Социальная инженерия остается одним из основных векторов атак – по данным аналитиков во II квартале 2024 года ее доля в атаках на организации составила 51%. Даже при использовании самых современных технологий и инструментов информационной безопасности, человек по-прежнему остается наиболее уязвимым звеном системы.
С развитием технологий, таких как искусственный интеллект, deepfake и модель атак «как сервис» (as-a-Service), использование социальной инженерии будет только нарастать, предоставляя злоумышленникам еще более мощные инструменты для манипуляции и обмана людей. О методах обнаружения и блокировки атак через социальную инженерию CISOCLUB рассказал эксперт по комплексным ИБ-проектам STEP LOGIC Владимир Арышев.
Опасность и последствия
Цель социальной инженерии – завладеть ценными видами информации, такими как коммерческая тайна, конфиденциальные и персональные данные, логины и пароли пользователей, банковские транзакции, с целью получения выгоды. Вариантов применения масса – от шантажа с требованием выкупа до публикации украденных данных, которая может привести к разрушению репутации и финансовым потерям. Проблема усугубляется тем, что всегда есть пользователь с требуемым уровнем доступа, необходимо только найти к нему «правильный ключ». Манипулирование может продолжаться длительное время и нанести непоправимый урон, в том числе смерть. В 2020 году зафиксирован случай гибели человека из-за действий вируса-вымогателя. Университетская клиника в Дюссельдорфе была парализована атакой шифровальщика и не могла принимать пациентов. Промедление стоило жизни женщине, нуждающейся в срочной медицинской помощи, – она скончалась по дороге в другую больницу.
Почему социальная инженерия работает
Для успешной атаки злоумышленники стремятся пробудить в жертве сильные эмоции, подавив её способность думать рационально. Чаще всего они прибегают к использованию «доверенных лиц» — людей или организаций, которые вызывают чувство безопасности и надежности: это могут быть полицейские, сотрудники служб безопасности, инвестиционные консультанты, в некоторых случаях даже люди с сайтов знакомств. Благодаря современным технологиям, включая искусственный интеллект, злоумышленники могут подделывать голоса и манеру общения людей, что уже привело к ряду инцидентов. Например, широко известны случаи, когда сотруднику звонил «директор» компании и требовал срочно перевести деньги на незнакомый счет.
Кроме того, необходимо учитывать феномен когнитивной войны — когда информационное воздействие меняет восприятие и убеждения людей. Злоумышленники манипулируют приоритетами и ценностями жертвы, создавая нужные условия для того, чтобы она добровольно следовала их указаниям и выполняла нежелательные действия.
Техники социальной инженерии
Фишинг. Жертве поступают сообщения о выигрыше в лотерее, подарке от известного бренда, уведомления о необходимости установить ПО для защиты компьютера или любой другой текст, стимулирующий перейти по предложенной ссылке. Пользователь вводит в предложенной форме реквизиты (например, логин и пароль) или устанавливает вредоносное ПО. Популярны также разновидности фишинга – вишинг (голосовой) и смишинг (путем SMS).
Претекстинг – еще одна техника атак. Злоумышленник представляется подложной персоной – сотрудником службы безопасности банка, полиции или ФСБ, и выманивает конфиденциальные данные жертвы.
«Услуга за услугу» – когда жертве предлагают услугу в обмен на данные. Например, возможность скачать фальшивый антивирус либо установить «специализированное ПО для безопасности».
«Дорожное яблоко» – техника также известна как «ловля на живца». Злоумышленники подбрасывают на территорию интересующей компании физические носители информации – флэш-накопители с вредоносным ПО. Для усиления эффекта на них могут быть нанесены надписи: «коммерческая тайна» или «зарплатная ведомость».
Атака обратной социальной инженерии встречается нечасто. Злоумышленником является настоящий сотрудник организации, выманивающий конфиденциальную информацию у клиентов. К примеру, оператор колл-центра, помогающий разблокировать карту по обращению клиента и уточняющий ее пин-код или одноразовый пароль из SMS.
Все техники атак объединяет одно – использование эмоций людей, таких как страх, жадность, сочувствие, жалость, доверие, их невнимательность и незнание методов преступников.
Развитие искусственного интеллекта позволяет сделать атаки более эффективными. На основе информации о человеке в интернете можно найти и затронуть чувствительные точки, чтобы жертва непременно перешла по ссылке, открыла файл или сообщила пин-код.
Основные методы защиты
К вопросу защиты от атак социальной инженерии нужно подходить комплексно и использовать эшелонированную защиту.
Zero Trust. С технической точки зрения, необходимо строить инфраструктуру по принципу Zero Trust – допускать, что каждый пользователь уже может быть скомпрометирован. Для предотвращения распространения возможного вредоносного ПО внутри сети применяется микросегментация и строгая изоляция доступа, с минимальным предоставлением привилегий пользователям.
Антиспам, антифишинг, антивирус, «песочница». Следует оградить пользователей от воздействия злоумышленников, используя такие инструменты, как антиспам и антифишинговые решения для электронной почты, сетевые и хостовые антивирусы, способные обнаруживать трояны и шифровальщиков. «Песочницы» также играют важную роль в защите от неизвестных угроз, изолируя подозрительные файлы для анализа их поведения. Дополнительно, телеком-операторы могут внедрять системы блокировки мошеннических звонков на основе репутационных баз данных, что помогает предотвратить атаки через телефонные каналы.
Фильтрация. Если жертва все-таки получила ссылку от злоумышленников, её открытие должно быть заблокировано с помощью URL-фильтрации на уровне шлюза безопасности или облачных DNS-фильтров, которые защитят от переходов на вредоносные сайты. Если ссылка предполагает загрузку зараженного файла, то используются антивирус и «песочница».
Обновление ПО. Мы рекомендуем своевременно обновлять программное обеспечение – в основном, злоумышленники используют существующий вредоносный софт, нацеленный на уже известные уязвимости.
Выявления аномалий. Если зараженный файл все же попал на рабочую станцию жертвы и был запущен, то в ход идут системы выявления аномалий, такие как EDR и XDR, а дальше средства реагирования и расследования.
Нетехническими мерами является выстраивание бизнес-процессов с учетом требований информационной безопасности.
Перспективы социальной инженерии
Применение AI и deepfake делают атаки методом социальной инженерии более персонифицированными и вызывающими доверие, а значит необходимо развивать технологии противодействия. Все атаки данного типа направлены на человека, его эмоциональные и психологические «уязвимости», поэтому не стоит надеяться на корпоративную службу ИБ и технические средства. Самое важное – устранить собственные «уязвимости», дисциплинировать ум и к сложным жизненным ситуациям подходить рационально, без эмоций, ничего не принимать на веру и перепроверять очевидные на первый взгляд вещи.
Оригинал публикации на сайте CISOCLUB: "Методы обнаружения и блокировки атак через социальную инженерию".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
