Социальная инженерия — инструмент кибермошенничества, которым пользуются злоумышленники для финансовых махинаций, кражи данных и получения несанкционированного доступа к системам и конфиденциальной информации, объяснил RT Василий Шутов, преподаватель кафедры КБ-1 «Защита информации» РТУ МИРЭА. «Он заключается в применении различных психологических методов воздействия на людей, в том числе при помощи современных технологий. В отличие от традиционных киберугроз, таких как вирусы или хакерские атаки, социальная инженерия использует не уязвимости программного обеспечения или оборудования, а человеческие слабости», — предупредил собеседник RT. Это делает её особенно опасной, так как даже самые продвинутые технические меры безопасности могут быть бесполезны, если человек добровольно предоставляет доступ к критически важным данным, заявил Шутов. «Чаще всего мошенники играют на страхе, желании пользователя помочь или необходимости срочно решить какой-то важный вопрос», — добавил аналитик. По его словам, один из наиболее распространённых методов социальной инженерии — это фишинг. «Он заключается в том, что злоумышленники отправляют поддельные электронные письма или сообщения, имитирующие доверенные источники, такие как официальные сайты или сообщества в соцсетях. Цель фишинга — обманом заставить пользователя предоставить свои личные данные: пароли, номера кредитных карт, список контактов и так далее», — рассказал специалист. Отмечается, что фишинг-атаки часто маскируются под срочные или важные сообщения и направлены на то, чтобы вызвать у пользователя чувство необходимости срочно отреагировать на это сообщение. «Например, могут рассылаться письма от банков с просьбами обновить данные для безопасности или приходить письма об участии в розыгрыше. Существует также голосовой фишинг — когда мошенники звонят и представляются сотрудниками финансовых организаций, органов власти, руководителем отдела кадров компании и так далее. Но зачастую злоумышленникам даже необязательно лично общаться с пользователем — достаточно прислать ему фейковое сообщение, уведомление или рекламное объявление», — заявил эксперт. Другой метод социальной инженерии — претекстинг, когда злоумышленник создаёт ложный предлог для получения информации, объяснил Шутов. «В отличие от голосового фишинга, который обычно осуществляется через телефонные звонки, претекстинг может включать в себя различные формы коммуникации, включая электронные письма, личные встречи и даже использование поддельных документов. Мошенники собирают данные о пользователе в открытых источниках и социальных сетях и, используя их, вынуждают человека сообщить конфиденциальную информацию, перевести деньги, дать доступ к личному кабинету», — отметил он. По его словам, социальная инженерия также может включать и реальный физический доступ к документам или оборудованию. «В этом случае мошенники представляются сотрудниками и техническими специалистами различных компаний или официальными представителями органов власти, используя поддельные удостоверения, форму и другие атрибуты, которые усыпляют бдительность человека. Социальная инженерия может быть использована не только для кражи личных данных и денег отдельного пользователя, но и для проведения более сложных кибератак, таких как внедрение вредоносного ПО или получение контроля над критическими системами. Это делает социальную инженерию одной из самых опасных угроз в области кибербезопасности», — заключил эксперт.
