• Головна
• Події
• Соціальна інженерія: психологія людини як фактор загрози у сфері кібербезпеки

Соціальна інженерія: психологія людини як фактор загрози у сфері кібербезпеки

Чи задумувались ви коли-небудь, що найслабшою ланкою в системі кібербезпеки може бути не комп'ютер чи програма, а… ви самі? Саме так, людська психологія часто стає ключовим фактором успіху атак кіберзлочинців. У світі, де інформаційні технології пронизують усі сфери нашого життя, розуміння кожним і кожною соціальної інженерії стає критично важливим.

Згідно зі звітом про порушення даних за 2024 рік (2024 Data Breach Investigations Report, DBIR) однієї з найбільших у світі телекомунікаційних компаній Verizon Communications, 68% усіх порушень обумовлені людським чинником, зокрема використанням зловмисниками технологій соціальної інженерії.

• - Прочитати: DBIR 2024. Резюме. Згенероване ChatGPT-4o (2 хв 50 с).
• - Прослухати: DBIR 2024. Резюме. Згенероване ChatGPT-4o.mp3 (2 хв 50 с).

У соціології соціальна інженерія – це концепція, що описує вплив на поведінку та установки людей з метою досягнення певних соціальних цілей. Наприклад, соціальна реклама, освітні програми або навіть політичні кампанії можуть розглядатися як форми соціальної інженерії в соціологічному контексті.

У кібербезпеці термін “соціальна інженерія” набуває іншого, більш загрозливого значення. Під ним мається на увазі сукупність психологічних методів і прийомів, які використовують зловмисники для маніпулювання людьми заради отримання доступу до їхньої конфіденційної інформації (паролів, особистих данних, банківських рахунків тощо) або спонукання жертв до певних дій.

При цьому головна відмінність від соціологічного тлумачення соціальної інженерії полягає саме у наявності злочинного наміру та потенційної шкоди для жертви. Кіберзлочинці намагаються обійти технічні засоби захисту, використовуючи особливості людських емоцій, мотивації та поведінки.

Наслідки кібератак із застосуванням соціальної інженерії можуть бути руйнівними. Для окремої людини вони можуть обернутися:
• - Втратою персональних даних: логіни, паролі, дані банківських карт, особисті фото та відео.
• - Фінансовими збитками: крадіжка грошей із рахунків, оформлення кредитів на ваше ім'я.
• - Втратою доступу до важливих ресурсів: електронна пошта, соціальні мережі, навчальні платформи.
• - Психологічним дискомфортом: стрес, почуття провини, сором, тривога.

Для організації чи установи, зокрема закладу освіти наслідки кібератак із застосуванням соціальної інженерії можуть бути ще масштабнішими:
• - Витік конфіденційної інформації: персональні дані учасників освітнього процесу, фінансова документація, інтелектуальна власність.
• - Збій у роботі інформаційних систем: блокування сайту, навчальних платформ, внутрішньої мережі.
• - Репутаційні втрати: підрив довіри студентів, партнерів, громадськості.
• - Фінансові збитки: витрати на відновлення систем, відшкодування збитків, штрафи від регуляторних органів.

Кіберзлочинці винахідливі у своїх методах. Ось декілька поширених типів атак, з якими ви можете зіткнутися:
• 1. Фішинг (Phishing). Мабуть, найвідоміший тип. Це масове розсилання фальшивих електронних листів або повідомлень, що виглядають як офіційні. Мета – змусити вас перейти за шкідливим посиланням або надати особисту інформацію. Наприклад, Ви отримали електронний лист нібито від Програми розвитку ООН в Україні з повідомленням про термінову перевірку ваших даних для отримання грошової допомоги. Лист містить посилання на фальшиву сторінку входу, де вам пропонується вести свої паспортні дані та банківські реквізити, що одразу потраплять до рук зловмисників.
• 2. Спірфішинг (Spear Phishing). Цільовий фішинг, спрямований на конкретну особу або групу осіб. Зловмисники ретельно вивчають жертву, щоб зробити повідомлення максимально переконливим. Наприклад, Ви отримали електронний лист нібито з навчальної частини коледжу з проханням перевірити свої семестрові оцінки для підрахунку рейтингу, перейшовши для цього за посиланням. Лист може містити ваше ім'я, курс, ОПП, назви навчальних предметів, прізвища викладачів та іншу персоналізовану інформацію, щоб викликати вашу довіру.
• 3. Бейтінг (Baiting або “приманка”). Кіберзлочинці залишають “заражені” носії інформації (наприклад, USB-флешки) у публічних місцях (бібліотека, буфет, коридор коледжу) з надією, що хтось із цікавості їх підбере та використає. Так, ви знаходите у бібліотеці коледжу флешку з написом “Реферати з української музичної літератури”. З цікавості ставляєте її у свій комп'ютер, і шкідливе програмне забезпечення автоматично встановлюється на ваш пристрій.
• 4. Вішинг (Vishing). Голосовий фішинг. Зловмисники телефонують вам, представляючись співробітниками банку, поліції, технічної підтримки тощо, і намагаються виманити конфіденційну інформацію телефоном. уявіть ситуацію: вам телефонує “представник банку” і повідомляє про підозрілу транзакцію з вашої картки. Щоб “заблокувати” операцію, він просить вас назвати номер картки, CVV-код та інші персональні дані.
• 5. Смішинг (Smishing або SMS-фішинг). Аналогічно до фішингу, але повідомлення надходять через SMS. Наприклад, вам у Telegram приходить повідомлення від приятеля або приятельки з проханням за когось проголосувати у конкурсі. Щоб “віддати свій голос”, вам треба перейти за посиланням та авторизуватись.
• 6. Претекстинг (Pretexting). Вигадування правдоподібної історії (приводу), щоб виманити інформацію. Кіберзлочинець створює легенду та видає себе за іншу особу, щоб завоювати довіру жертви. Уявіть, на вашу пошту приходить лист від відправника такого змісту: “Шановний клієнте! Ми оновлюємо системні налаштування G-mail. Підтвердьте свою адресу електронної пошти для запобігання її деактивації. Натисніть на кнопку ПІДТВЕРДИТИ, щоб продовжити використання своєї поштової скриньки. Якщо ви не оновите обліковий запис електронної пошти, його буде деактивовано назавжди. Служба підтримки Google”.
• 7. Quid Pro Quo (послуга за послугу). Зловмисники пропонують допомогу або послугу в обмін на інформацію або доступ. Наприклад, встановлений вами на мобільний телефон неперевірений застосунок із “дуже вигідними” знижками та акціями для онлайн-шопінгу серед іншого просить надати йому доступ до ваших конфіденційних даних – контактів і фото.
• 8. Scareware (лжеантивірус або програма-лякалка). Програмне забезпечення-залякування. Повідомлення про “віруси” або “проблеми” на вашому комп'ютері, що змушують вас купити “рішення” або надати доступ стороннім особам до вашого пристрою для їхнього “усунення”. Наприклад, під час перегляду вебсторінки на екрані з'являється яскраве спливаюче вікно з попередженням про те, що на вашому комп’ютері виявлені небезпечні файли або порнографічні матеріали. Вам пропонують негайно зателефонувати за вказаним у повідомленні номером або встановити “антивірусну програму”, яка насправді є шкідливою та призначена для крадіжки ваших особистих даних, зокрема фінансових.

Соціальна інженерія ефективна, тому що використовує вразливості людської психології. Зловмисники майстерно грають на наших почуттях і базових потребах:
• - Довірі до авторитетів: ми схильні довіряти людям, які представляються офіційними особами (представники влади, банків, закладів освіти тощо), та слідувати їхнім рекомендаціям, особливо в незнайомих ситуаціях.
• - Бажанні допомогти: ми часто готові допомогти тим, хто просить про допомогу, особливо якщо вони здаються в скруті.
• - Страху: повідомлення про проблеми з безпекою, фінансові втрати або втрату доступу до важливих ресурсів викликають страх та паніку, що знижує критичне мислення.
• - Цікавості та жадібності: пропозиції виграшу, безплатні ресурси або цікаві знахідки можуть засліпити нас і спонукати діяти необдумано.
• - Поспіху та неуважності: в умовах дефіциту часу та інформаційного перевантаження ми можемо не помітити підступу та зробити помилку.

Ви вже багато чого дізналися про види атак, що можуть спрямовуватись кіберзлочинцями проти будь-кого з нас, та ті особливості нашої психології, якими вони при цьому маніпулюватимуть.

Саме час перевірити активність своїх знань. Для цього, будь ласка, перегляньте фрагмент художнього фільму “Бджоляр”/The Beekeeper, кінокомпанія Miramax Films, 2024 рік. Вік: 16+. Дубляж українською мовою студії ААА-Sound, 2024 рік.

• - Переглянути: Бджоляр_Miramax_2024_Приклад_СІ.mp4 (5 хв 34 с).

Дайте відповіді на питання:
• 1. Яких видів кібератак із застосуванням соціальної інженерії зазнала героїня? За якими характерними ознаками ви їх упізнали?
• 2. Якими почуттями та потребами героїні маніпулювали злочинці, щоб її ошукати?
• 3. До яких наслідків призвело незнання героїнею базових принципів кібербезпеки й протидії соціальній інженерії? На вашу думку, як їх можна було б уникнути?

На завершення теми – чекліст ефективних практик протидії загрозам соціальної інженерії:
• - Будьте пильними та критично налаштованими. Не довіряйте сліпо будь-якій інформації, особливо якщо вона надходить з невідомих джерел або виглядає надто привабливою чи загрозливою.
• - Ретельно перевіряйте інформацію. Перш ніж діяти, переконайтеся в достовірності повідомлення. Зв'яжіться з організацією, від імені якої надійшло повідомлення, використовуючи офіційні контактні дані (не ті, що вказані в підозрілому повідомленні!).
• - Не поспішайте. Не приймайте поспішне рішення в умовах цейтноту. Зробіть паузу, обдумайте ситуацію, порадьтеся з тим, кому довіряєте.
• - Захистіть свої облікові записи. Використовуйте надійні паролі, двофакторну аутентифікацію, нікому не повідомляйте свої логіни та паролі.
• - Не переходьте за підозрілими посиланнями та не відкривайте вкладення від невідомих відправників.
• - Оновлюйте своє програмне забезпечення. Регулярно оновлюйте операційну систему, браузер та антивірусну програму на своїх пристроях.
• - Будьте обережні з публічним Wi-Fi. Не використовуйте відкриті Wi-Fi мережі для передачі конфіденційної інформації.
• - Повідомляйте про підозрілі випадки. Якщо ви стали жертвою або підозрюєте спробу соціальної інженерії, негайно повідомте про це адміністрацію коледжу, зверніться до поліції за номером “102” або до найближчого відділу поліції, зателефонуйте на “гарячу лінію” Департаменту кіберполіції Національної поліції України за номером 0800-505-170 (Пн-Чт 9:00-18:00, Пт 9:00-17:00) чи надішліть електронне звернення на адресу callcenter@cyberpolice.gov.ua.
• - Постійно навчайтесь кібербезпеки. Слідкуйте за новинами, читайте статті, відвідуйте тренінги з кібербезпеки, щоб бути в курсі нових загроз та методів захисту.

Пам'ятайте: кібербезпека – це відповідальність кожного! Ваша пильність та обізнаність – найкращий захист від соціальної інженерії. Будьте уважні, свідомі та захищені!