Inżynieria społeczna (wyłudzanie informacji i witryny wprowadzające w błąd)

Inżynieria społeczna to treści, które podstępem nakłaniają użytkowników do zrobienia czegoś niebezpiecznego, na przykład do ujawnienia poufnych informacji lub pobrania oprogramowania. Jeśli Google wykryje, że Twoja witryna zawiera treści używane do inżynierii społecznej, to podczas próby jej wyświetlenia przeglądarka Chrome może pokazywać użytkownikom ostrzeżenie „Wchodzisz na stronę wprowadzającą w błąd”. Aby sprawdzić, czy jakieś strony w Twojej witrynie są podejrzewane o przeprowadzanie ataków za pomocą inżynierii społecznej, przejrzyj raport Problemy dotyczące bezpieczeństwa.

Otwórz raport Problemy dotyczące bezpieczeństwa

Co to jest inżynieria społeczna?

Atak za pomocą inżynierii społecznej, nazywany też socjotechnicznym, polega na podstępnym nakłonieniu internauty, aby zrobił coś niebezpiecznego online.

Są różne rodzaje takich ataków.

  • Phishing (wyłudzanie informacji): witryna nakłania użytkowników, aby ujawnili swoje dane osobowe (takie jak hasła, numery telefonów czy dane kart kredytowych). Pozoruje ona działanie lub naśladuje wygląd i styl typowe dla zaufanego podmiotu – takiego jak przeglądarka, system operacyjny, bank czy instytucja państwowa.
  • Treści wprowadzające w błąd: mają za zadanie podstępem nakłonić użytkownika do zrobienia czegoś, co zrobiłby tylko w przypadku zaufanego podmiotu – na przykład do udostępnienia hasła, skontaktowania się z działem pomocy technicznej lub pobrania oprogramowania. Mogą też zawierać reklamę, która fałszywie twierdzi, że oprogramowanie na urządzeniu jest nieaktualne, co ma skłonić użytkownika do zainstalowania niechcianego oprogramowania.
  • Niedostatecznie oznaczone usługi firm zewnętrznych: firma zewnętrzna to podmiot, który zarządza witryną lub usługą w imieniu innego podmiotu. Jeśli zarządzasz witryną w imieniu innej osoby lub firmy (jesteś firmą zewnętrzną), ale Wasza relacja nie jest wyraźnie określona, może to być powodem oznaczenia jej jako inżynierii społecznej. Jeśli na przykład prowadzisz witrynę organizacji charytatywnej, która korzysta ze strony zarządzającej darowiznami (należącej do firmy zewnętrznej) do obsługiwania wpłacanych darowizn, w witrynie zarządzającej darowiznami trzeba wyraźnie zaznaczyć, że działa ona jako zewnętrzna platforma obsługująca witrynę organizacji charytatywnej. W przeciwnym razie takie działanie może zostać uznane za inżynierię społeczną.

Bezpieczne przeglądanie Google chroni internautów, ostrzegając ich przed wchodzeniem na strony, które systematycznie stosują inżynierię społeczną.

Stronę internetową uważa się za stosującą inżynierię społeczną, jeśli:

  • naśladuje ona wygląd i styl typowe dla zaufanego podmiotu, na przykład upodabnia się w działaniu do urządzenia bądź przeglądarki użytkownika albo samej „bezpiecznej” witryny;
  • stara się podstępem nakłonić użytkownika do zrobienia czegoś, co zrobiłby tylko w przypadku zaufanego podmiotu – na przykład do udostępnienia hasła, skontaktowania się z działem pomocy technicznej lub pobrania programu.

Inżynieria społeczna w elementach umieszczanych na stronie

Techniki inżynierii społecznej są czasem stosowane w elementach umieszczanych na zwykłych, niegroźnych stronach – z reguły w postaci reklam. Umieszczanie w treści stron elementów stosowanych w inżynierii społecznej jest naruszeniem zasad witryny hosta.

Czasami elementy stosowane w inżynierii społecznej umieszczone w treści strony hosta są widoczne dla użytkownika, jak widać na przykładach poniżej. W innych przypadkach witryna hosta nie zawiera żadnych widocznych reklam, lecz kieruje użytkownika do stosującej inżynierię społeczną strony za pomocą wyskakujących okienek, reklam pop-under lub innych typów przekierowań. W obu przypadkach ten typ umieszczania elementów stosowanych w inżynierii społecznej jest naruszeniem zasad strony hosta.

Przecież ja nie stosuję inżynierii społecznej

Fałszywe treści używane do inżynierii społecznej mogą pojawić się na stronie jako umieszczone na niej zasoby, takie jak obrazy, komponenty firm zewnętrznych czy reklamy. Tego typu elementy mogą podstępem nakłaniać użytkowników witryny do pobierania niechcianego oprogramowania.

Hakerzy mogą przejąć kontrolę nad uczciwymi witrynami, aby przechowywać lub rozpowszechniać na nich treści używane do inżynierii społecznej. Haker może zmienić zawartość witryny lub dodać do niej nowe strony, często z zamiarem przekonania użytkowników, aby podali takie dane osobowe jak numery kart kredytowych. Aby sprawdzić, czy witrynę zidentyfikowano jako zawierającą lub rozpowszechniającą treści używane do inżynierii społecznej, przejrzyj raport Problemy dotyczące bezpieczeństwa dostępny w Search Console.

Jeśli sądzisz, że Twoją witrynę przejął haker, przeczytaj Pomoc dla webmasterów stron zaatakowanych przez hakerów.

Inżynieria społeczna – przykłady naruszenia zasad

Przykłady treści wprowadzających w błąd

Oto przykłady stron stosujących techniki inżynierii społecznej:

Wyskakujące okienko z treściami używanymi do inżynierii społecznej, których celem jest nakłonienie użytkownika do zainstalowania niechcianej aplikacji
Oszukańcze wyskakujące okienko próbujące podstępem nakłonić użytkownika do zainstalowania złośliwego oprogramowania

Przykład treści używanych do inżynierii społecznej, które informują użytkownika o konieczności zaktualizowania przeglądarki
Oszukańcze wyskakujące okienko z zaleceniem aktualizacji przeglądarki

Fałszywa strona logowania Google
Fałszywa strona logowania Google

Przykłady reklam wprowadzających w błąd

Oto kilka przykładów treści wprowadzających w błąd, które są umieszczane w reklamach. Te reklamy wyglądają bardziej jak część interfejsu niż reklama sama w sobie.

Reklama wprowadzająca w błąd, która udaje aktualizację odtwarzacza multimediów na stronie
Oszukańcze wyskakujące okienko informujące o nieaktualnej wersji programu

Reklama wprowadzająca w błąd, która udaje instalator wymaganego komponentu
Oszukańcze okienko udające komunikat od dewelopera FLV

Reklamy wprowadzające w błąd, które udają przyciski sterowania odtwarzaniem na stronie hosta
Reklamy podszywające się pod przyciski obsługujące stronę

Jak naprawić problem

Jeśli Twoja witryna zostanie oznaczona jako zawierająca treści używane w inżynierii społecznej (wprowadzające w błąd), sprawdź, czy nie stosuje ona praktyk opisanych powyżej, a następnie wykonaj te czynności:

  1. Zaloguj się w Search Console.
    • Zweryfikuj się jako właściciel witryny i sprawdź, czy nie dodano nowych, podejrzanych właścicieli.
    • Przejrzyj raport Problemy dotyczące bezpieczeństwa, aby dowiedzieć się, czy witrynę oznaczono jako zawierającą treści wprowadzające w błąd (w raporcie oznacza to inżynierię społeczną). Otwórz kilka oznaczonych adresów URL wymienionych w raporcie, ale użyj komputera spoza sieci, z której udostępniasz witrynę (sprytni hakerzy wyłączają niebezpieczne elementy w sytuacji, gdy użytkownik wchodzący na stronę może być właścicielem witryny).
  2. Usuń treści wprowadzające w błąd. Upewnij się, że wszystkie strony witryny zostały oczyszczone. Jeśli uważasz, że Bezpieczne przeglądanie błędnie sklasyfikowało stronę internetową, zgłoś to.
  3. Sprawdź zasoby firm zewnętrznych umieszczone w Twojej witrynie. Upewnij się, że żadne reklamy, obrazy ani inne materiały firm zewnętrznych umieszczone na stronach witryny nie wprowadzają użytkowników w błąd.
    • Pamiętaj, że sieci reklamowe mogą stosować rotację reklam wyświetlanych w witrynie. Dlatego może być konieczne kilkukrotne odświeżenie strony, zanim pojawią się na niej reklamy z treściami używanymi w inżynierii społecznej.
    • Niektóre reklamy mogą wyglądać inaczej na urządzeniach mobilnych niż na komputerach. Możesz skorzystać z narzędzia do sprawdzania adresów URL, aby zobaczyć witrynę zarówno w wersji na komputery, jak i na urządzenia mobilne.
    • W przypadku usług firm zewnętrznych, których używasz w witrynie (np. usług płatności), postępuj zgodnie z wytycznymi opisanymi poniżej.
  4. Poproś o sprawdzenie witryny. Gdy usuniesz z witryny wszystkie treści używane do inżynierii społecznej, z poziomu raportu Problemy dotyczące bezpieczeństwa możesz poprosić o sprawdzenie zabezpieczeń. Weryfikacja może potrwać kilka dni.

Wytyczne dotyczące usług firm zewnętrznych

Jeśli Twoja witryna wykorzystuje usługi firm zewnętrznych, zalecamy spełnić te warunki, aby nie została ona oznaczona jako stosująca inżynierię społeczną:

  • Witryna firmy zewnętrznej powinna na każdej stronie zawierać dobrze widoczne, identyfikujące ją elementy, tak aby użytkownicy wiedzieli, kto zarządza witryną. Na przykład u góry strony dobrze jest dodać logo marki.
  • Na każdej stronie, która zawiera elementy identyfikujące markę zlecającą wykonanie zadania, jednoznacznie określ relację między tą firmą a firmą zewnętrzną i podaj link, który prowadzi do strony zawierającej więcej informacji na ten temat. Możesz dodać na przykład takie oświadczenie:

    Ta usługa jest zarządzana przez example.com w imieniu example.organizacja-charytatywna.com. Więcej informacji.

Dobrą zasadą jest dbanie o to, aby użytkownik przeglądający witrynę bez kontekstu w łatwy sposób mógł ją zidentyfikować i dowiedzieć się o relacji obu podmiotów.