Социальная инженерия — инструмент кибермошенничества, которым активно пользуются злоумышленники для финансовых махинаций, кражи данных и получения несанкционированного доступа к системам и конфиденциальной информации, объяснил в беседе с RT Василий Шутов, преподаватель кафедры КБ-1 «Защита информации» РТУ МИРЭА.
«Он заключается в применении различных психологических методов воздействия на людей, в том числе при помощи современных технологий. В отличие от традиционных киберугроз, таких как вирусы или хакерские атаки, социальная инженерия использует не уязвимости программного обеспечения или оборудования, а человеческие слабости», — предупредил собеседник RT.
Это делает её особенно опасной, так как даже самые продвинутые технические меры безопасности могут быть бесполезны, если человек добровольно предоставляет доступ к критически важным данным, заявил Шутов.
«Чаще всего мошенники играют на страхе, желании пользователя помочь или необходимости срочно решить какой-то важный вопрос», — добавил аналитик.
По его словам, один из наиболее распространённых методов социальной инженерии — это фишинг.
«Он заключается в том, что злоумышленники отправляют поддельные электронные письма или сообщения, имитирующие доверенные источники, такие как официальные сайты или сообщества в соцсетях. Цель фишинга — обманом заставить пользователя предоставить свои личные данные: пароли, номера кредитных карт, список контактов и так далее», — рассказал специалист.
Отмечается, что фишинг-атаки часто маскируются под срочные или важные сообщения и направлены на то, чтобы вызвать у пользователя чувство необходимости срочно отреагировать на это сообщение.
«Например, могут рассылаться письма от банков с просьбами обновить данные для безопасности или приходить письма об участии в розыгрыше. Существует также голосовой фишинг — когда мошенники звонят и представляются сотрудниками финансовых организаций, органов власти, руководителем отдела кадров компании и так далее. Но зачастую злоумышленникам даже необязательно лично общаться с пользователем — достаточно прислать ему фейковое сообщение, уведомление или рекламное объявление», — заявил эксперт.
Другой метод социальной инженерии — претекстинг, когда злоумышленник создаёт ложный предлог для получения информации, объяснил Шутов.
«В отличие от голосового фишинга, который обычно осуществляется через телефонные звонки, претекстинг может включать в себя различные формы коммуникации, включая электронные письма, личные встречи и даже использование поддельных документов. Мошенники собирают данные о пользователе в открытых источниках и социальных сетях и, используя их, вынуждают человека сообщить конфиденциальную информацию, перевести деньги, дать доступ к личному кабинету», — отметил он.
По его словам, социальная инженерия также может включать и реальный физический доступ к документам или оборудованию.
«В этом случае мошенники представляются сотрудниками и техническими специалистами различных компаний или официальными представителями органов власти, используя поддельные удостоверения, форму и другие атрибуты, которые усыпляют бдительность человека. Социальная инженерия может быть использована не только для кражи личных данных и денег отдельного пользователя, но и для проведения более сложных кибератак, таких как внедрение вредоносного ПО или получение контроля над критическими системами. Это делает социальную инженерию одной из самых опасных угроз в области кибербезопасности», — заключил эксперт.
Ранее сообщалось, что крупные банки с 1 января 2025 года обяжут вносить реквизиты мошенников в свои системы противодействия подозрительным операциям в течение часа.