Соціальна інженерія як загроза для онлайн-гравців

З приблизно 1.1 мільярда користувачів у всьому світі онлайн ігри стали значущим складником цифрових розваг. Проте чи не занадто часто ми чуємо про випадки, коли гравці втрачають свої акаунти або особисті дані через хитромудрі трюки аферистів? Соціальна інженерія стоїть за 98% кібератак.

Про її загрози та способи протидії мені розповів Гордійчук Ярослав з ProInternet — сертифікований експерт з інформаційної безпеки на нашому проєкті. Має понад 8 років досвіду роботи у сфері кіберзахисту. Пройшов авторизовані курси Network Security/CCNA Security та Cyberops Associate/CCNA Cyber Ops в Академії Сіѕсо на платформі SEDICOMM University. Працював аналітиком Центру управління безпекою (ЅОС) у компанії TSS Group.

Що таке атака із використанням соціальної інженерії?

Головні дійові особи таких атак, соціальні інженери — це розумні зловмисники, які застосовують маніпулятивні тактики, щоб обдурити своїх жертв та змусити їх виконати бажану дію чи розкрити особисту інформацію. Потім, використовуючи уразливість, вони здійснять решту своїх планів.

Чого бажають шахраї? Отримати доступ до особистих даних гравців, щоб заволодіти їхніми обліковими записами та фінансами.

Основні методи соціальної інженерії, на які частіше покладаються кіберзлочинці

Суть завжди в тому, щоб змусити людину добровільно поділитися особистими даними. З мого досвіду, шахраї можуть видавати себе за представників ігрового порталу, запитуючи у користувачів «для перевірки акаунта» секретну інформацію, або ж створювати фейкові вебсайти, схожі на оригінали. Нижче я навела найбільш поширені типи атак із використанням соціальної інженерії.

Фішинг

Шахрайські повідомлення, які маскуються під легітимні запити. Ось простий приклад, щоб зрозуміти, що таке фішинг, та як він працює. Гравець відкриває електронного листа. Нібито надісланого службою підтримки програмного забезпечення, що він використовує. Все виглядає офіційно. Це спонукає людину терміново увійти в систему, а перехід за посиланням веде прямо на підроблену сторінку, де користувач ненавмисно розкриває свої облікові дані.

Приманка

Жертві пропонується щось привабливе чи цікаве. Хто відмовиться від подарункової карти або безкоштовного завантаження скінів для S.T.A.L.K.E.R?

Як варіант, соціальний інженер може роздавати подарункові USB-накопичувачі на публічному заході. Користувач думає, що отримує безкоштовний пристрій зберігання даних. Проте зловмисник завантажив на нього шкідливе програмне забезпечення для віддаленого доступу, яке заражає комп’ютер при підключенні.

Quid pro quo

У перекладі з латині означає «щось за щось». Різновид інтернет-шахрайства, за якого зловмисник намагається обміняти послугу на інформацію.

Сценарій може включати дзвінок або повідомлення від фальшивого співробітника ІТ-відділу. Така собі фейкова спроба виступити в ролі Робін Гуда. Як тільки зловмисник знаходить користувача, якому потрібна допомога, він каже щось на кшталт: «Я можу це виправити. Просто потрібні ваші облікові дані».

Дієві стратегії для безпеки даних та захисту від кіберзагроз

Соціальна інженерія небезпечна тим, що атакує не системи, а людей. Захиститися від таких загроз допомагає глибоке розуміння психології кіберзлодюжек та кілька базових правил.

• Використовувати сайти, які підтримують SSL-протокол. Це свідчить про захищене з’єднання.
• Увімкнути 2FA для всіх акаунтів. Особливо для пов’язаних із фінансовими операціями.
• Регулярно оновлювати паролі, щоб забезпечити захист платіжної інформації, та перевіряти рахунок на підозрілі транзакції.
• Звертатися до кіберполіції в разі підозри на шахрайство.

Виглядає просто? На практиці цей підхід дійсно ефективний і може значно зменшити ризики.

Соціальна інженерія — невидима пастка для онлайн-гравців. Більшість кібератак пов’язані саме з маніпуляціями, а не технічними зломами. Шахраї використовують довіру користувачів. Створюючи ілюзію безпеки, вони отримують доступ до приватних даних та чужих фінансів. 

Вважаю, захист полягає не лише у складних паролях чи антивірусах. Критичне мислення першочергове. Перевіряти джерела інформації, не поспішати розкривати особисті дані та пам’ятати, що безкоштовний сир буває лише в мишоловці.

Стаття від Олени Билиці — головної редакторки проєкту ProInternet