Атаки с использованием социальной инженерии: как защитить свои криптовалюты

Когда речь заходит о высоких технологиях, слабым звеном с точки зрения мошенников будут не технические уязвимости, над устранением которых трудились многие программисты, а люди, использующие эти технологии. Подобный обман, как правило, не требует глубоких технических знаний, поэтому неудивительно, что такого рода мошенничество весьма распространено. 

В контексте информационной безопасности, социальная инженерия — это психологическое манипулирование людьми, заставляющее их выполнять определенные действия или разглашать конфиденциальную информацию. 

Так, среднестатистический человек может поддаться таким эмоциям, как жадность, страх или любопытство, которые заставляют его принимать пагубные для себя решения. Согласно обзору угроз за первый квартал 2024 года от разработчиков антивирусной программы Avast, 90% угроз приходится на атаки с использованием социальной инженерии. 

Социальная инженерия уже настолько распространена что используемые ей подходы нашли своего классификатора и соответственно, классификацию. Давайте рассмотрим основные способы обмана используемые этими упырями. 

Фишинг. Идея фишинга довольно проста: злоумышленники, притворяясь, что они представляют какую-либо организацию, завоевывают доверие пользователей и обманом заставляют их совершать какие-либо действия. Как правило, злоумышленники скрываются под личиной реальных аккаунтов и под видом, например, техподдержки, начинают общение с пользователем. Допустим, злоумышленник хочет получить доступ к закрытым ключам или seed-фразам от кошельков. Он направляет электронное письмо от имени службы поддержки кошелька Trust или MetaMask и просит ничего не подозревающую жертву под убедительным предлогом прислать ему данные. Если она это сделает, то злоумышленник тут же получит доступ к кошельку.

Байтинг. Байтинг (от английского: «приманка») использует ложные обещания, чтобы сыграть на жадности или любопытстве жертвы. Типичный пример: массовая рассылка сотрудникам компаний электронных писем, которые якобы содержат информацию о повышении заработной платы, календарь праздников, предложения о работе и так далее. Жертвы открывают зараженный файл, что приводит к автоматической установке вредоносного ПО. 

Quid Pro Quo. Атака Quid Pro Quo (с латинского: «услуга за услугу») — это когда мошенники запрашивают приватные данные как бы в «обмен» на какую-то услугу. Например, злоумышленник может пообещать вознаграждение или предложить поучаствовать в исследовании в обмен на нужные ему данные. Мошенники также могут выдавать себя за техподдержку, выражая готовность помочь с проблемой в обмен на личную информацию или другие конфиденциальные данные. От фишинга это отличается тем, что злоумышленник как будто предлагает какую-то услугу. Претекстинг Название происходит от слова «pretext», которое переводится с английского как «предлог». Соответственно, в этой схеме злоумышленник под правдоподобным предлогом пытается украсть у пользователя данные или криптовалюту. Мошенники, как правило, выдают себя за доверенное лицо, например, сотрудника банка, налоговой или правоохранительных органов. 

Scareware. Scareware, что можно приблизительно перевести как «пугающее ПО», — это схема, когда мошенник пугает жертв, заставляя их поверить, что они находятся в серьезной опасности. Предполагается, что жертвы должны нажать кнопку, чтобы либо удалить вирус, либо загрузить «специальное» программное обеспечение, которое справится с вирусом, либо связаться с тем, кто поможет избавиться от проблемы. В любом случае, если жертва будет следовать «пугалкам», ничего хорошего из этого не выйдет. 

Как защититься от подобных атак??? 

Во-первых, следует запомнить, что закрытый ключ или seed-фразу никому нельзя сообщать. 

Во-вторых, общее знание об атаках, связанных с социальной инженерией, тоже поможет быть начеку. Да и в целом, в мире криптовалют крайне важно понимать, что и как работает. 

Также помогут общие правила безопасности в сети: не открывать подозрительные файлы, не переходить по сомнительным ссылкам, пользоваться антивирусами. 

И, наконец, более хитрые атаки опираются на «личный» подход, когда злоумышленники собирают информацию о жертве, чтобы было проще заручиться ее доверием. 

В этом случае стоит: 

Во-первых, более ответственно подходить к своему цифровому следу и не раскрывать публично свои данные. 

Во-вторых, следует следить за утечками — сегодня данные о пользователях часто становятся доступными из-за утечек со стороны различных сервисов.

В-третьих, не сильно верить во внезапную «сетевую дружбу» и бескорыстность.

Самые простые, но вместе с тем действенные способы обмана начинающих криптанов происходят, как правило, при обмене криптовалют на фиат. 

Давайте подробно рассмотрим как это происходить. Вы исследуете возможность заработка на криптовалютах в к.л. Tg чате. В чате большое число участников и они активно обсуждают возможности заработка, все кажутся вам специалистами высокого уровня. 

Вы, уже готовы войти в мир крипты, но не знаете где ее взять, как купить. И совершенно закономерно в чате вы задаете вопрос, а как поменять то непосильно заработанные рубли на эту самую крипту. В чате высыпают разные советы, и одновременно с вами вам в личку стучится кто-то из активных и умных чатовцев. 

Он сообщает вам, что у него как раз есть возможность произвести обмен по очень хорошему курсу. Вы отправляете ему деньги…

 И «поздравляю» вас, вы стали жертвой мошенника. Ничего вы уже «не догоните», ни кого вы уже не «накажите». А обманувший вас персонаж сменит ник и продолжит искать новую жертву.

Но все зависит от вас, будьте умными и внимательными, «не ведитесь» на заманчивые предложения и сетевые угрозы, пользуйтесь только проверенными сервисами и чудесный мир крипты принесет в вашу жизнь много интересного и полезного.