Говоря о таком явлении как социальная инженерия в голове может нарисоваться образ человека, который занимается, например вопросами коммуникации в организации, построением новых каналов взаимодействия, изучает поведение социума для выстраивания правильного процесса общения и донесения информации. И это на самом деле так. Вот только применяться эти навыки могут совершенно по-разному, и не всегда в благих целях.
Эта статья посвящена проблеме злонамеренного использования социального инжиниринга в контексте обеспечения информационной безопасности.
Может показаться, что технологии должны значительно облегчить нашу жизнь защитить нас от большинства угроз. Но, к сожалению, самым слабым звеном в любой системе защиты по-прежнему остается пользователь.
Positive Technologies в своём отчёте “Актуальные киберугрозы: III квартал 2024 года” приводит следующую статистику — “по итогам III квартала 2024 года социальная инженерия продолжает оставаться наиболее популярным методом для атак как на организации (50%), так и на частные лица (92%)”
Атаки с использованием техник социальной инженерии реализуются злоумышленниками, как правило, с целью манипулирования жертвой, чтобы заставить выполнить какие-либо действия против её воли, например перечислить все средства на безопасный счёт, открыть вредоносный файл из вложения в электронной почте или передать учетные данные от корпоративного сервиса.
По данным МВД, только за первое полугодие 2024 года ущерб от IT-преступлений в России составил 99 млрд рублей. Это 38% от всех преступлений в стране, подтверждает Генпрокуратура.
Распространенными типами атак с применением методов социальной инженерии являются:
- Почтовый фишинг.
- Vishing.
- Evil Twin Phishing.
- Фишинг в поисковых сетях.
- Дорожное яблоко.
Почтовый фишинг
Почтовый фишинг — самый распространённый вид атак. Пользователь электронной почты получает письмо. Иногда отправитель неизвестен получателю и адрес представляет собой просто набор символов. Чаще злоумышленники маскируются под известный получателю адрес (организацию, рекламное агентство или под знакомого человека). Хуже, когда злоумышленники получают доступ к чьему-то уже существующему почтовому ящику и с него начинают рассылку фишинговых писем (этому больше подвержены руководители и топ менеджеры крупных компаний, с их адресов идёт рассылка на адреса подчинённых сотрудников или бизнес-партнеров).
Если говорить о содержании, то оно тоже может быть довольно разнообразным. В тексте письма может содержаться прямая просьба о предоставлении каких-либо данных. Вроде бы ничего страшного, но нужно помнить, что данные отправляются напрямую злоумышленнику, и что он с ними сделает, непонятно. Ясно только то, что использовать он их будет для реализации целевой атаки.
В письме может содержаться вредоносное вложение. Например, архив с фото или видео и неприметный исполняемый файл (.exe). Пользователь, зачастую, даже не задумываясь, открывает подряд файлы, доходит до исполняемого файла. Далее уже сценарии могут быть разными: от простого сбора информации о системе до сбора документов с коммерческой тайной, паролей и секретов, персональных данных и к cache + cookie. Может содержаться ссылка, ведущая на сторонний ресурс.
Для того, чтобы ещё внушить больше доверия к письму, злоумышленники указывают в тексте письма или смс- сообщения тему, которая теоретически может заинтересовать жертву. Это может быть скидка в крупном маркете или всем знакомое “Вы выиграли миллион осталось пройти по ссылке или отправьте смс на номер…”
Те, кто уверены, что при получении почты сразу видно настоящий email отправителя, к сожалению, ошибаются. Сейчас существую сервисы, которые позволяют отправить письмо либо с анонимного адреса, либо предоставляют возможность подставить в поле отправителя нужный адрес.
По похожим схемам работает Smishing (смишинг — смс фишинг) и фишинг в социальных сетях, отличается соответственно только способ доставки сообщений. В социальных сетях злоумышленники спокойно могут создать фейковый аккаунт якобы знакомого вам человека, фирмы или службы техподдержки.
Vishing (вишинг)
Расшифровывается это как voice phishing (голосовой фишинг). Для этого используются обычные звонки по телефону, с ними сталкивались чуть ли не все, у кого есть телефон. Чаще всего после того, как вы поднимаете трубку, начинает в автоматическом режиме воспроизводиться заранее записанное сообщение. В некоторых случаях, конечно, с вами говорит живой человек.
Темы этих звонков тоже всем вполне знакомы. Могут сказать, что по вашей карте проходит операция, нужно проверить вы это или нет, далее срочно сказать данные своей банковской карты включая CVV код, иногда спрашивают паспортные данные (и многие, как ни странно, их сообщают). Могут предложить кредит или страховку на выгодных условиях или представиться вашим родственником и под предлогом попадания в аварию, под следствие за гос. измену, попросить напрямую денег.
Evil Twin Phishing (атака «злой двойник»)
Реализация данной атаки состоит в создании установке злоумышленником своей точки доступа ближе к целевому объекту, чем основная. При этом имя сети (SSID) мимикрирует под название сети оригинальной точки доступа. Пользователь, обнаружив две сети с одним названием вероятнее всего подключится к той, у которой лучше сигнал (при условии не настроенного автоматического подключения). Злоумышленник может перехватить учётные данные от сети и использовать их для подключения к целевой инфраструктуре, либо его целью может быть захват трафика жертвы через свою точку доступа. При работе через точку доступа злоумышленника есть риск захвата трафика для его последующего анализа и поиска учетных данных и конфиденциальной информации.
Фишинг в поисковых сетях
По запросам каких-либо товаров в поисковой выдаче выдаются ссылки на сайты, цены на которых на порядок ниже, чем у остальных. При переходе по подобным ссылкам на первый взгляд ничего подозрительного может не обнаружиться, так как эти сайты часто оформлены очень профессионально и похожи на сайты крупных маркетов. Вот только цены существенно ниже, или есть заманчивые акции и предложения. Конечно, желание побыстрее купить и не упустить выгоду, отвлекает. Покупатель добавляет товары в корзину, вносит данные банковской карты, и вот на этом моменте они и становятся жертвой, так как данные передаются злоумышленникам.
Дорожное яблоко
Перед входом в офис злоумышленники могут подбросить флешку, чтобы её точно подобрали кто-то из сотрудников компании. Для привлечения внимания флешка может быть сделана даже с логотипом целевой компании или брелоком. Расчёт идёт на то, что кто-то из работников из интереса подберет флешку. В попытках идентифицировать владельца этот сотрудник может подключить носитель к рабочему компьютеру. В этот момент запускается вредоносное ПО, заранее записанное на флешку злоумышленниками, и начинает работу, а его функционал зависит только от целей и фантазии злоумышленников
Несмотря на множество различных методов социальной инженерии, все они сводятся к тому, что это те же самые явления, с которыми можно было и раньше столкнуться в обычной жизни, только теперь с применением цифровых технологий – обман, угрозы, шантаж, подмены, игра на человеческих чувствах и эмоциях
Злоумышленники, использующие методы социальной инженерии своего рода психологи, которые ориентируются на человеческие слабости больше, чем на уязвимости в системе безопасности.
Когда они звонят по телефону и представляются сотрудниками правоохранительных органов или сотрудниками банка – они играют на чувстве страха. Ну разумеется, кто не боится потерять все свои накопления. Именно этого и дожидаются мошенники, которые сами создают для жертвы стрессовую ситуацию, а потом предлагают якобы лёгкий способ выйти из неё.
Говоря про звонки с пугающими новостями, самыми уязвимыми группами населения являются дети и пожилые люди. Они более доверчивы и остро реагируют на подобные звонки, когда, например человек на том конце провода говорит, что внук/сын попал в ДТП или маме/папе нужна срочная помощь.
На сегодняшний день известно о многих случаях мошенничества, когда детям обещают какую-либо внутриигровую валюту за, казалось бы, простые действия, такие как отправка фото банковских карт родителей. Разумеется, в силу своего возраста они ещё не могут адекватно реагировать на подобные звонки и просьбы.
Также мошенники могут угрожать, говорить о финансовом долге или угрожать уголовным делом, и чтобы избежать этого, например предлагают совершить общественно опасное деяние.
Случае выше скорее относятся к атакам на частных лиц.
Злоумышленники проводят атаки и на компании. Там также работают люди, со своими страхами и чувствами. В этих случаях методы остаются теми же, а вот цели уже совершенно другие.
Как правило, злоумышленники стараются получить либо ценную информацию, либо доступ к корпоративной инфраструктуре. Гораздо более критичными, чем сам факт отправки данных злоумышленнику, могут быть последствия. В результате успешных фишинговых атак на сотрудников могут быть украдены конфиденциальные данные с целью их перепродажи, разглашения, использования в качестве конкурентного преимущества. Самый распространенный риск — финансовые потери в результате, например, успешной атаки на бухгалтера, который перевел денежные средства напрямую на счёт злоумышленника. В случае предоставления доступа к инфраструктуре, если были переданы логин и пароль привилегированной учетной записи, последствий также может быть множество – получение контроля над информационной инфраструктурой, нарушение её функционирования, полный контроль над данными, обращающимися и хранящимися в корпоративной сети, использование инфраструктуры для развертывания на неё вредоносной активности, уничтожение инфраструктуры и ее бэкапов.
Полностью защититься от атак с применением методов социальной инженерии, к сожалению, не получится. Однако можно снизить этот риск.
Методы защиты от социальной инженерии в личной жизни:
- Всегда проверять отправителя письма (если почтовый адрес выглядит подозрительно, а в письме усматривается содержимое, вызывающие у вас резкие эмоции и призывающее немедленно совершить какое действие, лучше проигнорировать письмо)
- При получении сообщения с подозрительной просьбой якобы от знакомого человека свяжитесь с ним по другому каналу связи и уточните ситуацию
- Не переходите по подозрительным сайтам и не кликайте на рекламные баннеры
- Установите антивирусное ПО на свои устройства – как на телефонах, так и на компьютеры. Современные антивирусные средства могут контролировать переход мошенническим сайтам и не позволят запуститься вредоносному программному обеспечению
- Воспользуйтесь сервисами проверок входящих вызовов
Как защититься от атак с применение методов социальной инженерии на корпоративной уровне:
- Применение средств антивирусной защиты на всех устройствах в корпоративной инфраструктуре, в том числе на границы сети. Важно использовать модули «Анти-спам» и «анти-бот». Современные антивирусные средства имеют достаточно большой функционал, который в том числе позволяет проверять сайты до перехода на них, анализировать почтовые вложение и запускаемые файлы
- Применение DLP систем позволит минимизировать риск отправки конфиденциальной информации от сотрудника к злоумышленникам, если тот всё же попался на их уловки
- Контроль учётных записей и действий пользователей позволит вовремя обнаружить не типичную активность, которая может быть результатом атаки
- Повышение уровня цифровой гигиены в коллективе компании – проведение мероприятий, направленных на повышение осведомленности о правилах информационной безопасности и распространенных типах атак – таких как лекции, вебинары, подкасты. Важно донести до работников цели этих мероприятий и указать на уровень ответственности, с которым они должны относиться к мероприятиям по информационной безопасности.
- Проведение регулярных практических мероприятий, направленных на повышение грамотности пользователей в сфере информационной безопасности – проведение тестовых фишинговых рассылок, тестирования по теме проведенных лекций
- Если после проведённых теоретических и практических мероприятий в коллективе всё ещё высокий уровень подверженности атакам с применением методов социальной инженерии (например сотрудники продолжают открывать тестовые фишинговые письма и передавать учетные данные по телефону при первом же запросе), стоит включить это в Модель угроз в части актуальных нарушителей (авторизованные пользователи систем и сетей, которые непреднамеренно могут реализовать угрозу безопасности информации)
- Придерживаться принципа нулевого доверия (Zero Trust). Данная концепция подразумевает отсутствие доверия ко всем пользователям и устройствам в корпоративной сети. Любой запрос проходит многократную проверку на легитимность. С технической стороны Zero Trust можно реализовать, используя многофакторную аутентификацию MFA, сервисов управления идентификацией и контролем доступа (Identity and Access Management — IAM), сегментация и контроль сети с помощью NGFW
И всё же, самыми главными методами, которые помогут минимизировать риск быть атакован злоумышленниками с применением методов социальной инженерии – это критическое мышление и перепроверка данных.
Автор: Максим Шаманаев, Консультант по информационной безопасности Б-152.
Оригинал публикации на сайте CISOCLUB: "Что такое социальная инженерия и как не стать жертвой психологического взлома?".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.