Роль социальной инженерии в фишинг-атаке всегда заключается в подведении пользователя к вводу необходимых данных или совершению необходимых действий.
Учитываются действия пользователя, а при совершении целенаправленной фишинг-атаки учитывается весь собранный информационный массив о конкретном человеке, разрабатывается сценарий, позволяющий получить пароль, открыть документ, запустить программу.
В практике встречались случаи, когда злоумышленники должны были получить доступ к электронной почте одного бизнесмена. Попытки заброса вредоносных программ к успеху не приводили. Злоумышленникам удалось подсунуть жертве магазин автозапчастей, где бизнесмен зарегистрировался. Вышло так, что бизнесмен не стал себя заморачивать разнообразием паролей и ключевых фраз и везде, где ему приходилось регистрироваться, указывал один и тот же пароль, что очень повеселило жуликов.
В другой похожей истории злодеям пришлось поработать немного больше. Для получения пароля от бдительной гражданки злодеи создали полнофункциональный онлайн-магазин, рекламу которого забросили жертве на почту. Предложения в магазине были настолько привлекательными, что наша гражданка не удержалась и решила совершить покупку.
Как выяснилось, для совершения покупки необходимо было создать аккаунт, то есть зарегистрироваться в магазине, а для полной-преполной защиты персональных данных (а гражданка к защите своих персональных данных относилась достаточно серьезно) необходимо было придумать несколько вариантов пароля и ключевую фразу. Эффект был тот же, что и в предыдущем случае, а вложенные злоумышленниками средства и усилия с лихвой окупились.
Другая группа хакеров изощренными путями затягивала жертв регистрироваться на модном сайте, для активации аккаунта на котором, как писала администрация модного сайта, нужно ввести код безопасности, который будет высылаться посредством SMS на указанный пользователем абонентский номер.
Предвосхищая недоумение от простоты и гениальности данной затеи, следует заметить, что модный сайт просуществовал недолго, но несколько десятков успешных копирований содержимого электронной переписки с зарубежного почтового сервера было-таки проведено.
Итак, как уже упоминалось, ставшая очень популярной методика двухфакторной авторизации также не устояла под натиском социальной инженерии.
При целевой атаке на предприятие осуществляются тщательный подбор и анализ сотрудников. В каких-то случаях доступ можно получить, введя в заблуждение новенького сотрудника компании, представившись системным администратором или сотрудником службы безопасности.