В Positive Technologies собрали статистику эффективности атак с применением методов социальной инженерии.
В ходе проектов по анализу защищенности корпоративной инфраструктуры специалисты Positive Technologies имитировали активность хакеров и отправляли сотрудникам компаний-заказчиков сообщения, содержащие вложенные файлы, ссылки на веб-ресурсы и формы для ввода паролей. Всего было отправлено 3332 письма и 17% из этих сообщений в реальной жизни могли бы привести к компрометации компьютера сотрудника, а впоследствии — и всей корпоративной инфраструктуры.
Самым эффективным методом социальной инженерии оказались сообщения с фишинговой ссылкой: по ней перешли 27% получателей. Пользователи невнимательно читают адрес или не глядя кликают на него и переходят на поддельный сайт.
Для повышения эффективности атаки злоумышленники могут комбинировать различные методы: в письме одновременно может присутствовать и вредоносный файл, и ссылка на сайт с набором эксплойтов и формой для ввода пароля. Если вложения могут быть заблокированы антивирусом, то способа защиты от добровольной передачи пароля пользователем не существует.
Сотрудники часто не просто открывают незнакомые файлы и кликают по подозрительным ссылкам, но и вступают в переписку со злоумышленниками, выяснили эксперты. В 88% случаев это делают работники, не связанные с ИТ — бухгалтеры, юристы, менеджеры и т. п. Каждый четвертый участник такой переписки оказался руководителем отдела. Впрочем, на удочку хакеров могут попадаться даже специалисты по безопасности: в ходе экспериментов 3% из них вступили в диалог.
В ходе беседы с хакером пользователи могут жаловаться на то, что присланные зловредные файлы или ссылки не открываются, — в некоторых случаях перед этим они пробовали открыть файлы или ввести пароль по ссылке по 30–40 раз.
Сотрудники скачивают зловредные файлы, переходят по фишинговым ссылкам и вступают в переписку с хакерами, делясь контактами коллег.
Часто, если открыть файл сразу не удается, сотрудник пересылает письмо в ИТ-департамент компании с просьбой о помощи. Это увеличивает риски компрометации инфраструктуры, поскольку технические специалисты доверяют коллегам и с высокой вероятностью запустят файл. Иногда адресаты сообщали о том, что письмо попало к ним по ошибке и предлагали имена других сотрудников организации, кому его следовало бы отправить.
Эффективность рассылок от лица поддельных компаний сегодня снижается (11% потенциально опасных действий), в то время как если сообщение приходит от имени реальной компании и реального человека, вероятность успеха взломщиков возрастает — 33%.
Киберпреступники используют страх, жадность, надежду и другие эмоции для повышения эффективности своих атак. Поэтому в темах своих писем они используют фразы вроде «список сотрудников на увольнение» (спровоцировали 38% потенциально опасных действий), «выплаты премий за год» (25%) и т. п. При получении таких сообщений люди часто забывают об элементарных правилах безопасности.
Электронная почта — далеко не единственный инструмент социальной инженерии. Злоумышленники часто звонят сотрудникам компаний по телефону, чтобы, например, представиться специалистом техподдержки и получить важные данные или заставить собеседника совершить нужное действие.
Исследование процессов обеспечения информационной безопасности в российских компаниях показало, что 38% организаций вообще не проводят тренинги для сотрудников по вопросам безопасности, а 37% делают это формально, без какой-либо проверки эффективности.