+7 (800) 333-17-63

Социальная инженерия в информационной и кибербезопасности

Атаки с использованием человеческого фактора (социальной инженерии) остаются самым популярным способом кибернападений как на организации (50%), так и на частных лиц (91% — данные специалистов по пентесту за I квартал 2023 года). Чаще всего для этой цели используются фишинговые рассылки и веб-страницы, которые являются точной копией реально существующих. В этой статье мы расскажем, что такое социальная инженерия в контексте информационной безопасности, как выглядят типичные атаки с ее применением, а также как от них защититься.

Обложка статьи: Социальная инженерия в ИБ

Что такое социальная инженерия простыми словами

Социальная инженерия в контексте кибербезопасности — категория преступлений, которые основаны на знании психологии и тонком манипулировании людьми для достижения цели. 

Пример такого манипулирования: злоумышленник хочет попасть внутрь инфраструктуры компании, но не обладает компетенцией хакера, чтобы добыть доступ при помощи вредоносного кода. Вместо этого он пишет одному из сотрудников убедительно выглядящее письмо от имени начальника или коллеги, в котором просит поделиться нужными данными для входа.

При таком преступлении требуется только умение войти в доверие к другому человеку — при том, что негативные последствия могут быть сопоставимы по ущербу с «настоящим» хакерством. Снизить вероятность классической атаки хакеров поможет аудит защищенности. Однако от социальной инженерии поможет защититься только знание всех особенностей этой угрозы.

Следует обратить внимание, что в широком понимании социальная инженерия и манипуляция могут использоваться и в позитивных целях — например, так работает любой мотивационный тренер. В этом материале мы сосредоточимся только на прикладном негативном применении данных методик.

 

Как работает социальная инженерия

Вся социальная инженерия работает по одной и той же простой схеме: сбор информации, поиск лучшего метода воздействия, контакт, достижение цели, разрыв контакта.

Что делает социальный инженер

Главная цель — понять, что мотивирует пользователя, что его пугает или вызывает другие эмоции, побуждающие сделать то, что необходимо манипулятору. Как правило, преступники, профессионально занимающиеся социальной инженерией, — неплохие психологи и умеют грамотно адаптировать свои действия к информационному контексту и специфике конкретной цели.

Например, зная особенности общения в конкретной организации, намного проще добиться цели, сымитировав стиль общения руководителя, чем пытаться выведать сведения, используя усредненный шаблон «мотивирующего» текста.

После того, как социальный инженер понял, что именно способно мотивировать его жертву, работа наполовину выполнена — дальше ему только остается рассчитывать на доверчивость и внушаемость цели.

Как работает социальная инженерия — DDoS-Guard
Как работает социальная инженерия на примере заражения вирусом-шифровальщиком

 

Цикл атаки на основе социальной инженерии

Большинство разновидностей социальной инженерии можно описать в рамках четырехэтапного цикла. 

1.  Подготовка

На предварительном этапе злоумышленник собирает как можно больше данных о жертве или об организации, узнает специфику ее работы и процессов, отмечает все детали, которые могут оказаться полезными для инфильтрации. Собранные данные используются для установления контакта в следующем шаге.

2. Проникновение

Мошенник устанавливает контакт с выбранным человеком, на котором использует приемы социальной инженерии, и входит в доверие, выдавая себя за того, кем он на самом деле не является.

3. Эксплуатация

То, ради чего планируется вся схема — доведение жертвы до совершения «целевого действия» . Например, это может быть клик по вредоносной ссылке в письме, ввод конфиденциальных данных в письме или форме на внешнем сайте, открытие пользователем приложенного к письму архива, содержащего вредоносное ПО.

4. Выход

После того, как жертва совершила целевое действие, мошенник перестает выходить на связь (в случае фишинговых писем обратная связь не подразумевается изначально). Социальный инженер получил то, что хотел, и теперь он будет эксплуатировать полученные данные для своей выгоды.

Если мошеннику не удалось получить желаемое с первой попытки, это не значит, что он отступится. Социальный инженер, скорее всего, будет пробовать новые варианты, как «подобрать ключик» к намеченной жертве.

 

Кто может стать целью социальной инженерии

С большей вероятностью жертвами этих практик могут стать рядовые офисные работники, руководящий состав и сотрудники бухгалтерии, с меньшей — IT-специалисты и сотрудники службы безопасности. Последних, кстати, злоумышленники нередко имитируют, пользуясь их авторитетом и требуя от их «коллег» прислать какие-то данные, например, для подтверждения своей учетной записи или проведения технических работ.

Главное оружие социального инженера — воздействие на эмоции. Социальная инженерия, особенно фишинг, никогда не бывает эмоционально нейтральна — она всегда эксплуатирует уязвимые места человеческой психики, связанные с сильными эмоциями, которые заставляют жертву вести себя иррационально.

Основные эксплуатируемые эмоции

Страх — социальный инженер настаивает, что если жертва не совершит целевое действие, это будет иметь для нее серьезные последствия. Вариаций великое множество — от угрозы потери доступа к своей электронной почте до фальшивого уведомления о наложенном судебном штрафе, при неоплате которого якобы начнут описывать имущество.

Любопытство — нередко этот тип смешивается со страхом и также базируется на актуальных инфоповодах. Например, широкой публике стало известно об утечке данных, и жертве приходит фишинговое письмо с предложением проверить себя и своих знакомых в опубликованной базе. Если жертва перейдет по ссылке и введет свои персональные данные или пароли, они попадут к злоумышленникам — таким образом утечка становится уже реальной для конкретного пользователя.

Алчность — фишинговые послания в электронной почте, соцсетях и мессенджерах эксплуатируют тему выигрышей в лотерею, скидок на товары, возможность заработать на криптовалюте, получить налоговый вычет, и тому подобные денежные мотивы. При этом подчеркивается, что приз, скидка или выигрыш исчезнут, если не действовать быстро (на фишинговом сайте обычно в этом случае используется фальшивый таймер). В этом случае злоумышленник рассчитывает на то, что большинству людей интересна возможность легко заработать — и, судя по популярности таких мошенничеств, они будут актуальны всегда.

Срочность — дополнительный фактор, который оказывает влияние на жертву. В качестве аргумента для совершения действия прямо сейчас злоумышленники приводят потерю доступа к какому-либо сервису, проблемы на работе или с законом — последнее действительно для случаев, когда социальный инженер имитирует письма от полиции, налоговой службы или других подобных инстанций.

 

Что можно отнести к примерам социальной инженерии

Примеры социальной инженерии — DDoS-Guard
  • Письмо от имени коллеги, сотрудника службы безопасности, бухгалтерии или нового сотрудника с просьбой о помощи, для чего требуется перейти по ссылке, открыть приложенный файл или отправить персональные данные.
  • Письмо от имени контрагента, реально существующего или вымышленного, последнее работает для больших компаний.
    Обращение от имени руководителя с какой-то срочной просьбой, в приказном тоне.
  • Сообщение, имитирующее ответ на ранее отправленное письмо или пересланное жертве другим сотрудником организации. В этом случае жертва оказывается как бы в середине чужой беседы, что в случае больших организаций может происходить нередко, и не может разобраться, что сама ситуация поддельная, после чего выполняет целевое действие. 
  • Обращение от имени полиции, налоговой, прокуратуры или других органов, носящее угрожающий характер и побуждающее немедленно перейти по ссылке или открыть приложенный файл.
  • Сообщение от имени поставщика какого-то специализированного ПО, используемого на предприятии, как правило, связанное с необходимостью якобы его обновить, перейдя по ссылке или скачав файл.
  • Сообщение от имени службы безопасности или сервиса, используемого на предприятии, с требованием предоставить актуальные логин и пароль под предлогом технических работ в системе.
  • Использование актуального эмоционально заряженного инфоповода (COVID, мобилизация, изменения в законодательстве), чтобы заставить жертву кликнуть по ссылке и просмотреть документ, от которого якобы может зависеть ее дальнейшая жизнь.
  • Классический фишинг — сообщение о выигрыше, скидке или розыгрыше, с последующим переходом на подставной сайт, имитирующий настоящий. В этом случае крадутся как персональные, так и платежные данные, которые вводит пользователь.
  • Использование новых технологий, например, синтеза голоса руководителя, который просит сообщить ему какие-то важные данные и как можно скорее.

 

Чем опасна социальная инженерия

  • Потеря персональных данных.
  • Потеря платежных данных или денежных средств.
  • Потеря конфиденциальных данных организации, нарушение ее коммерческой тайны.
  • Утечка паролей сотрудников.
  • Утечка баз данных пользователей/клиентов компании.
  • Заражение компьютеров и гаджетов вредоносным ПО с непредсказуемым спектром последствий, от шифрования данных до их похищения или уничтожения, вплоть до остановки функционирования организации или производства.
  • Промышленный шпионаж.
  • Использование взломанных аккаунтов для дальнейшей социальной инженерии уже от имени скомпрометированной компании или лица.

 

Виды атак социальной инженерии

Наиболее популярные виды социальной инженерии:

Фишинг — абсолютный чемпион среди всех атак социальной инженерии. Различают спам-фишинг, который нацелен на неопределенно широкий круг лиц, целевой фишинг, нацеленный на конкретного человека или сотрудников организации, и персональный фишинг, самый дорогой и сложный в исполнении, нацеленный на одну конкретную личность, с учетом знания ее особенностей. Наиболее популярные каналы — электронная почта, соцсети, SMS, мессенджеры, голосовые сообщения. Фишинг также может применяться и в поисковых системах, где выкупаются рекламные объявления в поисковой выдаче с целью размещения в них вредоносных ссылок. Нередко такие фишинговые ссылки могут висеть достаточно долго, прежде чем их заметит и удалит служба безопасности.

Байтинг — выманивающие атаки, эксплуатирующие алчность и побуждающие вас ввести на внешнем сайте свои платежные или персональные данные или загрузить файл. Как правило, вы либо теряете данные, либо ваш гаджет заражается вредоносным ПО — а иногда и то и другое сразу.

Претекстинг — разновидность фишинга, когда с жертвой предварительно устанавливается контакт и к ней входят в доверие. Довольно часто используется во внешнем интернете, например, на сайтах знакомств, но также может использоваться и в конкретных целях через мессенджеры.

«Услуга за услугу» — разновидность байтинга, когда вам обещают подарок или вознаграждение за участие, например, в опросе, или оставление своих персональных данных под другим предлогом. Проблема этого метода в том, что он нередко используется вполне легально в маркетинговых целях.

Scareware — очень старый метод атак, когда жертву убеждают, что ее компьютер или гаджет был заражен вредоносным ПО, или что учетная запись была взломана, и поэтому необходимо немедленно принять меры. Scareware существует, в том числе, в форме баннеров в интернете или как побочная нагрузка от загруженного пиратского ПО. Нередко в итоге жертву убеждают загрузить поддельное приложение для борьбы с угрозой, и оно оказывается уже полнофункциональным зловредом.

Watering hole — эти атаки называются «водопой», потому что они затрагивают одновременно множество пользователей, обращающихся к ранее безопасному веб-сайту. Типичный пример: на сайт организации, сделанный на популярной платформе типа Wordpress, который давно не обновлялся, загружают через уязвимость нулевого дня вирусный скрипт, который начинает загрузку вредоносного ПО на компьютер каждого зашедшего пользователя. Если сайт относительно популярен, это может нанести большой вред перед тем, как уязвимость будет устранена.

 

5 признаков социальной инженерии. Как распознать атаку?

Признаками социальной инженерии являются:

  1. Давление на эмоции. Отправитель или звонящий давит на эмоции, в особенности на страх, и настаивает на срочности выполнения целевого действия.
  2. Подозрительные письма. В случае почты — письмо выглядит подозрительно: у него необычная подпись, текст содержит ошибки или замены символов, стиль не соответствует обычному тону отправителя, адрес отправления выглядит подозрительно.
  3. Сообщения в соцсетях от лиц, с которыми вы давно не контактировали. Вам пишет такой человек и что-то от вас хочет (например, помощи). Необычный тон и напор на срочность также сигнализируют о мошеннических действиях.
  4. Фишинговые сайты. Если вы перешли на сайт из сообщений от незнакомых адресатов, обратите внимание на его оформление, дату регистрации и то, не является ли большая его часть заглушкой или скопированными материалами.
  5. Подозрительные вложения в письме. Например, архив или исполняемый файл (с разрешением .exe .bat и.т.д.). Название файла может быть написано с ошибкой, содержать инородные символы или просто не соответствовать сопроводительному тексту.

 

Методы защиты от социальной инженерии

Ключевые способы защиты от социальной инженерии включают в себя различные подходы и меры, направленные на предотвращение таких атак.

  • Никому и никогда не сообщайте логины и пароли от своих учетных записей.
  • Не открывайте письма и вложения от подозрительных источников.
  • Не спешите переходить по ссылкам на подозрительно выгодные предложения с ограничением по времени.
  • Используйте антивирусное ПО на всех устройствах и регулярно его обновляйте.
  • Внедрите специальные технические решения для борьбы с фишингом, которые отсекут большую часть таких сообщений.
  • Регулярно проверяйте свои устройства на вирусы.
  • Используйте сложные пароли, а лучше менеджеры паролей.
  • Проводите антифишинговые тренинги и тестирования сотрудников на усвоение информации.
  • Установите двухфакторную аутентификацию.
  • Разграничьте уровни доступа внутри организации, обеспечьте защиту баз данных.
  • Старайтесь не использовать личную технику в рабочих целях, если вы работаете на удаленке, соблюдайте цифровую гигиену и регулярно проверяйте свои гаджеты на предмет компрометации.

 


Что делать, если вы стали жертвой социальной инженерии

Хищение платежных данных: обратитесь к своему поставщику финансовых услуг и сообщите о факте мошенничества, чтобы они могли обеспечить защиту средств. Скорее всего вам придется перевыпустить карту.

Заражение вредоносным ПО: нужно сообщить об этом в службу безопасности, чтобы они приняли меры по устранению последствий. Если в компании нет собственной СБ, следует обратиться к профессионалам по устранению последствий кибератак.

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться