий Web3, также увеличивается количество мошеннических схем в этих областях.

Как смешно это ни кажется, инновации постепенно вышли за рамки совершенствования некоторых процессов; их также можно увидеть в том, как постоянно пересматриваются и разрабатываются новые схемы для обмана многих людей. Интересно, что некоторые пользователи Web3 по-прежнему попадаются, потому что всегда трудно заметить или почувствовать, когда появляются мошеннические схемы. Статистика показывает, что многие люди были невежественны относительно некоторых мошеннических действий, пока не оказались по уши в них.

Инновации и непредсказуемые тенденции в социальной инженерии

Злоумышленники постоянно разрабатывают новые методы обмана пользователей, чтобы заставить их отказаться от своих криптовалютных активов, NFT или конфиденциальных учетных данных, причем фишинг является распространенной формой атаки методом социальной инженерии.

Социальная инженерия является всеобщим элементом практически в каждой кибератаке, проникая через различные формы, такие как классические электронные письма и вирусные мошенничества, пропитанные социальными оттенками. Ее влияние простирается за пределы настольных устройств на цифровые пространства, представляя угрозы через мобильные атаки. Следует отметить, что область деятельности социальной инженерии не ограничивается цифровой сферой, поскольку она может проявляться в реальной жизни, представляя собой разностороннюю угрозу.

Степень ущерба, причиненного социальной инженерией, невозможно полностью охватить и учесть из-за ее широкого охвата. Исследователи в области кибербезопасности обнаружили множество 57 различных способов, которыми кибератаки могут негативно влиять на отдельных людей, бизнесы и даже целые нации. Эти последствия охватывают широкий спектр, включая угрозы для жизни, вызывающие проблемы с психическим здоровьем, такие как депрессия, налагающие регулятивные штрафы и нарушающие рутинные повседневные деятельности.

В основном это манипулятивная стратегия, которая капитализирует на человеческих ошибках для получения конфиденциальной информации, несанкционированного доступа или ценных активов. Следует отметить, что эти мошенничества тщательно разработаны с учётом понимания человеческих мыслительных процессов и поведенческих особенностей, что делает их особенно эффективными в манипулировании пользователями. Понимая мотивы, которые направляют действия пользователя, злоумышленники могут искусно обмануть и повлиять на них.

Типы атак социальной инженерии

Источник: Офис 1.com

Фишинг-атаки

Одним из любимых приемов криминалов, занимающихся социальной инженерией, всегда были фишинговые атаки. Эти злоумышленники притворяются представителями вашего банка или криптовалютной биржи или даже другом, пытаясь заставить вас раскрыть свои пароли или личные данные.

• Спам-фишинг: это похоже на широко брошенную сеть для ловли, пытающуюся поймать кого угодно. Это не персонально; просто надеется, что кто-то клюнет на наживку.
• Спирфишинг и Уайлинг: Эти методы более целенаправленны. Они используют конкретные детали о вас, такие как ваше имя, чтобы обмануть вас. Уайлинг похож на охоту на китов, например, на известных людей или высокопоставленных чиновников.

И как же они доставляют эти трюки?

• Голосовой мошенничество (Вишинг): Они могут позвонить вам, либо с записанным сообщением, либо настоящим человеком, заставляя вас доверять им и быстро действовать
• СМС-фишинг (Смайшинг): вы получаете текст с ссылкой или сообщением, требующим срочного ответа. Это может привести вас на фальшивый веб-сайт или мошеннический электронный адрес или номер телефона
• Email Phishing: Это классический способ. Вы получаете электронное письмо, которое обманывает вас, чтобы нажать на ссылку или открыть что-то плохое
• Фишинговая атака: на социальных медиа они могут притворяться службой поддержки, перехватывая ваш разговор в личные сообщения
• Фишинг поисковых систем: Они манипулируют результатами поиска, чтобы вы попали на поддельный веб-сайт вместо реального
• Ссылки для фишинга URL: Эти хитроумные ссылки появляются в электронных письмах, текстовых сообщениях или социальных медиа, пытаясь заманить вас на фальшивые веб-сайты
• Фишинг во время сеанса: это происходит, когда вы просматриваете интернет с поддельными всплывающими окнами, запрашивающими ваши данные для входа

Другие типы социальной инженерии включают в себя:

Атаки на приманку

Бэйтинг обманывает вас, используя ваш естественный интерес, чтобы заманить вас на то, чтобы выставить себя на атакующего. Они часто обещают что-то бесплатное или эксклюзивное, чтобы эксплуатировать вас, обычно включая заражение вашего устройства вредоносным ПО. Распространенные методы включают оставление USB-накопителей в общественных местах или отправку вложений в электронной почте с предложениями бесплатных товаров или фальшивого программного обеспечения.

Физические атаки нарушения

Это включает появление злоумышленников лично, притворяющихся кем-то законным, чтобы получить доступ к ограниченным зонам или информации. Это более распространено в крупных организациях. Злоумышленники могут притворяться доверенным поставщиком или даже бывшим сотрудником. Это рискованно, но если успешно, вознаграждение высоко.

Атаки с предварительным текстом

Pretexting использует фальшивую личность для установления доверия, например, выдавая себя за продавца или сотрудника. Злоумышленник активно взаимодействует с вами и может использовать ваш кошелек, как только убедит вас в своей легитимности.

Атаки на хвостовик доступа

Тейлгейтинг, или пиггибэкинг, - это когда кто-то следует за авторизованным лицом в ограниченную зону. Они могут полагаться на вашу вежливость, чтобы удержать дверь или убедить вас, что им разрешен вход. Претекстинг также может играть здесь роль.

Атаки по принципу «услуга за услугу»

Это включает в себя обмен вашей информации на вознаграждение или компенсацию. Они могут предлагать различные подарки или исследовательские исследования, чтобы получить ваши данные, обещая что-то ценное. К сожалению, они просто берут ваши данные, не давая вам ничего взамен.

Атаки Scareware

В атаках scareware вредоносное ПО пугает вас действовать, показывая фальшивые предупреждения о заражениях вредоносным ПО или скомпрометированных учетных записях. Это заставляет вас покупать поддельное кибербезопасное программное обеспечение, которое может раскрыть ваши личные данные.

Примеры атак на социальную инженерию

Выделение этих примеров также может служить основным моментом этой статьи, чтобы позволить читателям предпринять больше предосторожностей, когда они сталкиваются с подобными ситуациями.

Ниже приведены примеры атак социальной инженерии:

Атаки червей

Киберпреступники привлекают внимание, заманивая пользователей кликать по зараженным ссылкам или файлам. Примеры включают червь LoveLetter в 2000 году, червь электронной почты Mydoom в 2004 году и червь Swen, выдающий себя за сообщение от Microsoft, предлагающий фальшивое обновление безопасности.

Каналы доставки вредоносных ссылок

Относительно вредоносного ПО зараженные ссылки могут быть отправлены по электронной почте, мгновенным сообщениям или интернет-чатам. Мобильные вирусы могут быть доставлены через SMS-сообщения. Обратите внимание, что эти сообщения обычно используют интригующие слова, чтобы заманить пользователей к нажатию, обходя антивирусные фильтры электронной почты.

Атаки на сеть Peer-to-Peer (P2P)

В сетях P2P их используют для распространения вредоносных программ с заманчивыми названиями. Файлы вроде "AIM & AOL Password Hacker.exe" или "Playstation emulator crack.exe" привлекают пользователей к их загрузке и запуску.

Пристыжение зараженных пользователей

Создатели вредоносных программ манипулируют жертвами, предлагая фальшивые утилиты или руководства, обещающие незаконные выгоды, такие как бесплатный доступ в интернет или генератор номеров кредитных карт. Жертвы, не желая раскрывать свои незаконные действия, часто избегают сообщать о заражении.

Как работает социальная инженерия?

Источник: Imperva, Inc.

Атаки социальной инженерии в основном зависят от искреннего общения между злоумышленниками и целями. Вместо того, чтобы полагаться на насильственные методы для нарушения данных, атакующие обычно стремятся манипулировать пользователями, чтобы подорвать их собственную безопасность.

Цикл атаки социальной инженерии следует систематическому процессу, используемому этими преступниками для эффективного обмана людей. Основные этапы этого цикла следующие:

• Атаки социальной инженерии обычно развиваются в ряде шагов. Злоумышленник начинает процесс, изучая биографию потенциальной жертвы, стремясь собрать важную информацию, такую как слабые практики безопасности или уязвимые точки входа.
• Вооружившись достаточным количеством деталей, преступник устанавливает доверительные отношения с жертвой, используя различные тактики. Социальная инженерия включает в себя такие методы, как создание ложной срочности, выдача себя за авторитетную фигуру или размахивание заманчивыми наградами.
• После этого они разъединяются, что означает, что они отступают после того, как пользователь совершил желаемое действие.

Это манипуляция часто опирается на искусство убеждения, где злоумышленники используют психологические тактики для эксплуатации человеческого поведения. Понимая эти тактики, люди могут лучше распознавать и сопротивляться потенциальным попыткам социальной инженерии, способствуя более безопасной цифровой среде. Так что будьте информированы, будьте бдительны и отдавайте предпочтение онлайн-безопасности!

Социальная инженерия в Веб 3.0

Источник: Systango

Пространство Веб 3.0 в последнее время стало значительным полигоном для многих злонамеренных социальных инженерных действий. В области криптовалют хакеры часто используют тактику социальной инженерии для получения несанкционированного доступа к криптокошелькам или аккаунтам. Цифровые активы пользователей криптовалют, хранящиеся в кошельках с конфиденциальными приватными ключами, становятся основными целями для мошеннических действий со стороны социальной инженерии из-за их чувствительной природы.

Вместо того, чтобы полагаться на грубую силу для нарушения безопасности и кражи криптовалютных активов, злоумышленники используют различные техники для эксплуатации человеческих уязвимостей. Например, злоумышленники могут разрабатывать схемы для обмана пользователей с целью раскрытия личных ключей через кажущиеся невинные методы, такие как фишинговые электронные письма. Представьте себе, что вы получаете электронное письмо, которое кажется отправленным от вашего сервиса кошелька или службы поддержки, но на самом деле это попытка фишинга, нацеленная на то, чтобы обмануть вас и раскрыть важную информацию.

Например, ниже приведено изображение попытки социальной инженерии на X (ранее известной как Twitter). Мягко говоря, X можно назвать глобальным продуктом с мощными брандмауэрами и защитами, но, к сожалению, социальная инженерия не знает границ, поскольку эти преступники продолжают разрабатывать инновационные и более продвинутые модели для проникновения через любую упорную стену или к любому человеку/организации, к которым они хотят получить доступ.

Источник: X Поддержка

Еще один твит был замечен на X 15 июля 2020 года, от пользователя с именем ‘@loppРабота художника ребят по социальной инженерии кажется ему знакомой, так как его твиты показывают определенный уровень опыта.

Источник: Jameson Loop на X

Для защиты ваших криптовалютных активов крайне важно оставаться бдительным против таких обманчивых тактик. Будьте осторожны с неожиданными электронными письмами или сообщениями, проверяйте подлинность коммуникации и никогда не делитесь частными ключами с неизвестными источниками. Еще один твит от 13 февраля 2022 года показывает еще одно далекое от подобных деятельностей.

Источник: Thomasg.eth on X

Кроме того, в сентябре 2023 года децентрализованный протокол Balancer, работающий на блокчейне Ethereum, сообщил о инциденте безопасности, связанном с атакой методом социальной инженерии. Платформа вернула контроль над своим доменом, но предупредила пользователей о потенциальной угрозе со стороны несанкционированного веб-сайта. Balancer призвал пользователей оставаться бдительными и быть в курсе рисков, связанных с инцидентом.

Источник: Balancer на X

Характеристики атак социальной инженерии

Атаки социальной инженерии связаны с искусным использованием злоумышленником убеждения и уверенности, заставляя людей совершать действия, которые они обычно бы не рассматривали.

В лицо этим тактикам люди часто поддаются следующему обманчивому поведению:

• Повышенные эмоции: Эмоциональное манипулирование - это мощный инструмент, эксплуатирующий людей в повышенном эмоциональном состоянии. Люди более склонны принимать иррациональные или рискованные решения, находясь в состоянии повышенных эмоций. Тактики включают в себя вызывание страха, волнения, любопытства, гнева, вины или грусти.
• Срочность: Времячувствительные обращения или запросы представляют собой надежную стратегию для злоумышленников. Создавая чувство срочности, злоумышленники могут представить якобы срочную проблему, требующую немедленного внимания, или предложить ограниченный по времени приз или вознаграждение. Эти тактики разработаны для переопределения способностей к критическому мышлению.
• Доверие: Установление правдоподобия имеет первостепенное значение в атаках социальной инженерии. Доверие является ключевым элементом, поскольку злоумышленники фабрикуют нарратив, подкрепленный достаточным исследованием цели, чтобы сделать его легко правдоподобным и вряд ли вызовет подозрения.

Как определить атаки социальной инженерии

Исходный текст: Xiph Cyber

Защита от социальной инженерии начинается с самосознания. Подумайте, прежде чем реагировать или принимать меры, так как злоумышленники полагаются на быстрые реакции. Вот несколько вопросов, которые стоит рассмотреть, если вы подозреваете атаку методом социальной инженерии:

• Проверьте свои эмоции: Ваши эмоции усилены? Вы можете быть более уязвимыми, если чувствуете необычное любопытство, страх или волнение. Повышенные эмоции могут помутить суждение, поэтому важно распознать эти красные флаги.
• Проверка отправителей сообщений: Сообщение пришло от законного отправителя? Внимательно изучите адреса электронной почты и профили в социальных сетях на предмет незначительных различий, таких как опечатанные имена. При возможности проверьте с предполагаемым отправителем через другие способы, так как фальшивые профили являются распространенными.
• Подтвердите личность отправителя: Действительно ли ваш друг отправил сообщение? Подтвердите у человека, отправил ли он сообщение, особенно если в нем содержится конфиденциальная информация. Он может быть не в курсе взлома или выдачи себя за кого-то.
• Проверьте детали веб-сайта: есть ли на веб-сайте странные детали? Обратите внимание на несоответствия в URL-адресе, качество изображения, устаревшие логотипы или опечатки на веб-странице. Если что-то кажется подозрительным, немедленно покиньте веб-сайт.
• Оцените подлинность предложения: кажется ли предложение слишком хорошим, чтобы быть правдой? Будьте осторожны с заманчивыми предложениями, поскольку они часто мотивируют атаки методом социальной инженерии. Возникает вопрос, почему кто-то предлагает ценные предметы за минимальную выгоду с их стороны, и оставайтесь бдительными против сбора данных.
• Изучите вложения и ссылки: Выглядят ли вложения или ссылки подозрительно? Если ссылка или имя файла кажется неясным или не в контексте, пересмотрите законность всего общения. Красные флаги могут включать странное время, необычный контекст или другие подозрительные элементы.
• Требование подтверждения личности: Может ли человек доказать свою личность? Если кто-то запрашивает доступ, особенно лично, настаивайте на проверке личности. Убедитесь, что они могут доказать свою принадлежность к утвержденной организации, будь то онлайн или лично, чтобы предотвратить стать жертвой физических нарушений.

Заключение

Постоянно изменяющийся ландшафт атак со стороны социальной инженерии требует постоянного бдительности со стороны пользователей Web3. Хотя инновации революционизировали нашу жизнь, они также стали мечом с двойным лезвием, давая силу как прогрессу, так и зловредным деятелям. Поскольку ответственность за защиту наших цифровых активов лежит на наших плечах, принятие проактивных шагов критично.

Эта статья дала вам ценные знания для выявления и противодействия попыткам социальной инженерии. Помните, что замедление и критическое мышление перед принятием любого действия являются вашей ключевой защитой. Внедрите перечисленные профилактические меры, такие как тщательное изучение коммуникационных каналов, внедрение многофакторной аутентификации, укрепление паролей и информирование о развивающихся техниках фишинга.

Мы можем совместно создать более безопасную и ответственную среду веб-3, быть внимательными и проактивными. Помните, что обязанность лежит на каждом индивидууме защищать себя и свои цифровые активы. Так что оставайтесь бдительными, информированными и в безопасности!