Додаткові матеріали

Методи соціальної інженерії

Фішинг — найпоширеніший метод виманювання конфіденційної

інформації. В його основі лежить вплив на емоції користувачів
Інтернету — примус або маніпуляція. Детальніше про фішинг
дізнаєтесь у серії про поштову скриньку.
Вішинг — різновид фішингу, який здійснюється через телефон.
Яскравий приклад — дзвінок нібито з банку. Зловмисники, вдаючи із
себе співробітників банку, вигадують різні приводи для виманювання
даних. Наприклад, кажуть, що відбулося блокування карти, і служба
безпеки банку проводить звіряння особистих даних клієнтів для
убезпечення їх від шахрайства. Іншим прикладом є схеми типу «Ваш
родич потрапив в аварію чи поліцію». Найчастіше зловмисники
здійснюють такого роду дзвінки вночі або рано вранці, коли людина
сонна, погано міркує. Шахраї здебільшого розмовляють чітко,
впевнено та помірно швидко, щоб не дати змоги жертві зважити
ситуацію та поміркувати. При дзвінках «із поліції» шахраї роблять
ставку на розгубленість жертви та застосовують методи психологічного
тиску, змушуючи особу «вирішувати справу зараз і вже, оскільки немає
часу зволікати».
SMS-фішинг — різновид фішингу, який здійснюється через SMS-
розсилки. Одним із яскравих прикладів є SMS-повідомлення нібито
про виграш великої суми грошей або автомобіля. Однак, щоб
отримати виграш, потрібно внести 10 % за «оформлення» необхідної
документації тощо. Також SMS-шахрайством є повідомлення від
«банків».

ОСВІТНІЙ СЕРІАЛ «ОСНОВИ КІБЕРГІГІЄНИ» 1

 Рис. 1. Приклади SMS-фішингу

«Кві про кво» (від лат. Quid pro quo) — метод соціальної інженерії,
що поєднує в собі ознаки фішингу та вішингу. Здебільшого шахрай
телефонує співробітникові компанії (найчастіше із підміною номера,
щоб він виглядав як корпоративний) та представляється службою
технічної підтримки. Зловмисник повідомляє, що виникли певні
технічні проблеми, і, щоб їх полагодити, йому потрібно, щоб
співробітник вчинив певні дії. Переважно під «керівництвом»
н е с п р а в ж н ь о го п р ед ст а в н и ка сл уж б и тех н і ч н о ї п і д т р и м к и
співробітник, нічого не підозрюючи, завантажує вірус або надає
зловмиснику віддалений доступ до комп’ютера. 
«Дорожнє яблуко» («road apple»), або «Троянський кінь», — це
метод атаки, який передбачає підкинути співробітнику компанії чи
установи фізичний носій інформації (флеш-накопичувач, диск) зі
шкідливим програмним забезпеченням. Носій може мати логотип
компанії чи надпис, що зацікавить співробітника, наприклад, «Список
на звільнення», «Заробітна плата. Жовтень» тощо. Щойно співробітник
вставить такий носій у комп’ютер, він запустить шкідливий код, який
надасть хакеру віддалений доступ до мережі.
«Зворотна соціальна інженерія» — це вид соціальної інженерії, за
якої особа сама звертається до шахрая та повідомляє свої
конфіденційні дані. Одним із можливих сценаріїв є, коли шахрай
надсилає співробітникам компанії нібито нові номери телефонів

ОСВІТНІЙ СЕРІАЛ «ОСНОВИ КІБЕРГІГІЄНИ» 2

служби технічної підтримки. Цілком імовірно, що через певний час

хтось із співробітників зателефонує і шахрай зможе вивідати
інформацію, яка його цікавить. 
Складна атака через проміжну ціль («Supply chain attack») — це
кількаступенева атака, в ході якої хакер атакує не напряму організацію,
яка його цікавить, а менш захищену проміжну організацію чи установу,
а вже через неї компрометує ту ціль, яка від самого початку його
цікавила. Атаки «supply chain» характерні для промислового,
фінансового сектору та державних установ. Наприклад, хакер обрав
своєю ціллю банк, однак після його вивчення зрозумів, що установа
має високий рівень захисту і просто так її не скомпрометувати. У
такому разі хакер може сфокусуватися на атаці підрядників,
наприклад, на невеликій компанії, яка розробляє або обслуговує сайт
чи бази даних банку. Невеликі компанії зазвичай менш захищені, а
тому скомпрометувати їх набагато простіше.
Скомпрометувавши, скажімо, розробника вебсайтів, хакер зможе
інтегрувати шкідливий програмний код у програмне забезпечення
підрядника, яке надалі буде встановлене в системах банку, і хакер у
такий спосіб отримає несанкціонований доступ до самого банку.

ОСВІТНІЙ СЕРІАЛ «ОСНОВИ КІБЕРГІГІЄНИ» 3

 Психологічні прийоми

Зловмисник листується із жертвою, ділиться нібито

конфіденційною інформацією про свою компанію, тим
🤝 Взаємність самим провокує жертву розкрити деталі й про свою
установу.

Зловмисник просить спочатку пароль від Wi-Fi для

гостей, потім каже, що не може приєднатися через
🔑 Послідовність технічний збій, і просить пароль від внутрішньої
мережі Wi-Fi, а Вам уже незручно відмовляти.

Соціальний
🧑🤝🧑 конформізм
Людина погоджується з тим, що робить більшість.

Зловмисники маскуються під авторитетні ресурси,

🙋 Авторитет грають на довірі користувачів (приклад — злом
акаунтів відомих людей і компаній у твіттері).

Людина охочіше та швидше виконує прохання тих, хто

їй симпатичний, і хакери можуть «вербувати» жертву,
❤ Симпатія надсилаючи компліменти, особливо із фейкових
сторінок із красивими фотографіями осіб протилежної
статі.

Людина завжди більше бажає того, що їй недоступно:

🕵 Дефіцит якщо є повідомлення, що документ чи файл скоро
зникне, імовірність його завантаження зростає.

Маніпулювання

на прагненні
💰 отримати «швидкі Людина погоджується з тим, що робить більшість.
гроші»

Пожертви грошей потерпілим від стихійних лих,

🏥 благими намірами переселенцям, хворим тощо.

😱 іншими почуттями Страх, цікавість…

ОСВІТНІЙ СЕРІАЛ «ОСНОВИ КІБЕРГІГІЄНИ» 4

 Загальні поради щодо протидії атакам із

використанням соціальної інженерії

• Не повідомляйте стороннім людям конфіденційну інформацію чи

дані про установу, де Ви працюєте (її структуру, програмне
забезпечення, керівників, іншу службову інформацію). 
• Уникайте або обмежуйте публікування своїх персональних даних,
фотографій у соціальних мережах, на сайтах чи порталах. У жодному
разі не використовуйте адресу робочої електронної пошти для
реєстрації в соціальних мережах чи сайтах, не пов’язаних із
роботою, наприклад, в Інтернет-магазинах. Якщо можливо, обмежте
доступ до Вашої сторінки в соціальних мережах лише друзям.  
• Якщо Вам телефонує хтось із невідомого номера, представляється
співробітником банку, поліції, прокуратури тощо і просить
повідомити персональні дані, переказати кошти чи повідомити дані
платіжної картки — не робіть цього! Зазвичай це шахраї. Не
піддавайтесь паніці.
• Ігноруйте запити й повідомлення в соціальних мережах від
акаунтів, які не мають активності, або помітно, що це одноденні
акаунти без постів, з малою кількістю світлин тощо. 
• Користуйтеся антивірусами, ліцензійним програмним
забезпеченням.
• На всіх сервісах, де це можливо, активуйте двофакторну
автентифікацію.   

ОСВІТНІЙ СЕРІАЛ «ОСНОВИ КІБЕРГІГІЄНИ» 5

 Що робити в разі атаки на Вас із

використанням методів соціальної інженерії

• Якщо Ви помітили підозрілу активність щодо себе, Вам надсилають

фішингові емейли, Ви отримуєте підозрілі дзвінки або хтось
сторонній через Вас дізнався службову інформацію, повідомте про це
свого керівника.  
• Якщо Ви повідомили сторонній особі свої особисті дані, реквізити
банківської картки чи рахунку, розкрили свій пароль, перейшли за
підозрілим посиланням і там залишили згадані вище персональні
дані, негайно змініть паролі та ввімкніть двофакторну автентифікацію.
• Стежте надалі за своїми акаунтами в соцмережах, електронною
поштою, банківським рахунком тощо, щодо будь-яких підозрілих дій.

ОСВІТНІЙ СЕРІАЛ «ОСНОВИ КІБЕРГІГІЄНИ» 6