Человеческий фактор обнуляет инвестиции в безопасность в 70% случаев социотехнических атак на компанию.
Самые продвинутые системы безопасности не защитят от сотрудника, который сообщит хакерам пароль от рабочего компьютера или отключит антивирус по звонку «айтишника», которому якобы нужно обновить рабочее ПО. Профессиональные киберпреступники умело пользуются человеческими ошибками и применяют психологические приемы, чтобы заставить «жертву» нарушить корпоративные правила безопасности. Все это называется методами социальной инженерии, или социотехническими атаками.
По нашему опыту, более чем в 70% случаев «социальным инженерам» удается добиться поставленных целей, несмотря на все противостоящие им средства защиты. Приведу несколько реальных историй из практики, не называя ни компании, ни отрасли бизнеса. Да это и не имеет значения, потому что социотехнические атаки угрожают всем.
Важный дисклеймер: все описанные действия происходили в рамках действующих контрактов на проверку защищенности, в большинстве случаев — в присутствии представителей заказчика. Не пытайтесь применять эти методы на практике, поскольку некоторые из них могут повлечь административную и уголовную ответственность.
Кейс №1. Проникновение за закрытые двери
Начнем с самой простой задачи — попасть в бизнес-центр без пропуска, пробраться в офис компании и другие закрытые зоны. Условный «злоумышленник» несколько дней, а то и недель наблюдает за контрольным пунктом, чтобы найти уязвимость. Например, он может заметить, что охранник всего один и периодически он выходит курить. Пост остается пустым буквально на пару минут, но это возможность пройти. Особенно если в “курилке” с охранником разговорится симпатичная девушка, страхующая злоумышленника — тогда времени хватит и на то, чтобы выйти незамеченным.
Или преступник может приехать к бизнес-центру до его открытия, темным зимним утром. У самого здания он разговорится с сотрудницей, которая в этом центре работает: как холодно на улице, как скользко, не страшно ли ей ходить одной в такую рань, можно ли пройти вместе с ней – свой пропуск забыл дома? Слово за слово, несколько удачных шуток, и посторонний человек уже поднимается в пустой офис. Там он может установить постороннее оборудование, скопировать документы или же просто поменять замки, чтобы подготовить рейдерский захват.
Кейс №2. Похищение IT-активов
Многие компании размещают серверы в сторонних центрах обработки данных (ЦОДах) — это дешево и удобно. Однако важно понимать, что после этого сохранность корпоративной информации зависит от сотрудников провайдера, о которых владелец сервера ничего не знает.
Однажды в такой ЦОД звонит явно взволнованный человек, представляется сотрудником одного из клиентов. Он сообщает, что его организация недавно уволила сотрудника, который пригрозил за это отомстить. Сначала словам не придали значения, а потом поняли, что уволенный сотрудник – единственный, кто знает пароль к личному кабинету для управления сайтом.
Теперь звонящий в ЦОД хочет понять, как действовать, чтобы не потерять контроль над ресурсом. Его соединяют со специалистом поддержки (допустим, того зовут Иван), который с сожалением сообщает, что ЦОД не имеет права что-либо делать с серверами клиентов.
Звонящий человек начинает нервничать еще больше, спрашивает, нельзя ли приехать в ЦОД и разобраться на месте. Иван не уверен, но предлагает так и сделать. Дорога до ЦОДа занимает 40 минут, за это время неизвестный человек еще пять раз звонит Ивану, уже по внутреннему номеру. Он интересуется, нет ли новостей, уточняет, работает ли сейчас сервер, спрашивает, есть ли у провайдера резервные копии, узнает, что компания-владелец сервера не оплатила такую услугу. Последняя новость приводит его в настоящий ужас, поскольку уволенный сотрудник буквально только что написал, что собирается стереть все данные — фактически уничтожить бизнес компании.
По прибытии в ЦОД человек требует лично Ивана. Тот уже готов на все, лишь бы отвязаться от незнакомца, который впутывает его в свои проблемы. Поэтому он не просит ни паспорт, ни договор с провайдером, ни доверенность на операции с сервером — сразу проводит посетителя к своему рабочему месту и открывает личный кабинет с доступом к серверу. В этот момент “злоумышленник” может сделать с данными все, что угодно: украсть, зашифровать, стереть, подменить реквизиты на сайте, чтобы деньги клиентов падали на его счет.
На самом деле, это была проверка. Представьте себе глаза генерального директора компании-владельца сервера, который был свидетелем всего процесса вплоть до последнего этапа. Буквально на следующий день контракт с провайдером разорвали и перевезли сервер в другой ЦОД.
Кейс №3. Кража корпоративных финансов
Третий вариант социотехнической атаки — это “атака на бизнес-процессы”. В этом случае злоумышленники пытаются вмешаться в работу организации, чтобы заставить сотрудников выполнить нужные им действия. Пожалуй, самый яркий пример такой атаки — это история Эвальдаса Римасаускаса (Evaldas Rimasauskas), который в 2019 году получил тюремный срок за кражу 120 миллионов долларов у Facebook* и Google.
Римасаускас зарегистрировал фирму под названием Quanta Computer — так же называется крупный азиатский поставщик оборудования, с которым работают многие компании из Кремниевой Долины. Далее он подделал печати, инвойсы и прочие корпоративные материалы вендора и вступил в переписку с сотрудниками Google и Facebook*. Мошенник смог убедить их в необходимости перевода всех оплат “поставщику” на новые реквизиты и получил несколько десятков миллионов долларов, которые перебросил на счета в банках Венгрии, Кипра, Латвии, Литвы, Словакии и Гонконга.
Изменения в процессе оплаты оставались рабочими в течение некоторого времени, деньги поступали на счета несколькими траншами. Когда компании обнаружили кражу, они постарались сохранить историю в тайне. В СМИ она попала уже после задержания Римасаускаса в марте 2017, когда журнал Fortune провел собственное расследование.
Суд приговорил Римасаускаса к 5 годам лишения свободы и 2 годам административного надзора. Мошенника также обязали выплатить штраф в размере $50 млн и компенсацию — еще около 26,5 млн долларов.
Практика показывает: с покупки дорогостоящих лицензий на ПО и внедрения систем в организации информационная безопасность только начинается. Реальные кибератаки часто застают компанию врасплох, поэтому очень важно тренировать у сотрудников навыки информационной безопасности. Они должны распознавать попытки злоумышленников создать стрессовую ситуацию и не поддаваться на манипуляции. А на тот случай, если (или когда) человеческий фактор все же сыграет свою роль, у компании должны быть избыточные средства безопасности, которые заблокируют подозрительную транзакцию, прежде чем деньги уйдут со счета.
*Facebook – соцсеть, принадлежащая запрещенной и признанной экстремистской в России корпорации Meta.
Автор: Александр Дмитриев, генеральный директор компании «Нейроинформ».
Оригинал публикации на сайте CISOCLUB: "Взлом на доверии".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.