Социальная инженерия в информационной и кибербезопасности

1920x1080 Социальная инженерия в ИБ.jpg

Атаки с использованием человеческого фактора (социальной инженерии) остаются самым популярным способом кибернападений как на организации (50%), так и на частных лиц (91% — данные специалистов по пентесту за I квартал 2023 года). Чаще всего для этой цели используются фишинговые рассылки и веб-страницы, которые являются точной копией реально существующих. В этой статье мы расскажем, что такое социальная инженерия в контексте информационной безопасности, как выглядят типичные атаки с ее применением, а также как от них защититься.

Социальная инженерия — это атака не на код, а на человека. Злоумышленник не ищет уязвимость в защите сервера, а ищет уязвимость в поведении конкретного сотрудника: его доверчивость, спешку, желание помочь коллеге или страх получить выговор от начальства. Итог для компании — утечка данных, потеря денег или доступ к системе в чужих руках, но путь к этому итогу лежит не через код, а через разговор, письмо или звонок.

Ключевое отличие от разового обмана в том, что социальная инженерия почти никогда не бывает одним действием. Обычно это цепочка: сначала злоумышленник собирает информацию о жертве или компании (кто с кем работает, какой стиль общения принят, кто в отпуске), затем на основе этой информации выстраивает правдоподобную легенду, и только потом делает финальный шаг — просит перевести деньги, сообщить пароль или открыть файл. Каждый предыдущий этап делает следующий более убедительным.

Ради чего все это затевается, обычно сводится к одному из двух сценариев:

  • получить что-то ценное — доступ к аккаунту, данные карты, корпоративный логин, деньги напрямую;
  • навредить — вывести из строя систему, испортить или удалить данные, саботировать работу компании изнутри.

Больше о других видах угроз и мер защиты читайте в «Виды информационной безопасности».

Как это выглядит на практике. Атакующему нужен доступ к внутренним системам компании, но писать эксплойт под ее защиту — долго и не факт, что сработает. Куда быстрее написать одному из сотрудников письмо якобы от директора или коллеги из соседнего отдела: тон уверенный, тема — срочная, просьба — прислать логин или файл с паролями «для проверки перед отчетом». Никакого кода, никакого взлома — только правильно подобранные слова.

Именно поэтому обычный технический аудит здесь бессилен наполовину: аудит защищенности закроет дыры в инфраструктуре, но не решение человека довериться убедительному письму. Единственная реальная защита — это осведомленность: сотрудник должен на автомате узнавать признаки манипуляции, прежде чем среагировать на просьбу.

Следует обратить внимание, что в широком понимании социальная инженерия и манипуляция могут использоваться и в позитивных целях — например, так работает любой мотивационный тренер. В этом материале мы сосредоточимся только на прикладном негативном применении данных методик.

Вся социальная инженерия работает по одной и той же простой схеме: сбор информации, поиск лучшего метода воздействия, контакт, достижение цели, разрыв контакта.

Что делает социальный инженер

Главная цель — понять, что мотивирует пользователя, что его пугает или вызывает другие эмоции, побуждающие сделать то, что необходимо манипулятору. Как правило, преступники, профессионально занимающиеся социальной инженерией, — неплохие психологи и умеют грамотно адаптировать свои действия к информационному контексту и специфике конкретной цели.

Например, зная особенности общения в конкретной организации, намного проще добиться цели, сымитировав стиль общения руководителя, чем пытаться выведать сведения, используя усредненный шаблон «мотивирующего» текста.

После того, как социальный инженер понял, что именно способно мотивировать его жертву, работа наполовину выполнена — дальше ему только остается рассчитывать на доверчивость и внушаемость цели.

Как работает социальная инженерия — DDoS-Guard
Как работает социальная инженерия на примере заражения вирусом-шифровальщиком

Цикл атаки на основе социальной инженерии

Большинство разновидностей социальной инженерии можно описать в рамках четырехэтапного цикла. 

1.  Подготовка

На предварительном этапе злоумышленник собирает как можно больше данных о жертве или об организации, узнает специфику ее работы и процессов, отмечает все детали, которые могут оказаться полезными для инфильтрации. Собранные данные используются для установления контакта в следующем шаге.

2. Проникновение

Мошенник устанавливает контакт с выбранным человеком, на котором использует приемы социальной инженерии, и входит в доверие, выдавая себя за того, кем он на самом деле не является.

3. Эксплуатация

То, ради чего планируется вся схема — доведение жертвы до совершения «целевого действия» . Например, это может быть клик по вредоносной ссылке в письме, ввод конфиденциальных данных в письме или форме на внешнем сайте, открытие пользователем приложенного к письму архива, содержащего вредоносное ПО.

4. Выход

После того, как жертва совершила целевое действие, мошенник перестает выходить на связь (в случае фишинговых писем обратная связь не подразумевается изначально). Социальный инженер получил то, что хотел, и теперь он будет эксплуатировать полученные данные для своей выгоды.

Если мошеннику не удалось получить желаемое с первой попытки, это не значит, что он отступится. Социальный инженер, скорее всего, будет пробовать новые варианты, как «подобрать ключик» к намеченной жертве.

С большей вероятностью жертвами этих практик могут стать рядовые офисные работники, руководящий состав и сотрудники бухгалтерии, с меньшей — IT-специалисты и сотрудники службы безопасности. Последних, кстати, злоумышленники нередко имитируют, пользуясь их авторитетом и требуя от их «коллег» прислать какие-то данные, например, для подтверждения своей учетной записи или проведения технических работ.

Главное оружие социального инженера — воздействие на эмоции. Социальная инженерия, особенно фишинг, никогда не бывает эмоционально нейтральна — она всегда эксплуатирует уязвимые места человеческой психики, связанные с сильными эмоциями, которые заставляют жертву вести себя иррационально.

Основные эксплуатируемые эмоции

Страх — социальный инженер настаивает, что если жертва не совершит целевое действие, это будет иметь для нее серьезные последствия. Вариаций великое множество — от угрозы потери доступа к своей электронной почте до фальшивого уведомления о наложенном судебном штрафе, при неоплате которого якобы начнут описывать имущество.

Любопытство — нередко этот тип смешивается со страхом и также базируется на актуальных инфоповодах. Например, широкой публике стало известно об утечке данных, и жертве приходит фишинговое письмо с предложением проверить себя и своих знакомых в опубликованной базе. Если жертва перейдет по ссылке и введет свои персональные данные или пароли, они попадут к злоумышленникам — таким образом утечка становится уже реальной для конкретного пользователя.

Алчность — фишинговые послания в электронной почте, соцсетях и мессенджерах эксплуатируют тему выигрышей в лотерею, скидок на товары, возможность заработать на криптовалюте, получить налоговый вычет, и тому подобные денежные мотивы. При этом подчеркивается, что приз, скидка или выигрыш исчезнут, если не действовать быстро (на фишинговом сайте обычно в этом случае используется фальшивый таймер). В этом случае злоумышленник рассчитывает на то, что большинству людей интересна возможность легко заработать — и, судя по популярности таких мошенничеств, они будут актуальны всегда.

Срочность — дополнительный фактор, который оказывает влияние на жертву. В качестве аргумента для совершения действия прямо сейчас злоумышленники приводят потерю доступа к какому-либо сервису, проблемы на работе или с законом — последнее действительно для случаев, когда социальный инженер имитирует письма от полиции, налоговой службы или других подобных инстанций.

Что можно отнести к примерам социальной инженерии

Примеры социальной инженерии — DDoS-Guard
  • Письмо от имени коллеги, сотрудника службы безопасности, бухгалтерии или нового сотрудника с просьбой о помощи, для чего требуется перейти по ссылке, открыть приложенный файл или отправить персональные данные.
  • Письмо от имени контрагента, реально существующего или вымышленного, последнее работает для больших компаний.
    Обращение от имени руководителя с какой-то срочной просьбой, в приказном тоне.
  • Сообщение, имитирующее ответ на ранее отправленное письмо или пересланное жертве другим сотрудником организации. В этом случае жертва оказывается как бы в середине чужой беседы, что в случае больших организаций может происходить нередко, и не может разобраться, что сама ситуация поддельная, после чего выполняет целевое действие. 
  • Обращение от имени полиции, налоговой, прокуратуры или других органов, носящее угрожающий характер и побуждающее немедленно перейти по ссылке или открыть приложенный файл.
  • Сообщение от имени поставщика какого-то специализированного ПО, используемого на предприятии, как правило, связанное с необходимостью якобы его обновить, перейдя по ссылке или скачав файл.
  • Сообщение от имени службы безопасности или сервиса, используемого на предприятии, с требованием предоставить актуальные логин и пароль под предлогом технических работ в системе.
  • Использование актуального эмоционально заряженного инфоповода (COVID, мобилизация, изменения в законодательстве), чтобы заставить жертву кликнуть по ссылке и просмотреть документ, от которого якобы может зависеть ее дальнейшая жизнь.
  • Классический фишинг — сообщение о выигрыше, скидке или розыгрыше, с последующим переходом на подставной сайт, имитирующий настоящий. В этом случае крадутся как персональные, так и платежные данные, которые вводит пользователь.
  • Использование новых технологий, например, синтеза голоса руководителя, который просит сообщить ему какие-то важные данные и как можно скорее.
  • Потеря персональных данных.
  • Потеря платежных данных или денежных средств.
  • Потеря конфиденциальных данных организации, нарушение ее коммерческой тайны.
  • Утечка паролей сотрудников.
  • Утечка баз данных пользователей/клиентов компании.
  • Заражение компьютеров и гаджетов вредоносным ПО с непредсказуемым спектром последствий, от шифрования данных до их похищения или уничтожения, вплоть до остановки функционирования организации или производства.
  • Промышленный шпионаж.
  • Использование взломанных аккаунтов для дальнейшей социальной инженерии уже от имени скомпрометированной компании или лица.

Наиболее популярные виды социальной инженерии:

Фишинг — абсолютный чемпион среди всех атак социальной инженерии. Различают спам-фишинг, который нацелен на неопределенно широкий круг лиц, целевой фишинг, нацеленный на конкретного человека или сотрудников организации, и персональный фишинг, самый дорогой и сложный в исполнении, нацеленный на одну конкретную личность, с учетом знания ее особенностей. Наиболее популярные каналы — электронная почта, соцсети, SMS, мессенджеры, голосовые сообщения. Фишинг также может применяться и в поисковых системах, где выкупаются рекламные объявления в поисковой выдаче с целью размещения в них вредоносных ссылок. Нередко такие фишинговые ссылки могут висеть достаточно долго, прежде чем их заметит и удалит служба безопасности.

Байтинг — выманивающие атаки, эксплуатирующие алчность и побуждающие вас ввести на внешнем сайте свои платежные или персональные данные или загрузить файл. Как правило, вы либо теряете данные, либо ваш гаджет заражается вредоносным ПО — а иногда и то и другое сразу.

Претекстинг — разновидность фишинга, когда с жертвой предварительно устанавливается контакт и к ней входят в доверие. Довольно часто используется во внешнем интернете, например, на сайтах знакомств, но также может использоваться и в конкретных целях через мессенджеры.

«Услуга за услугу» — разновидность байтинга, когда вам обещают подарок или вознаграждение за участие, например, в опросе, или оставление своих персональных данных под другим предлогом. Проблема этого метода в том, что он нередко используется вполне легально в маркетинговых целях.

Scareware — очень старый метод атак, когда жертву убеждают, что ее компьютер или гаджет был заражен вредоносным ПО, или что учетная запись была взломана, и поэтому необходимо немедленно принять меры. Scareware существует, в том числе, в форме баннеров в интернете или как побочная нагрузка от загруженного пиратского ПО. Нередко в итоге жертву убеждают загрузить поддельное приложение для борьбы с угрозой, и оно оказывается уже полнофункциональным зловредом.

Watering hole — эти атаки называются «водопой», потому что они затрагивают одновременно множество пользователей, обращающихся к ранее безопасному веб-сайту. Типичный пример: на сайт организации, сделанный на популярной платформе типа Wordpress, который давно не обновлялся, загружают через уязвимость нулевого дня вирусный скрипт, который начинает загрузку вредоносного ПО на компьютер каждого зашедшего пользователя. Если сайт относительно популярен, это может нанести большой вред перед тем, как уязвимость будет устранена.

Признаками социальной инженерии являются:

  1. Давление на эмоции. Отправитель или звонящий рассчитывает, что под воздействием эмоций вы отключите критическое мышление. Чаще всего это страх, но специалисты по социнженерии также стараются вызвать волнение, любопытство, злость, вину или огорчение — любая сильная эмоция работает на злоумышленника.
  2. Искусственная срочность. Ограниченные по времени «выгодные предложения» или срочные требования «решить проблему прямо сейчас» — расчет на то, что вы не успеете задуматься и не проверите информацию.
  3. Подозрительные письма. Необычная подпись, ошибки или подмена символов в тексте, стиль не соответствует обычному тону отправителя, адрес отправителя выглядит подозрительно (например, символ заменен на похожий).
  4. Сообщения в соцсетях от давно неактивных контактов. Человек, с которым вы давно не общались, вдруг о чем-то просит — особенно если тон необычно напористый и торопит вас с ответом.
  5. Фишинговые сайты. Если вы перешли по ссылке от незнакомого адресата — обратите внимание на оформление сайта, дату регистрации домена, ошибки в адресе, качество изображений, устаревшие или отсутствующие логотипы компании.
  6. Подозрительные вложения. Архив или исполняемый файл (.exe, .bat и т.д.), название которого содержит ошибку, посторонние символы или просто не соответствует тексту письма.

Быстрая проверка перед тем, как отреагировать. Прежде чем перейти по ссылке, открыть вложение или сообщить данные, стоит задать себе несколько вопросов: спокоен ли я сейчас, чтобы принять взвешенное решение, или испытываю сильные эмоции; действительно ли сообщение пришло от того, за кого себя выдает отправитель; можно ли подтвердить личность собеседника или это письмо/звонок по другому каналу; не слишком ли заманчиво предложение, чтобы быть правдой.

Ключевые способы защиты от социальной инженерии включают в себя различные подходы и меры, направленные на предотвращение таких атак.

  • Никому и никогда не сообщайте логины и пароли от своих учетных записей.
  • Не открывайте письма и вложения от подозрительных источников.
  • Не переходите по ссылкам из писем и сообщений — вводите адрес сайта в адресную строку вручную, если сомневаетесь в его подлинности.
  • Не спешите переходить по ссылкам на подозрительно выгодные предложения с ограничением по времени.
  • Используйте антивирусное ПО на всех устройствах и регулярно его обновляйте; своевременно устанавливайте обновления и для остальных приложений — вместе с ними обычно выходят исправления уязвимостей.
  • Внедрите специальные технические решения для борьбы с фишингом, которые отсекут большую часть таких сообщений.
  • Регулярно проверяйте свои устройства на вирусы.
  • Используйте сложные уникальные пароли для каждой учетной записи, а лучше — менеджер паролей.
  • Установите двухфакторную (а по возможности — многофакторную) аутентификацию везде, где это доступно.
  • Не раскрывайте посторонним личные данные, которые часто используются в секретных вопросах (место учебы, кличка питомца, место рождения) — их можно узнать и использовать для сброса паролей.
  • Разграничьте уровни доступа внутри организации, обеспечьте защиту баз данных.
  • Настройте отдельную гостевую Wi-Fi-сеть для посторонних, не допуская их в основную защищенную сеть
  • Проверяйте свои учетные данные на предмет утечек через специализированные сервисы мониторинга.
  • Проводите антифишинговые тренинги и тестирования сотрудников на усвоение информации.
  • Старайтесь не использовать личную технику в рабочих целях на удаленке, соблюдайте цифровую гигиену и регулярно проверяйте гаджеты на предмет компрометации.
  • Применяйте принцип «нулевого доверия» к любому первому контакту: уточняйте, кто перед вами, зачем вам совершать запрошенное действие и где это можно перепроверить. Если собеседник раздражается или давит на эмоции при таких вопросах — это почти всегда признак манипуляции.
  • Не торопитесь с ответом на неожиданные просьбы (даже от знакомых) — по возможности перепроверьте информацию по другому каналу связи (позвоните человеку напрямую, а не отвечайте в том же чате).
  • Если вас все же обманули — сразу обращайтесь в банк и полицию.

Хищение платежных данных: обратитесь к своему поставщику финансовых услуг и сообщите о факте мошенничества, чтобы они могли обеспечить защиту средств. Скорее всего вам придется перевыпустить карту.

Заражение вредоносным ПО: нужно сообщить об этом в службу безопасности, чтобы они приняли меры по устранению последствий. Если в компании нет собственной СБ, следует обратиться к профессионалам по устранению последствий кибератак.