Inżynieria społeczna (wyłudzanie informacji i witryny wprowadzające w błąd)

Inżynieria społeczna to treści, które podstępem nakłaniają użytkowników do zrobienia czegoś niebezpiecznego, na przykład do ujawnienia poufnych informacji lub pobrania oprogramowania. Jeśli Google wykryje, że Twoja witryna zawiera treści używane do inżynierii społecznej, przeglądarka Chrome może wyświetlić ostrzeżenie „Wchodzisz na stronę wprowadzającą w błąd” użytkownikom, którzy chcą ją odwiedzić. Aby sprawdzić, czy jakieś strony w Twojej witrynie są podejrzewane o przeprowadzanie ataków za pomocą inżynierii społecznej, przejrzyj raport Problemy dotyczące bezpieczeństwa.

Otwórz raport Problemy dotyczące bezpieczeństwa

Przegląd

Co to jest inżynieria społeczna?

Atak za pomocą inżynierii społecznej, nazywany też socjotechnicznym, polega na podstępnym nakłonieniu internauty, by zrobił coś niebezpiecznego online.

Są różne rodzaje takich ataków.

  • Phishing (wyłudzanie informacji): witryna nakłania użytkowników, by ujawnili swoje dane osobowe (takie jak hasła, numery telefonów czy dane kart kredytowych). Pozoruje ona działanie lub naśladuje wygląd i styl typowe dla zaufanego podmiotu – takiego jak przeglądarka, system operacyjny, bank czy instytucja państwowa.
  • Treści wprowadzające w błąd: mają za zadanie podstępem nakłonić użytkownika do zrobienia czegoś, co zrobiłby tylko w przypadku zaufanego podmiotu – na przykład do udostępnienia hasła, skontaktowania się z działem pomocy technicznej lub pobrania oprogramowania. Mogą też zawierać reklamę, która fałszywie twierdzi, że oprogramowanie na urządzeniu jest nieaktualne, co ma skłonić użytkownika do zainstalowania niechcianego oprogramowania.
  • Niedostatecznie oznaczone usługi firm zewnętrznych: firma zewnętrzna to podmiot, który zarządza witryną lub usługą w imieniu innego podmiotu. Jeśli zarządzasz witryną w imieniu innej osoby lub firmy (jesteś firmą zewnętrzną), ale Wasza relacja nie jest wyraźnie określona, może to być powodem oznaczenia jej jako inżynierii społecznej. Jeśli na przykład prowadzisz witrynę organizacji charytatywnej, która korzysta ze strony zarządzającej darowiznami (należącej do firmy zewnętrznej), by obsługiwać wpłacane darowizny, w witrynie zarządzającej darowiznami trzeba wyraźnie zaznaczyć, że działa ona jako zewnętrzna platforma obsługująca witrynę organizacji charytatywnej. W przeciwnym razie takie działanie może być uznane za inżynierię społeczną.

Bezpieczne przeglądanie Google chroni internautów, ostrzegając ich przed wchodzeniem na strony, które systematycznie stosują inżynierię społeczną.

Stronę internetową uważa się za stosującą inżynierię społeczną, jeśli:

  • naśladuje ona wygląd i styl typowe dla zaufanego podmiotu, na przykład upodabnia się w działaniu do urządzenia bądź przeglądarki użytkownika albo samej „bezpiecznej” witryny; lub
  • stara się podstępem nakłonić użytkownika do zrobienia czegoś, co zrobiłby tylko w przypadku zaufanego podmiotu – na przykład do udostępnienia hasła, skontaktowania się z działem pomocy technicznej lub pobrania oprogramowania.

Inżynieria społeczna w elementach umieszczanych na stronie

Techniki inżynierii społecznej są czasem stosowane w elementach umieszczanych na zwykłych, niegroźnych stronach – z reguły w postaci reklam. Umieszczanie w treści stron elementów stosowanych w inżynierii społecznej jest naruszeniem zasad witryny hosta.

Czasami elementy stosowane w inżynierii społecznej umieszczone w treści strony hosta są widoczne dla użytkownika, jak widać na przykładach poniżej. W innych przypadkach witryna hosta nie zawiera żadnych widocznych reklam, lecz kieruje użytkownika do stosującej inżynierię społeczną strony za pomocą wyskakujących okienek, reklam pop-under lub innych typów przekierowań. W obu przypadkach ten typ umieszczania elementów stosowanych w inżynierii społecznej stanowi naruszenie zasad strony hosta.

Przecież ja nie stosuję inżynierii społecznej

Fałszywe treści używane do inżynierii społecznej mogą pojawić się na stronie jako umieszczone na niej zasoby, takie jak obrazy, komponenty firm zewnętrznych czy reklamy. Tego typu elementy mogą podstępem nakłaniać użytkowników witryny, by pobrali niechciane oprogramowanie

Hakerzy mogą przejąć kontrolę nad uczciwymi witrynami, by przechowywać lub rozpowszechniać na nich treści używane do inżynierii społecznej. Haker może zmienić zawartość witryny lub dodać do niej nowe strony, często z zamiarem przekonania użytkowników, by podali takie dane osobowe jak numery kart kredytowych. Aby sprawdzić, czy witrynę zidentyfikowano jako zawierającą lub rozpowszechniającą treści używane do inżynierii społecznej, przejrzyj raport Problemy dotyczące bezpieczeństwa dostępny w Search Console.

Jeśli sądzisz, że Twoją witrynę przejął haker, przeczytaj Pomoc dla webmasterów stron zaatakowanych przez hakerów.

Inżynieria społeczna – przykłady naruszenia zasad

Przykłady treści wprowadzających w błąd

Oto przykłady stron stosujących techniki inżynierii społecznej:

Social engineering popup that tries to make the user install an unwanted application.
Oszukańcze wyskakujące okienko próbujące podstępem nakłonić użytkownika do zainstalowania złośliwego oprogramowania.
Example of social engineering attempt claiming a browser update is required
Oszukańcze wyskakujące okienko z zaleceniem aktualizacji przeglądarki.
Fałszywa strona logowania Google. Zwróć uwagę na nieprawidłowy adres URL. Inne witryny stosujące phishing mogą nakłaniać Cię do podania danych osobowych, np. danych karty kredytowej. Witryny stosujące phishing mogą być łudząco podobne do tych prawdziwych, dlatego zawsze sprawdzaj, czy adres URL widoczny na pasku adresu jest prawidłowy i zaczyna się od https://

Przykłady reklam wprowadzających w błąd

Oto kilka przykładów treści wprowadzających w błąd, które są umieszczane w reklamach. Te reklamy wyglądają bardziej jak część interfejsu niż reklama sama w sobie.

Deceptive ad claiming to be a media player update on the page.
Oszukańcze wyskakujące okienko informujące o nieaktualnej wersji programu.
Deceptive ad claiming to be an installer for a required component.
Oszukańcze okienko udające komunikat od dewelopera FLV.
Deceptive ads claiming to be playback controller buttons on the host page.
Reklamy podszywające się pod przyciski obsługujące stronę.

Jak naprawić problem

Jeśli Twoja witryna zostanie oznaczona jako zawierająca treści używane w inżynierii społecznej (wprowadzające w błąd), sprawdź, czy nie stosuje ona również innych praktyk opisanych powyżej, a następnie wykonaj te czynności:

  1. Zaloguj się w Search Console. 
    • W Search Console zweryfikuj się jako właściciel witryny i sprawdź, czy nie dodano nowych, podejrzanych właścicieli.
    • Przejrzyj raport Problemy dotyczące bezpieczeństwa, by dowiedzieć się, czy witrynę oznaczono jako zawierającą treści wprowadzające w błąd (w raporcie oznacza to inżynierię społeczną). Otwórz kilka oznaczonych adresów URL wymienionych w raporcie, ale użyj komputera spoza sieci, z której udostępniasz witrynę (sprytni hakerzy wyłączają niebezpieczne elementy w sytuacji, gdy użytkownik wchodzący na stronę może być webmasterem witryny).
  2. Usuń treści wprowadzające w błąd. Upewnij się, że wszystkie strony witryny zostały oczyszczone. Jeśli uważasz, że Bezpieczne przeglądanie błędnie sklasyfikowało stronę internetową, zgłoś to tutaj.
  3. Sprawdź zasoby firm zewnętrznych umieszczone w Twojej witrynie. Upewnij się, że żadne reklamy, obrazy ani inne materiały firm zewnętrznych umieszczone na stronach witryny nie wprowadzają użytkowników w błąd.
    • Pamiętaj, że sieci reklamowe mogą stosować rotację reklam wyświetlanych w witrynie. Dlatego musisz kilkakrotnie odświeżyć stronę, by sprawdzić, czy nie pojawią się reklamy socjotechniczne.
    • Niektóre reklamy mogą wyglądać na urządzeniach mobilnych inaczej niż na komputerach. Możesz skorzystać z narzędzia do sprawdzania adresów URL, by zobaczyć witrynę zarówno w wersji na komputery, jak i na urządzenia mobilne.
    • W przypadku usług firm zewnętrznych, których używasz w witrynie (np. usług płatności), postępuj zgodnie z wytycznymi opisanymi poniżej.
  4. Poproś o sprawdzenie witryny. Gdy usuniesz z witryny wszystkie treści używane do inżynierii społecznej, z poziomu raportu Problemy dotyczące bezpieczeństwa możesz poprosić o sprawdzenie zabezpieczeń. Weryfikacja może potrwać kilka dni.

Wytyczne dotyczące usług firm zewnętrznych

Jeśli Twoja witryna wykorzystuje usługi firm zewnętrznych, musisz spełnić te warunki, by nie została ona oznaczona jako stosująca inżynierię społeczną:

  • Witryna firmy zewnętrznej powinna na każdej stronie zawierać dobrze widoczne, identyfikujące ją elementy, tak by użytkownicy wiedzieli, kto zarządza witryną. Na przykład u góry strony dobrze jest dodać logo marki.
  • Na każdej stronie, która zawiera elementy identyfikujące markę zlecającą wykonanie zadania, należy jednoznacznie określić relację między tą firmą a firmą zewnętrzną i podać link, który prowadzi do strony zawierającej więcej informacji na ten temat.  Może to być na przykład takie oświadczenie:

      Ta usługa jest zarządzana przez Example.com w imieniu Example.organizacja_charytatywna.com. Więcej informacji

Dobrą zasadą jest dbanie o to, by użytkownik przeglądający witrynę bez kontekstu w łatwy sposób mógł ją zidentyfikować i dowiedzieć się o relacji obu podmiotów.

Sprawdzona metoda: jeśli chcesz korzystać z usług firmy zewnętrznej do obsługi kluczowej funkcji w witrynie, zalecamy współpracę z firmą stosującą standardy branżowe przewidziane dla takiej usługi. Na przykład unikaj samodzielnego zarządzania uwierzytelnianiem użytkowników w witrynie – najlepiej korzystaj z protokołu OAuth.
Czy to było pomocne?
Jak możemy ją poprawić?