Искусство и наука манипулирования человеческим поведением называется социальной инженерией. Ее цель состоит в том, чтобы заставить жертву предпринять какое-то действие, от покупки билета до перехода на новую диету.

К примеру, вся реклама – это форма социальной инженерии. Рекламодатели ставят перед собой цель побудить своих целевых потребителей покупать их продукты, например, зерновые определенной марки. Иногда этот прием можно использовать в хороших целях, например, для поощрения людей к переработке отходов. Но киберпреступники не такие альтруисты. Они используют социальную инженерию, чтобы побудить своих жертв к действиям, которые наносят ущерб безопасности их компании и помогают злоумышленникам достичь своих целей.

 

Как социальная инженерия соотносится с кибербезопасностью?

Подавляющее большинство киберпреступлений содержат элемент социальной инженерии. Вот почему так трудно обнаружить эти схемы и противостоять им. Киберпреступники хотят вызвать в вас чувство, которое побудит вас к действию. И на самом деле они обращаются к двум основным чувствам: страху и доверию. Злоумышленники должны убедить свою цель кликнуть на ссылку или загрузить вложение, поэтому они используют такие уловки, как спуфинг, чтобы обманом заставить вас купиться на их ложь, выдавая себя за надежные источники. Они также извлекают выгоду из хаоса и неопределенности. Это главная причина массового бума киберпреступности в 2020 году – множество людей, которые были сбиты с толку, напуганы и испытывали стресс, создали подходящую для мошенничества обстановку.

Киберпреступники становятся все более изощренными в разработке и доставке своих приманок. Мошенничество с использованием социальной инженерии, использующее целевой фишинг, может быть таким же простым, как поддельное электронное письмо от магазина с просьбой изменить пароль вашего онлайн-аккаунта, и столь же сложным, как правдоподобная имитация личности руководителя. Также это проверенный способ обманом заставить жертв загрузить программу-вымогатель. Это быстро, легко и прибыльно – количество таких атак уже выросло на 40% по сравнению с прошлым годом. Подобное мошенничество станет только более влиятельным в будущем, поскольку объем информации, доступной злоумышленникам, в дарквебе будет расти. Только в 2020 году было добавлено еще 22 миллиарда записей.

Вот несколько примеров социальной инженерии, связанной с кибербезопасностью:

  • Заманить жертву на поддельный веб-сайт для «обновления пароля», когда они в действительности передают его киберпреступникам.
  • Убеждение жертв загрузить документ с изложением новой политики компании, который на самом деле представляет собой бомбу-вымогатель.
  • Уговорить жертву отправить злоумышленникам конфиденциальную информацию, притворившись руководителем организации.

Кроме того, киберпреступники во многих случаях не единственные, кто занимается социальной инженерией, и не только они оказывают влияние. Культура кибербезопасности, политика компании, страх, стресс, истощение – все эти факторы в совокупности могут порождать обстоятельства, которые заставят сотрудников предпринимать определенные действия в отношении кибербезопасности.

 

10 фактов о социальной инженерии, которые демонстрируют серьезность этого риска

Взгляните на эту статистику, чтобы увидеть реальную картину этой угрозы.

  • 98% кибератак основываются на социальной инженерии.
  • 43% ИТ-специалистов заявили, что в прошлом году они стали мишенью социальной инженерии.
  • 45% сотрудников нажимают на сообщения электронной почты, которые они считают подозрительными, «на всякий случай».
  • 47% сотрудников назвали «отвлечение» главным фактором, который помешал им обнаружить попытки фишинга.
  • В среднем атаки социальной инженерии обходятся в 130 тысяч долларов.
  • Тип атак социальной инженерии номер один — фишинг.
  • IC3 сообщает, что компрометация корпоративной электронной почты с помощью социальной инженерии является самым затратным киберпреступлением.
  • Эффективность кибератак с применением социальной инженерией составляет чуть менее 80%.
  • По оценкам, от 70 до 90% нарушений вызваны социальной инженерией.
  • 45% сотрудников не сообщают о подозрительных сообщениях, опасаясь неприятностей.

 

Попробуйте себя в социальной инженерии

Создание здоровой культуры кибербезопасности необходимо для защиты бизнеса от последствий социальной инженерии. Сделав кибербезопасность приоритетом и обучая всех распознавать угрозы, вы заставляете каждого сотрудника чувствовать себя частью команды безопасности. Вот почему обучение противодействию фишингу так важно. Если хотя бы один сотрудник обнаружит и остановит фишинговое письмо, потому что он вложил средства в поддержание надежной защиты, это может сэкономить компании миллионы долларов, а также избавить компанию от бесчисленных головных болей при восстановлении после кибератаки.

 

Оригинал материала

5 июня, 2021