Социальная инженерия (сайты для фишинга и обмана пользователей)

Социальная инженерия подразумевает контент, который обманным путем заставляет пользователей выполнять опасные действия, например разглашать конфиденциальную информацию или скачивать программы. Если Google считает, что на вашем сайте применяются методы социальной инженерии, то при попытке перейти на него браузер Chrome показывает предупреждение "Осторожно, поддельный сайт!". Узнать, есть ли такой контент на страницах вашего сайта, можно в отчете "Проблемы безопасности".

Открыть отчет

Обзор

Что такое социальная инженерия?

Социальная инженерия – это обманные приемы, заставляющие пользователя выполнять на сайтах или в приложениях действия, которые могут нанести ему ущерб.

Некоторые из приемов социальной инженерии перечислены ниже.

  • Фишинг. Под этим термином понимается создание сайтов, которые обманным способом вынуждают пользователей раскрывать свои персональные данные (в частности, пароли, телефонные номера и реквизиты банковских карт). Такая страница имитирует сайт авторитетной организации, например банка или государственного учреждения.
  • Обманный контент. Пользователю предлагается совершить действие, обычно выполняемое только на официальном сайте той или иной организации, например ввести пароль, скачать программу или позвонить в службу поддержки. Разновидностью этого приема является показ уведомления с предложением обновить какую-либо программу на устройстве. При нажатии на такое уведомление устанавливается нежелательное ПО.
  • Некорректное указание стороннего поставщика услуг. Сторонний поставщик услуг управляет сайтом или сервисом от имени другого лица. Если при этом на веб-страницах нет ясно изложенной и подробной информации о деловых отношениях между поставщиком услуг и вами, такая деятельность может считаться социальной инженерией. Предположим, ваш благотворительный сайт пользуется услугами специального стороннего сайта для управления пожертвованиями. На этом стороннем сайте должно быть четко указано, что он действует от имени благотворительной организации, иначе мы будем расценивать такую схему как социальную инженерию.

Сервис Google Безопасный просмотр может предупреждать пользователей о том, что на странице, которую они собираются посетить, регулярно применяются методы социальной инженерии.

Сайты будут считаться нарушающими наши правила в следующих случаях:

  • они имитируют оформление или интерфейс авторитетного сайта, устройства пользователя или браузера;
  • они обманным путем заставляют пользователя совершить действие, обычно выполняемое на сайте авторитетной организации, например ввести пароль или позвонить в службу поддержки.

Социальная инженерия во встроенном контенте

К социальной инженерии может относиться и встроенный контент на безопасных сайтах, например объявления. Страницы с таким контентом нарушают наши правила.

Иногда реклама с социальной инженерией сразу видна посетителям страницы, как показано в примерах ниже. Бывает, что такой контент содержится во всплывающих объявлениях или перенаправляет пользователей на опасные страницы. В обоих случаях страницы с рекламой, использующей приемы социальной инженерии, будут считаться нарушающими правила.

Я не использую приемы социальной инженерии, но в браузере появляется предупреждение. Почему?

Обманный контент может находиться в сторонних элементах на вашей странице: изображениях, объявлениях и т. д. – и вынуждать посетителей скачивать нежелательное ПО

Кроме того, сайт могут взять под контроль хакеры и размещать на нем опасный контент. Часто они изменяют содержание сайта или создают на нем новые страницы с целью получить личные данные пользователей. Чтобы узнать, не отмечены ли ваши веб-страницы как содержащие или распространяющие обманный контент, просмотрите отчет "Проблемы безопасности" в Search Console.

Если вы считаете, что ваш сайт был взломан, следуйте этим рекомендациям.

Примеры

Примеры обманного контента

Ниже приведены примеры страниц, на которых используется социальная инженерия.

Social engineering popup that tries to make the user install an unwanted application.
Всплывающее объявление, обманным путем заставляющее пользователя установить вредоносное ПО.
Example of social engineering attempt claiming a browser update is required
Всплывающее объявление с ложным сообщением о том, что пользователю необходимо обновить браузер.
Это пример ложной страницы входа в аккаунт Google. Обратите внимание на заведомо неправильный URL. На подобных сайтах мошенники стараются обманным путем выведать самую разную информацию, в том числе реквизиты кредитных карт. Фишинговые сайты могут точно копировать внешний вид оригинальных страниц, поэтому всегда проверяйте URL в адресной строке. Адрес безопасных сайтов должен начинаться с префикса https://.

Примеры обманных объявлений

Ниже представлены примеры обманного контента во встроенных объявлениях, которые выглядят как часть интерфейса страницы.

Deceptive ad claiming to be a media player update on the page.
Всплывающее объявление с ложным сообщением о том, что программное обеспечение пользователя устарело.
Deceptive ad claiming to be an installer for a required component.
Всплывающее объявление, имитирующее сообщение от разработчика проигрывателя.
Deceptive ads claiming to be playback controller buttons on the host page.
Объявления, имитирующие элементы управления.

Как устранить проблему

Если мы указываем, что на вашем сайте применяется социальная инженерия (размещен обманный контент), найдите на своих страницах все описанные выше нарушения и выполните следующие действия:

  1. Проверьте сайт в Search Console. 
    • Убедитесь, что вы все ещё владелец сайта в Search Console и у него нет новых подозрительных владельцев.
    • Изучите отчет Проблемы безопасности. Перейдите на страницы, адреса которых перечислены в отчете. Используйте компьютер в другой сети. В некоторых случаях контент, добавленный хакерами, не виден веб-мастерам, но доступен для обычных посетителей.
  2. Удалите опасные материалы. Убедитесь, что на страницах не осталось обманного контента. Если вы считаете, что ваш сайт отнесен к небезопасным ошибочно, сообщите нам об этом.
  3. Проверьте сторонние ресурсы. Убедитесь, что изображения, объявления и другие встроенные сторонние элементы на ваших страницах не являются обманным контентом.
    • Обратите внимание, что объявления в рекламном блоке могут чередоваться. Обновите страницу несколько раз, чтобы проверить все объявления.
    • Некоторые объявления могут по-разному выглядеть на компьютерах и мобильных устройствах. Используйте инструмент проверки URL для сайтов и приложений.
    • Убедитесь, что все используемые на вашем сайте сторонние сервисы, например платежные, соответствуют приведенным ниже специальным рекомендациям.
  4. Отправьте сайт на проверку. После удаления обманного контента можно запросить проверку на наличие вредоносного или нежелательного ПО. Обычно она занимает несколько дней.

Рекомендации для сторонних сервисов

Если на вашем сайте используется сторонний сервис, вам необходимо обеспечить соблюдение следующих рекомендаций:

  • На каждой странице своего сайта сторонний поставщик услуг должен разместить элементы своего бренда. Пользователям должно быть очевидно, кому принадлежит сайт. Один из способов этого добиться – поместить название поставщика услуг вверху страниц.
  • На каждой странице, содержащей элементы бренда представляемого лица, следует недвусмысленно указать на деловые отношения между этим лицом и сторонним поставщиком услуг, а также разместить ссылку на источник дополнительной информации.  Пример:

      Этот сервис предоставляется на сайте example.com от лица example.charities.com. Подробнее…

Ориентируйтесь на то, способен ли пользователь по одной отдельно взятой странице определить, на каком сайте он находится и какова связь между сторонним поставщиком услуг и представляемым лицом.

Совет. Если какие-либо услуги по поддержке вашего сайта оказывает сторонняя компания, убедитесь, что она действует в соответствии с отраслевыми стандартами. Например, для аутентификации пользователей на вашем сайте лучше использовать протокол OAuth, а не управлять этой функцией самостоятельно.
Была ли эта статья полезна?
Как можно улучшить эту статью?