В эпоху цифровизации социальная инженерия представляет собой серьезную угрозу информационной безопасности. Злоумышленники все чаще используют манипуляции и психологические приемы, чтобы получить доступ к конфиденциальным данным и ресурсам. В данной статье рассматриваются основные методы социальной инженерии и эффективные стратегии защиты от таких угроз.
Современные информационные технологии несут в себе не только широкие возможности для коммуникации, но и сопряженные с ними угрозы безопасности. Взломы систем, кража конфиденциальных данных и мошенничество на сегодняшний день являются серьезным вызовом как для крупных компаний, так и для частных лиц.
Атаки с использованием человеческого фактора (социальной инженерии) остаются самым популярным способом кибернападений на организации (50%) и на индивидуальных пользователей (91%) — данные специалистов по пентесту за I квартал 2023 года.
Человеческий фактор может стать причиной уязвимости к кибератакам даже самой надежно-защищенной и изолированной от сети Интернет информационной системы. Чаще всего для этой цели используется электронная почта, фальшивые интернет-сайты, программы для обмена короткими сообщениями, социальные сети и даже телефон.
Социальная инженерия в контексте кибербезопасности — категория преступлений, которые основаны на знании психологии и тонком манипулировании людьми для достижения цели. Поэтому данный вид мошенничества часто называют «взломом» человека. При таком преступлении требуется умение войти в доверие к оппоненту и получить от него необходимую для реализации своих намерений информацию.
Главное оружие социального инженера — воздействие на эмоции. Социальная инженерия, особенно методом фишинга, никогда не бывает эмоционально нейтральна — она всегда эксплуатирует уязвимости человеческой психики, связанные с сильными эмоциями, заставляющими жертву вести себя иррационально. Как правило, преступники, профессионально занимающиеся социальной инженерией, — хорошие психологи и умеют грамотно и быстро адаптировать свои действия к информационному контексту и специфике конкретной цели.
Основные эмоции, эксплуатируемые киберпреступниками:
Страх. Социальный инженер настаивает на том, что если жертва не совершит целевое действие, это будет иметь для нее серьезные последствия — от угрозы потери доступа к своей электронной почте, до административного или даже уголовного наказания за якобы имевшее место правонарушение.
Любопытство. Базируется на актуальных инфоповодах. Например, после широкого распространения информации об утечке данных жертве приходит фишинговое письмо с предложением проверить наличие персональных сведений в опубликованной базе. Если пользователь перейдет по ссылке и введет свои данные или пароли, они попадут к злоумышленникам.
Алчность. Фишинговые послания в электронной почте, соцсетях и мессенджерах эксплуатируют тему выигрышей в лотерею, скидок на товары, возможность заработать на криптовалюте, получить налоговый вычет, и тому подобные финансовые мотивы. При этом подчеркивается, что приз, скидка или выигрыш исчезнут, если не действовать быстро (на фишинговом сайте обычно в этом случае используется фальшивый таймер). В этом случае злоумышленник рассчитывает на то, что большинству людей интересна возможность легко заработать — и, судя по популярности таких мошенничеств, они будут актуальны всегда.
Срочность. Дополнительный фактор, усиливающий давление на жертву. В качестве обоснования необходимости срочного совершения нужного действия злоумышленники используют различные аргументы (потеря доступа к какому-либо сервису, проблемы на работе или с законом и т.д.)
Несмотря на многообразие используемых предлогов, эксплуатируемых инфоповодов и разновидностей атак, вся социальная инженерия работает по одной и той же схеме в рамках четырехэтапного цикла: сбор информации, поиск лучшего метода воздействия, контакт, достижение цели, разрыв контакта.
- Подготовка. На этом этапе злоумышленник собирает как можно больше данных о жертве или об организации, изучает специфику ее работы, отмечает все детали, которые могут оказаться полезными для установления контакта и инфильтрации.
- Проникновение. Мошенник устанавливает контакт с выбранным человеком, в отношении которого он использует приемы социальной инженерии, и входит в доверие, выдавая себя за того, кем он на самом деле не является.
- Эксплуатация. Доведение жертвы до совершения «целевого действия». Это может быть переход по вредоносной ссылке, ввод конфиденциальных данных, открытие пользователем вредоносного вложения.
- Выход. После того, как жертва совершила необходимое действие, мошенник перестает выходить на связь (в случае фишинговых писем обратная связь не подразумевается изначально). Социальный инженер получил то, что хотел, и теперь он будет эксплуатировать полученные данные в своих целях. Самый длинный этап — первый, подготовка и сбор информации о жертве. Этапы со второго по четвёртый могут уложиться в несколько секунд — столько займет, например, отправление фишингового письма, его прочтение пользователем и переход последнего по вредоносной ссылке. С другой стороны, в случае наиболее изощренной социнженерии, например, если речь идет о серьезной компании или VIP-персоне, такой цикл может длиться несколько дней или даже месяцев.
Все методы социальной инженерии основываются на особенностях принимаемых человеком решений. Это так называемый когнитивный базис, согласно которому люди в социальной среде всегда склонны кому-то доверять. Наиболее используемыми злоумышленниками видами кибератак с применением социальной инженерии являются:
Фишинг (англ. phishing - от англ. password (пароль) и англ. fishing (рыбная ловля, выуживание)) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов или банков, а также личных сообщений в социальных сетях и мессенджерах. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить его ввести свои аутентификационные данные, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам жертвы. Чтобы вызвать больше доверия, злоумышленники часто используют взломанные учетные записи знакомого жертве адресата.
Вишинг или «голосовой фишинг» (англ. vishing - от voice (голос) + phishing) одна из разновидностей фишинга, при котором также используются методы социальной инженерии, но уже с помощью телефонного звонка. Мошенники маскируются под определенную организацию – банк, поставщика услуг, государственную организацию, сотрудника ИТ-службы. В случае «звонка из банка» псевдо-сотрудник, например, информирует жертву о проблемах с его банковской картой и под предлогом решения вопроса выманивает реквизиты. Также при вишинге может быть предложена выгодная покупка с огромной скидкой или озвучена информация о выигрыше в какой-либо акции.
Претекстинг (англ. pretexting) — разновидность вишинга — атака, при реализации которой злоумышленник действует по заранее подготовленному сценарию и узнает конфиденциальную информацию потенциальной жертвы, или вынуждает её совершить определенное действие. Претекстинг обычно осуществляется через телефон, социальные сети или электронную почту и подразумевает предварительный сбор информации о жертве, как то: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у адресата.
Смишинг (англ. SMiShing — от «SMS» и «фишинг») — вид фишинга, при котором жертве отправляют сообщение, мотивирующее перейти по ссылке на поддельный сайт. Как вариант, жертве предлагается отправить в ответном сообщении конфиденциальную информацию, касающуюся платежных реквизитов или аутентификационных данных для доступа к информационно-платежным ресурсам.
Фарминг (англ. pharming — производное от слов «phishing» и англ. «farming» — занятие сельским хозяйством, животноводством) — процедура скрытного перенаправления жертвы на ложный IP-адрес. Для этого злоумышленник внедряет на компьютеры пользователей специальные вредоносные программы, которые перенаправляют запрос с искомых сайтов на поддельные. Все это производится посредством использования кэша DNS на конечном устройстве пользователя или же на сетевом оборудовании провайдера. После подмены мошеннику остается только дождаться ввода пользователем на фальшивом ресурсе своих аутентификационных данных. Распознать фарминг достаточно сложно, так как процесс подмены сайта происходит незаметно.
Watering hole (от англ. водопой). По аналогии с водопоем животных в Африке, где охотнику удобнее всего подстерегать добычу, «атака на водопой» — это взлом и заражение вредоносной программой информационного ресурса, часто посещаемого потенциальными жертвами. Это могут быть сайты компаний-партнеров или подрядчиков, общественных организаций и даже правительственных учреждений. «Атака на водопой» может быть как массовой, рассчитанной на всех посетителей, так и целевой – направленной на конкретные лица.
Квид про кво (от лат. quid pro quo — «то за это»). Второе название — «услуга за услугу». Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону или электронной почте. Зачастую мошенник представляется сотрудником службы поддержки, который сообщает о возникновении технических проблем на рабочем месте и предлагает помощь в их устранении. В процессе их «решения» киберпреступник вынуждает жертву совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на рабочем компьютере.
Обратная социальная инженерия. Методика направлена на то, чтобы жертва сама обратилась к социальному инженеру и выдала ему необходимые сведения. Для этого мошенники часто прибегают к диверсиям: подстраивают поломку компьютера или сбой в работе ПО (например, создают проблемы с авторизацией входа). Ситуация срежиссирована таким образом, чтобы специалистом, к которому обратятся за помощью, оказался социальный хакер, который при настройке ПО, производит необходимые для взлома манипуляции. В итоге преступник не только производит техническую диверсию, но и выуживает информацию через общение со своим клиентом.
Троянский конь/дорожное яблоко. Метод предполагает подбрасывание «приманки», которая с высокой вероятностью заинтересует потенциальную жертву. Такой приманкой обычно становится носитель информации — например: флеш-карта, CD-диск или карта памяти к телефону. Подобные носители могут сопровождаться подписью, призванной вызвать у жертвы любопытство. К примеру, злоумышленник может подбросить диск, снабженный корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью «Заработная плата руководящего состава». Такой диск, флэшкарта и т.п. намеренно оставляются на полу лифта, в вестибюле или в иных общественных местах организации. Сотрудник, по незнанию или из любопытства, может подобрать их и вставить в свой компьютер, ноутбук или телефон, а мошенник с помощью специального ПО получает доступ к находящейся на устройстве информации.
Ярким примером данного вида социальной инженерии являются так называемые «нигерийские письма» или «афера 419» (цифра обозначает статью нигерийского уголовного кодекса, которая запрещает подобные противоправные действия). Это один из старейших и самых распространенных видов интернет-мошенничества, появившийся в 1980-х годах, при котором спамеры обманывают своих жертв, предлагая им миллионы долларов в обмен на финансовую помощь. Обычно письма направляются на электронную почту или приходят через социальные медиа. В классическом «нигерийском письме» адресату от имени адвоката или какого-либо другого исполнительного лица предлагают вступить в наследство и получить огромное состояние покойного родственника или умирающего высокопоставленного лица. Нужно лишь заполнить небольшую анкету, оплатить комиссию за делопроизводство и другие мелкие хлопоты. Часто мошенники не сообщают о «комиссии» сразу, а предлагают связаться с ними в ответ на письмо, чтобы узнать подробности о «наследстве». В любом случае, после оплаты запрашиваемой суммы переписка прекращается. Часто «нигерийские» письма изобилуют большим количеством грамматических и орфографических ошибок — злоумышленники намеренно маскируют слова и выражения, по которым их могут заблокировать спам-фильтры.
«Нигерийские письма» до сих пор популярны у текстовых мошенников. Нередко вместо наследства богатых родственников предлагаются более актуальные темы, которыми можно заинтересовать получателей писем. Подвид «нигерийского» мошенничества — выигрыш в лотерее, в которой получатель не участвовал. Чтобы письмо выглядело убедительнее, мошенники утверждают, что розыгрыш проводился среди всех налогоплательщиков региона или страны, всех адресов электронной почты и т.д.
Исторически предшественником «нигерийских писем» стала классическая афера «испанский узник», взявшая своё начало в 1588 году, когда в результате поражения в англо-испанской войне в плен попало огромное количество испанцев, за освобождение которых англичане намеревались получить солидный выкуп. Родственникам арестантов стали приходить письма с предложением помощи в возвращении пленных за определенную сумму домой. Позже в текстах писем появилось упоминание о неком кладе, местонахождение которого знает только испанский узник, и которым, в случае своего освобождения, арестант готов поделиться. Трюк продолжал работать многие годы после того, как все испанцы уже давно были выкуплены или скончались в крепостных застенках.
В нашем Telegram-канале рассказали о новом тренде кражи личных данных. Подпишитесь, чтобы оставаться на волне кибербезопасности.
Атаку социальных инженеров можно определить по следующим признакам:
- Отправитель или звонящий «давит» на эмоции, в особенности на страх, и настаивает на срочности выполнения целевого действия.
- В случае почтового подлога — письмо выглядит подозрительно: у него необычная подпись, текст содержит ошибки или замены символов, стиль не соответствует обычному тону отправителя, адрес отправления выглядит подозрительно.
- Название прикрепленных к письму файлов может быть написано с ошибкой, содержать инородные символы или просто не соответствовать сопроводительному тексту.
- В обращении через соц.сети и мессенджеры адресант, с которым долгое время не было контакта, о чем-то просит (например, о помощи). При этом необычный тон и срочность обращения также могут быть признаками мошеннических действий.
- В случае риска попадания на фишинговой сайт необходимо обращать внимание на его оформление, дату регистрации и его контент — не является ли его большая часть скопированной с других сайтов.
Подводя итоги, следует отметить — социальная инженерия это один из наиболее распространённых видов работы с личностью с целью мошенничества, угрожающего безопасности как физических так и юридических лиц. Понимание того, как работают социальные инженеры является основным шагом к эффективному предотвращению кибератак, реализуемых с применением таких методов. Личная бдительность и критический подход позволяют распознать угрозу социальной инженерии и признаки манипуляции.
Обеспечение информационной безопасности любой организации должно основываться не только на использовании технических методов защиты (регулярное тестирование компьютерных систем на наличие потенциальных уязвимостей и внешних угроз), но и на тщательном планировании и строгом выполнении мероприятий организационного характера, например, обучение сотрудников методам распознавания и противодействия социальной инженерии.
Больше полезной информации об ИТ и ИБ — в наших соцсетях:
Telegram
ВКонтакте
Одноклассники
vc.ru