Социальная инженерия (сайты для фишинга и обмана пользователей)

Социальная инженерия подразумевает контент, который обманным путем заставляет пользователей выполнять опасные действия, например разглашать конфиденциальную информацию или скачивать программы. Если Google считает, что на вашем сайте применяются методы социальной инженерии, то при попытке перейти на него браузер Chrome показывает предупреждение "Осторожно, поддельный сайт!". Узнать, есть ли такой контент на страницах вашего сайта, можно в отчете "Проблемы безопасности".

Открыть отчет

Обзор

Что такое социальная инженерия?

Социальная инженерия – это обманные приемы, заставляющие пользователей выполнять опасные действия в Интернете.

К социальной инженерии относятся различные методы. Например, сайт, созданный для фишинга, может вынуждать пользователей раскрыть персональные данные (в частности, пароли, телефонные номера, данные банковских карт). Ещё один прием – обманный контент. Это может быть текст, говорящий, что какая-либо программа пользователя устарела, и вынуждающий установить нежелательное ПО.

Пример:

  • Создается страница, которая имитирует сайт авторитетной организации, например банка или государственного учреждения.
  • Пользователю предлагается совершить действие, обычно выполняемое на официальном сайте той или иной организации, например ввести пароль, скачать программу или позвонить в службу поддержки.

Безопасный просмотр Google предупреждает пользователей о таких ситуациях до того, как они откроют страницу. Подробнее о социальной инженерии...

В чем разница между фишингом и социальной инженерией? Фишинг – это один из множества приемов социальной инженерии.

Совет: если ту или иную базовую услугу по поддержке вашего сайта оказывает сторонняя компания, убедитесь, что она работает в соответствии с определенным отраслевым стандартом. Например, для аутентификации пользователей на вашем сайте лучше использовать протокол OAuth, а не управлять ей самостоятельно.  

Социальная инженерия во встроенном контенте

К социальной инженерии может относиться и встроенный контент на безопасных сайтах, например объявления. Страницы с таким контентом нарушают наши правила.

Иногда реклама с социальной инженерией сразу видна посетителям страницы, как показано в примерах ниже. Бывает, что такой контент содержится во всплывающих объявлениях или перенаправляет пользователей на опасные страницы. В обоих случаях страницы с рекламой, использующей приемы социальной инженерии, будут считаться нарушающими правила.

Я не использую приемы социальной инженерии, но в браузере появляется предупреждение. Почему?

Обманный контент может находиться в сторонних элементах на вашей странице: изображениях, объявлениях и т. д. – и вынуждать посетителей скачивать нежелательное ПО

Безопасный просмотр Google предупреждает пользователей о таком контенте. Подробнее...

Кроме того, сайт могут контролировать хакеры и размещать на нем опасный контент. Часто они изменяют содержание сайта или создают на нем новые страницы с целью получить личные данные пользователей. Чтобы узнать, не отмечены ли ваши веб-страницы как содержащие или распространяющие обманный контент, просмотрите отчет "Проблемы безопасности" в Search Console.

Если вы считаете, что ваш сайт был взломан, следуйте этим рекомендациям.

Примеры

Сторонние поставщики услуг

Сторонний поставщик услуг управляет сайтом или сервисом от имени другого лица. Если при этом нет четкого указания на деловые отношения между поставщиком и представляемым лицом, такая деятельность подпадает под определение социальной инженерии.

Предположим, сайт (сторонний поставщик услуг) собирает пожертвования для благотворительной организации. Если на этом сайте не сообщается, что он действует от лица конкретной организации, это может быть расценено как социальная инженерия.

Чтобы избежать обвинений в таком нарушении, необходимо выполнить следующие условия:

  • На каждой странице своего сайта сторонний поставщик услуг должен разместить элементы своего бренда. Пользователям должно быть очевидно, кто управляет сайтом. Один из способов этого добиться – поместить название поставщика услуг вверху страниц.
  • На каждой странице, содержащей элементы бренда представляемого лица, следует недвусмысленно указать на деловые отношения между этим лицом и сторонним поставщиком услуг, а также разместить ссылку на источник дополнительной информации.  Пример:
          Этот сервис предоставляется на сайте example.com от лица example.charities.com.  Подробнее…

Хорошим ориентиром является то, способен ли пользователь по одной отдельно взятой странице определить, на каком сайте он находится и какова связь между сторонним поставщиком услуг и представляемым лицом.

Примеры страниц с нарушениями

Страницы нарушают правила, если они:

  • имитируют оформление или интерфейс авторитетного сайта, устройства пользователя или браузера;
  • обманным путем заставляют пользователя совершить действие, обычно выполняемое на сайте авторитетной организации, например ввести пароль или позвонить в службу поддержки.

Ниже приведены примеры страниц с социальной инженерией.

Social engineering popup that tries to make the user install an unwanted application.
Всплывающее объявление, обманным путем заставляющее пользователя установить вредоносное ПО.
Example of social engineering attempt claiming a browser update is required
Всплывающее объявление с ложным сообщением о том, что пользователю необходимо обновить браузер.

Примеры встроенного контента

Ниже представлены примеры встроенного контента с социальной инженерией, который выглядит как часть интерфейса страницы.

Deceptive ad claiming to be a media player update on the page.
Всплывающее объявление с ложным сообщением о том, что программное обеспечение пользователя устарело.
Deceptive ad claiming to be an installer for a required component.
Всплывающее объявление, имитирующее сообщение от разработчика проигрывателя.
Deceptive ads claiming to be playback controller buttons on the host page.
Объявления, имитирующие элементы управления.

Как устранить проблему

Если ваш сайт помечен как применяющий социальную инженерию, проверьте его на наличие описанного выше контента и выполните следующие действия:

  1. Проверьте сайт в Search Console
    • Убедитесь, что вы все ещё владелец сайта в Search Console и у него нет новых подозрительных владельцев.
    • Просмотрите отчет Проблемы безопасности. Перейдите на страницы, адреса которых перечислены в отчете. Используйте компьютер в другой сети. В некоторых случаях контент, добавленный хакерами, не виден веб-мастерам, но доступен для обычных посетителей.
  2. Удалите опасные материалы. Убедитесь, что на страницах не осталось обманного контента.
  3. Если у вас на странице есть объявления, изображения или другой встроенный контент со сторонних сайтов, убедитесь, что они не применяют обманные приемы. Обратите внимание, что объявления в рекламном блоке могут чередоваться. Обновите страницу несколько раз, чтобы проверить все объявления. Некоторые объявления могут по-разному отображаться на компьютерах и мобильных устройствах. Используйте Сканер Google для сайтов и приложений.
  4. Проверьте сторонние ресурсы: изображения, объявления и другие встроенные элементы.
    • Обратите внимание, что объявления в рекламном блоке могут чередоваться. Обновите страницу несколько раз, чтобы проверить все объявления.
    • Некоторые объявления могут по-разному отображаться на компьютерах и мобильных устройствах. Используйте Сканер Google для сайтов и приложений.
  5. Запросите проверку сайта. После удаления обманного контента можно запросить проверку на наличие вредоносного или нежелательного ПО. Это может занять 2–3 дня.
Была ли эта статья полезна?
Как можно улучшить эту статью?