Что такое социальная инженерия
В контексте информационной безопасности, социальная инженерия — это психологическое манипулирование людьми, заставляющее их выполнять определенные действия или разглашать конфиденциальную информацию. Так, среднестатистический человек может поддаться таким эмоциям, как жадность, страх или любопытство, которые заставляют его принимать пагубные для себя решения.
Согласно обзору угроз за первый квартал 2024 года от разработчиков антивирусной программы Avast, 90% угроз приходится на атаки с использованием социальной инженерии. Причем такие атаки процветают везде: от ПК до мобильных устройств и YouTube. В мире криптовалют схем, завязанных на социальной инженерии, разумеется, тоже в избытке.
Фишинг
Идея фишинга довольно проста: злоумышленники, притворяясь, что они представляют какую-либо организацию, завоевывают доверие пользователей и обманом заставляют их совершать какие-либо действия. Как правило, злоумышленники скрываются под личиной реальных аккаунтов и под видом, например, техподдержки, начинают общение с пользователем.
Допустим, злоумышленник хочет получить доступ к закрытым ключам или seed-фразам от кошельков. Он направляет электронное письмо от имени службы поддержки кошелька Trust или MetaMask и просит ничего не подозревающую жертву под убедительным предлогом прислать ему данные. Если она это сделает, то злоумышленник тут же получит доступ к кошельку.
Байтинг
Байтинг (от английского: «приманка») использует ложные обещания, чтобы сыграть на жадности или любопытстве жертвы. Типичный пример: массовая рассылка сотрудникам компаний электронных писем, которые якобы содержат информацию о повышении заработной платы, календарь праздников, предложения о работе и так далее. Жертвы открывают зараженный файл, что приводит к автоматической установке вредоносного ПО.
Quid Pro Quo
Атака Quid Pro Quo (с латинского: «услуга за услугу») — это когда мошенники запрашивают приватные данные как бы в «обмен» на какую-то услугу. Например, злоумышленник может пообещать вознаграждение или предложить поучаствовать в исследовании в обмен на нужные ему данные. Мошенники также могут выдавать себя за техподдержку, выражая готовность помочь с проблемой в обмен на личную информацию или другие конфиденциальные данные. От фишинга это отличается тем, что злоумышленник как будто предлагает какую-то услугу.
Претекстинг
Название происходит от слова «pretext», которое переводится с английского как «предлог». Соответственно, в этой схеме злоумышленник под правдоподобным предлогом пытается украсть у пользователя данные или криптовалюту. Мошенники, как правило, выдают себя за доверенное лицо, например, сотрудника банка, налоговой или правоохранительных органов.
Scareware
Scareware, что можно приблизительно перевести как «пугающее ПО», — это схема, когда мошенник пугает жертв, заставляя их поверить, что они находятся в серьезной опасности. Предполагается, что жертвы должны нажать кнопку, чтобы либо удалить вирус, либо загрузить «специальное» программное обеспечение, которое справится с вирусом, либо связаться с тем, кто поможет избавиться от проблемы. В любом случае, если жертва будет следовать «пугалкам», ничего хорошего из этого не выйдет.
Как защититься от подобных атак
Во-первых, следует запомнить, что закрытый ключ или seed-фразу никому нельзя сообщать. Во-вторых, общее знание об атаках, связанных с социальной инженерией, тоже поможет быть начеку. Да и в целом, в мире криптовалют крайне важно понимать, что и как работает. Также помогут общие правила безопасности в сети: не открывать подозрительные файлы, не переходить по сомнительным ссылкам, пользоваться антивирусами.
И, наконец, более хитрые атаки опираются на «личный» подход, когда злоумышленники собирают информацию о жертве, чтобы было проще заручиться ее доверием. В этом случае стоит, во-первых, более ответственно подходить к своему цифровому следу и не раскрывать публично свои данные. Во-вторых, следует следить за утечками — сегодня данные о пользователях часто становятся доступными из-за утечек со стороны различных сервисов.
Пример успешной атаки
Игра Axie Infinity, построенная на основе сайдчейна Эфириума Ronin Network, была довольно успешным проектом «Play-to-Earn». 23 марта 2022 года хакеры украли 173 600 ETH (около $591,2 млн) с аккаунтов, связанных с игрой. Всему виной оказалось фейковое предложение о работе на LinkedIn. Хакеры провернули ограбление, отправив одному из сотрудников зараженный PDF-файл. Этот человек думал, что соглашается на высокооплачиваемую работу в другой компании, которой на самом деле не существовало. По данным правительства США, за атакой стояла северокорейская хакерская группа Lazarus.
Вывод
Мир криптовалют обладает своей спецификой, которая вносит коррективы, в том числе и в схемы, завязанные на социальной инженерии. Большинство атак будут скорее всего направлены на вымогание криптовалюты или получение доступа к закрытым ключам пользователей и опустошение их криптокошельков. Ситуацию усугубляет тот факт, что транзакции в блокчейне анонимные и необратимые, а потому жертве мошенников будет особенно сложно получить свои средства назад.
С другой стороны, многое в мире криптовалют зависит от самого пользователя, и это может быть хорошо: если он надежно хранит свои ключи, не пытается в погоне за удобством жертвовать безопасностью, то он сам может выступать гарантом своей безопасности. Ему не нужно беспокоиться, что, например, его банк сольет его данные. Да, это налагает много трудностей, например, нельзя доверять биржам и нужно хранить крипту на холодных кошельках, но это позволяет человеку полностью контролировать свои средства. А в современном мире это уже очень много.
