Самое слабое звено защиты любой системы - сами пользователи. Социальная инженерия пытается использовать присущие людям слабости, напр. торопливость, алчность, альтруизм или страх перед официальным учреждением, в целях получения конфиденциальной информации и последующего доступа в систему.

Социальная Инженерия (СИ) – это совокупность способов психологического воздействия на поведение человека с целью получения выгоды - личной информации, денежных средств и т.д

Существует множество разнообразных техник социальной инженерии, но их объединяет одно: в основе лежат когнитивные искажения, то есть человеческая глупость и невнимательность. Самыми распространёнными способами использования мошенниками социальной инженерии являются:

• Фишинг
• Претекстинг
• Троянские вирусы
• Мошенничество с использованием брендов известных корпораций
• Мошенничество в соц. сетях и т.д

Фишинг – это вид интернет-мошенничества, целью которого является получение доступа к персональным данным пользователей. Это самая популярная схема социальной инженерии на сегодняшний день.

Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, предшествующих ей. Наиболее ярким примером такой атаки может служить сообщение, отправленное жертве по электронной почте и подделанное под официальное письмо - от банка или платёжной системы - требующее проверки определённой информации или совершения определённых действий.

Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную и содержащую форму, требующую ввести конфиденциальную информацию.

Претекстинг – это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону.

Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований, как: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется через телефон или электронную почту.

Троянские вирусы - это техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Мошенничество с использованием брендов известных корпораций - в таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний.

В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учётные данные или привязать карту к учётной записи для участия.

Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.

Необходимо остерегаться любых не известных предложений помощи, в особенности предлагающих переход по сторонним ссылкам. Как правило, в подобных случаях речь идет об уловках социальной инженерии. Данное правило тем более актуально, если от пользователя требуется указать учетные или банковские данные. В таком случае без всяких сомнений речь идет о мошенничестве, так как уважающие себя финансовые организации ни при каких обстоятельствах не будут запрашивать учетные данные посредством сообщения эл. почты. Кроме того, настоятельно рекомендуем проверить адрес отправителя, кажущегося вам подозрительным сообщения эл. почты и убедиться в его легитимности.

Для проведения своих атак злоумышленники, применяющие техники социальной инженерии, зачастую эксплуатируют доверчивость, лень, любезность и даже энтузиазм пользователей. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули. Злоумышленники, использующие методы социальной инженерии, преследуют, в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги или личные данные.

• представление сотрудником банка, партнерской компании, представителем закона
• предложение помощи в случае возникновения проблемы и последующее провоцирование возникновение проблемы, которое принуждает жертву попросить о помощи
• использование внутреннего сленга и терминологии для возникновения доверия
• отправка вирус или троянского коня в качестве приложения к письму
• использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль
• предложение приза за регистрацию на сайте с именем пользователя и паролем
• подбрасывание диска или флешки с вредоносным ПО на стол жертвы и т.д

• При разговоре по телефону с незнакомым человеком следует быть внимательным и принимать какие-либо решения обдуманно, поскольку чаще всего социальный инженер будет ставить вас в ситуацию, где надо быстро принять решение. Излишняя спешка может привести к потере ценной информации или личным данным
• Проверяйте ваш компьютер на вирусы
• Не вводите свои платёжные данные на сомнительных сайтах
• Не стоит переходить по странным ссылкам, пришедшим вам на почту от неизвестных источников. Пример: “Хотите новый IPhon X всего за 1 доллар?”
• Не сообщайте ваши личные данные в социальных сетях или по телефону.