Социальная инженерия (сайты для фишинга и обмана пользователей)

В интернете встречается контент, который обманным путем заставляет пользователей выполнять опасные действия, например разглашать конфиденциальную информацию или скачивать программы. Такие методы обмана мы называем "социальной инженерией". Если Google считает, что на вашем сайте применяются методы социальной инженерии, то при попытке перейти на него браузер Chrome показывает предупреждение "Осторожно, поддельный сайт!". Узнать, есть ли такой контент на страницах вашего сайта, можно из отчета "Проблемы безопасности".

Обзор

Что такое социальная инженерия?

Социальная инженерия – это обманные приемы, заставляющие пользователя выполнять на сайтах или в приложениях действия, которые могут нанести ему ущерб.

Вот некоторые из таких приемов:

  • Фишинг. Под этим термином понимается создание сайтов, которые обманным способом вынуждают пользователей раскрывать свои персональные данные (в частности, пароли, телефонные номера и реквизиты банковских карт). Такая страница имитирует сайт вызывающей доверие организации, например банка или государственного учреждения, либо воспроизводит интерфейс существующего браузера или операционной системы.
  • Обманный контент. Пользователю предлагается совершить действие, обычно выполняемое только на официальном сайте той или иной организации, например ввести пароль, скачать программу или позвонить в службу поддержки. Разновидностью этого приема является показ уведомления с предложением обновить какую-либо программу на устройстве. При нажатии на такое уведомление устанавливается нежелательное ПО.
  • Нечеткое указание на то, что сайт принадлежит стороннему поставщику. Сторонний поставщик услуг управляет сайтом или сервисом от имени другого лица. Предположим, сайт вашей благотворительной организации пользуется услугами стороннего сайта для сбора пожертвований. На этом стороннем сайте должно быть четко указано, что он действует от имени благотворительной организации, иначе мы будем расценивать его деятельность как социальную инженерию.

Сервис Google Безопасный просмотр может предупреждать пользователей о том, что на странице, которую они собираются посетить, регулярно применяются методы социальной инженерии.

Сайты будут считаться нарушающими наши правила в следующих случаях:

  • они имитируют оформление или интерфейс авторитетного сайта, устройства пользователя или браузера;
  • они обманным путем провоцируют пользователя совершить действие, обычно выполняемое на сайте вызывающей доверие организации, например ввести пароль или позвонить в службу поддержки.

Социальная инженерия и встроенный контент

Методы социальной инженерии могут применяться и во встроенном контенте на безопасных сайтах, например в объявлениях. Страницы с таким контентом нарушают наши правила.

Иногда реклама с социальной инженерией сразу видна посетителям страницы, как показано в примерах ниже. Но бывает и так, что опасный контент на первый взгляд не заметен и появляется в виде всплывающих объявлений, перенаправляющих пользователей на страницы злоумышленников. В обоих случаях страницы с рекламой, использующей приемы социальной инженерии, будут считаться нарушающими правила.

Я не использую приемы социальной инженерии, но в браузере появляется предупреждение. Почему?

Обманный контент может находиться в сторонних элементах на вашей странице: изображениях, объявлениях и т. д. – и вынуждать посетителей скачивать нежелательное ПО.

Кроме того, сайт могут взять под контроль хакеры и размещать на нем опасный контент. Часто они изменяют материалы сайта или создают на нем новые страницы с целью получить конфиденциальные данные пользователей, например номера их банковских карт. Чтобы убедиться, что ваш сайт не считается распространяющим обманный контент, изучите отчет "Проблемы безопасности" в Search Console.

Если вы полагаете, что ваш сайт был взломан, воспользуйтесь нашими рекомендациями.

Примеры

Примеры обманного контента

Ниже приведены примеры страниц, на которых используется социальная инженерия.

Всплывающее объявление, побуждающее пользователя установить нежелательное приложение.
Всплывающее объявление, обманным путем заставляющее пользователя установить вредоносное ПО.
Пример использования социальной инженерии для того, чтобы убедить пользователя в необходимости обновить браузер
Всплывающее объявление с ложным сообщением о том, что пользователю необходимо обновить браузер.
Это пример ложной страницы входа в аккаунт Google –. обратите внимание на неправильный адрес. На подобных сайтах мошенники стараются обманным путем собрать самую разную информацию, в том числе реквизиты банковских карт. Фишинговые сайты могут точно повторять внешний вид оригинальных страниц, поэтому всегда проверяйте URL в адресной строке. Адреса безопасных сайтов должны начинаться с префикса https://

Примеры обманных объявлений

Ниже представлены примеры обманного контента во встроенных объявлениях, которые выглядят как часть интерфейса страницы.

Обманное объявление, оформленное как обновление медиапроигрывателя на странице.
Всплывающее объявление с ложным сообщением о том, что программное обеспечение пользователя устарело.
Обманное объявление, оформленное как установщик нужного компонента.
Всплывающее объявление, имитирующее сообщение от разработчика проигрывателя.
Обманное объявление, оформленное как кнопки управления воспроизведением на странице.
Объявления, имитирующие элементы управления.

Как устранить проблему

Если мы отметили ваш сайт как применяющий методы социальной инженерии, устраните нарушения, выполнив следующие действия:

  1. Проверьте сайт в Search Console.
    • Убедитесь, что вы все ещё владелец сайта в Search Console и у него нет новых подозрительных владельцев.
    • Изучите отчет Проблемы безопасности. Перейдите на страницы, адреса которых перечислены в отчете. Используйте компьютер в другой сети. В некоторых случаях контент, добавленный хакерами, не виден владельцам сайтов, но доступен для обычных посетителей.
  2. Удалите опасные материалы. Убедитесь, что на страницах не осталось обманного контента. Если вы считаете, что ваш сайт отнесен к небезопасным ошибочно, сообщите нам об этом.
  3. Проверьте сторонние ресурсы. Убедитесь, что изображения, объявления и другие встроенные сторонние элементы на ваших страницах не являются обманным контентом.
    • Обратите внимание, что объявления в рекламном блоке могут чередоваться. Обновите страницу несколько раз, чтобы проверить все объявления.
    • Некоторые объявления могут по-разному выглядеть на компьютерах и мобильных устройствах. Воспользуйтесь инструментом проверки URL, чтобы удостовериться в безопасности объявлений на разных устройствах.
    • Убедитесь, что все используемые на вашем сайте сторонние сервисы, например платежные, соответствуют приведенным ниже специальным рекомендациям.
  4. Отправьте сайт на проверку. После удаления обманного контента можно запросить проверку на наличие вредоносного или нежелательного ПО. Обычно она занимает несколько дней.

Рекомендации для сторонних сервисов

Если на вашем сайте используется сторонний сервис, вам необходимо обеспечить соблюдение следующих рекомендаций:

  • На всех страницах своего сайта (например, в их верхней части) сторонний поставщик услуг должен разместить элементы своего бренда. Пользователям должно быть очевидно, кому принадлежит сайт.
  • На каждой странице, содержащей элементы бренда представляемого лица, следует явно указать на деловые отношения между этим лицом и сторонним поставщиком услуг, а также разместить ссылку на источник дополнительной информации. Пример:

Этот сервис предоставляется на сайте example.com от лица example.charities.com. Подробнее…

Пользователю должно быть по одной отдельно взятой странице понятно, на каком сайте он находится и какова связь между сторонним поставщиком услуг и представляемым лицом.

Совет. Если какие-либо услуги по поддержке вашего сайта оказывает сторонняя компания, убедитесь, что она действует в соответствии с отраслевыми стандартами. Например, для аутентификации пользователей на вашем сайте лучше применять протокол OAuth, а не решение собственной разработки.