Звонок от «генерального директора»
Сегодня о тысяче и одном способе выманивания денег у доверчивых граждан не говорит только ленивый. Каждый день новостная лента приносит сообщения об очередной жертве мошенников, которую обманом вынудили перевести на «безопасные счета» все накопления, а также превращенное в деньги и кредиты движимое и недвижимое имущество.
С годами мошенники совершенствуют средства и методы, в этом им помогают новые технологии, а также утечки, через которые можно узнать дополнительную информацию как о физическом, так и о юридическом лице. Осенью 2023 года, когда мне впервые пришлось столкнуться со «звонком от руководителя», злоумышленники общались с бывшим сотрудником небольшой организации от имени действующего начальника через мессенджер. Они подделали не только аккаунт, но также изучили факты из жизни потенциальной жертвы и своеобразную манеру общения руководства с подчиненными. Настоятельные требования со стороны уже бывшего руководства ответить на звонок «куратора» возмутили абонента. Это, отчасти, и спасло человека от дальнейших действий, а его средства – от перевода на «безопасный счет». Схему сломал звонок экс-коллегам и сравнение аккаунтов писавшего «руководителя» и реального начальника выявили прокол злоумышленников: в поддельном аккаунте они использовали фото из открытых источников, которого нет в личном.
По данным исследований компании Positive Technologies, социальная инженерия продолжает оставаться наиболее популярным методом для атак как на организации (50%), так и на частные лица (92%). Чаще всего социнженерия использовалась для целевых атак на конкретных пользователей с использованием персонализированных сообщений, основанных на собранных данных о жертве, а также применялись методы психологического воздействия на сотрудников организаций с целью получение учетных записей для доступа к IT-инфраструктуре.
Дипфейк в помощь
В 2024 году атаки совершенствовались, широкое распространение методы социальной инженерии получили на фоне роста числа утечек ПДн и технического прогресса в области искусственного интеллекта и машинного обучения, появления аудио- и видео дипфейков. Многим запомнилась новость о краже более 25,6 млн долларов у международной компании в Гонконге, служащие которой перевели деньги на счет злоумышленников, которые использовали сложную мошенническую схему с применением дипфейков.
В России мошенники действуют не столь масштабно, как правило они звонят бухгалтерам компаний от имени руководителей компаний с поддельных аккаунтов и представляются сотрудниками спецслужб. Используя методы социнженерии, они убеждают ответственных работников финансовых подразделений переводить средства юрлиц на «безопасный счет» или снимать деньги и передавать их злоумышленникам. По данным Банка России, в третьем квартале 2024 годы выявлено 297 операций без согласия клиентов, в результате которых со счетов юрлиц было выведено порядка 131 млн рублей, из них вернуть удалось только 1,6%.
Человеческий фактор
Распространение и совершенствование средств социнженерии несет угрозу не только физическим и юридическим лицам и их финансовому благосостоянию. Люди, не умеющие распознавать признаки мошенничества, легко поддающиеся на уговоры и увещевания, могут стать жертвами действий злоумышленников, предоставляя им доступ к конфиденциальной информации или выполняя действия, которые, под благовидным предлогом, могут нанести непоправимый ущерб компании.
Социальные инженеры используют разнообразные способы воздействия на граждан. В первую очередь, учитывают страх многих потерять сбережения и оказаться осужденным за противоправные действия, например, платежи в адрес террористов. Кто-то уважает представителей властей и готов помочь им бороться с преступностью. Кому-то льстит внимание высокого начальства или чиновника, который лично просит сообщить конфиденциальную информацию или дать взаймы до понедельника. Заставляя жертву действовать быстро, угрожая и не давая реально оценить ситуацию, злоумышленники извлекают максимальную выгоду.
Меры защиты
Что может сделать компания, чтобы защитить себя и сотрудников от несовершенства человеческой натуры? Как исключить человеческий фактор?
В первую очередь, необходимо проводить регулярные учения и занятия по распознаванию фишинговых писем и поддельных звонков, сообщать о случаях поддельных звонков от имени руководства отдельным работникам. Строгая внутренняя политика и единый подход к вопросам безопасности всех сотрудников в офисе и на удаленке помогут минимизировать последствия в случае преднамеренного или непреднамеренного действия одного служащего. Использование закрытых VPN-соединений и многофакторной аутентификации затруднит доступ к ИТ-инфраструктуре организации, даже если данные учетной записи окажутся в распоряжении злоумышленников.
Также рекомендуется использовать технические средства защиты, обновлять и настраивать системы фильтрации электронной почты для обнаружения фишинговых писем и вредоносных вложений. Для предотвращения физического вторжения или аномального поведения пользователей необходимо использовать системы контроля доступа и видеонаблюдения, внедрить политику доступа в офис и помещения с ограниченным доступом сотрудников.
Для того, чтобы оставаться в курсе новых мошеннических схем с использованием социальной инженерии, специалистам по информационной безопасности компаний можно рекомендовать следить за новостями, посещать профильные мероприятия и знакомиться с отчетами коллег, которые работают в этом направлении.
Автор: Виктория Варламова, руководитель отдела защиты бренда, Angara Security.
Оригинал публикации на сайте CISOCLUB: "Социальная инженерия против сотрудников: как защитить компанию от человеческого фактора?".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
