Социальная инженерия: что это и как защититься

практика
Социальная инженерия: что это и как защититься


Инциденты информационной безопасности (в частности киберинциденты) для большинства обывателей ассоциируются с активными действиями хакерских группировок (либо одиночек), предполагающими проведение неких прямых или косвенных взаимодействий с инфрастуктурой жертвы.

Однако, не стоит обделять вниманием такую часть злоумышленников, которая предпочитает использовать в своей работе не только возможности предоставляемые уязвимостями или некорректными настройками средств защиты в системе жертвы, но и психологические особенности человеческого мышления. Обобщенно способы манипуляции действиями жертвы с использованием подобных особенностей называются инструментами социальной инженерии.

Сегодня ущерб от действий от действий с использованием подходов/инструментов социальной инженерии вполне можно сравнить с самыми успешными кибератаками профессиональных хакерских группировок. Все, что им нужно – использовать против жертвы ее собственный разум, чувства и эмоции, а также привычки и поведенческие шаблоны.

Социальная инженерия – что это такое

Социальной инженерией в контексте информационной безопасности называют методику получения несанкционированного доступа к системам хранения данных или к самим данным без применения технических средств и специального программного обеспечения. В основе метода – использование человеческих слабостей, основанное на глубоком понимании человеческой психологии.

Чтобы получить доступ к информации, злоумышленнику не обязательно быть хакером или обладать какими-то особыми техническими знаниями. Стандартные приемы социальной инженерии может использовать практически любой человек.

Методы использования социальной инженерии


Классическая схема атаки с использованием социальной инженерии

Атаки с использованием инструментов социальной инженерии строятся на особенностях человеческого мышления и поведения. В общем случае атака организуется в четыре этапа по следующей схеме:

1. Подготовительный этап. Предварительное изучение намеченной жертвы (компании, ее сотрудников или какого-то конкретного специалиста). Когда речь идет об организации, то много информации можно найти в открытом доступе – на корпоративном портале и в социальных сетях.
2. Построение доверительных отношений. Обычно мошенники используют некую информацию, которая имеет отношение к самому человеку, группе людей, в которую он входит, или компании. Как правило, это имена сотрудников (часто выбирают кого-то из руководства), данные о недавних сделках, контрагентах.
3. Активная фаза атаки. После того, как контакт установлен, мошенник приступает к самой атаке – просит открыть файл, передать некие данные (классический пример – код из смс), переслать электронное сообщение, перейти по ссылке.
4. Прекращение контакта. После того, как человек выполнил действие, которое требовалось мошеннику, злоумышленник, как правило, резко прекращает все контакты. Жертва далеко не всегда сразу понимает, что ее обманули.

Популярные инструменты социальной инженерии

Вопреки распространенному мнению, социальная инженерия – это не только подозрительные звонки из «службы безопасности банка». Арсенал «социальных инженеров» весьма обширен и включает в себя множество разнообразных инструментов и приемов. К наиболее популярным относятся:

  • Фишинг – рассылка электронных писем, содержащих ссылки на фальшивые веб-страницы. Злоумышленники направляют e-mail, замаскированный под официальное письмо (это не обязательно уведомление о нежданном выигрыше или наследстве – все чаще фишинговые рассылки маскируют под деловую переписку). В письме, как правило, в той или иной форме содержится требование / просьба совершить определенные действия – перейти по ссылке или открыть вложенный файл. Там пользователя будет ждать вирус или форма, которая потребует ввести конфиденциальную информацию.
  • Вишинг (voice phishing) – «голосовой фишинг». Мошенники звонят потенциальной жертве, представляясь сотрудниками силовых структур (полиция, ФСБ, следственный комитет), финансовых организаций, представителями контролирующих органов (налоговая, прокуратура) и, рассказывая убедительную (или не очень) легенду, в соответствии с которой потенциальная жертва должна выполнить некие действия (перечислить или передать денежные средства) или предоставить информацию.
  • Смишинг – смс-фишинг. Принцип тот же, что и при классической мошеннической «рыбалке», но вредоносная ссылка приходит не по электронной почте, а в смс-сообщении.
  • Scareware («страшилки») – основным действующим элементом этой методики считается страх. Если на экране устройства появляется сообщение о заражении многочисленными вирусами, уведомление о том, что компьютер или телефон заблокирован из-за нарушения неких правил безопасности (переход на запрещенный ресурс, просмотр не рекомендованного контента), уведомление о штрафах, оформлении кредита.
  • Претекстинг – представляет собой сбор чувствительной информации под безобидным предлогом. Мошенники могут «проводить опрос» или представляться сотрудниками службы технической поддержки, проводящими внеочередную / плановую проверку. Несколько банальных вопросов, стандартный диалог, обмен формальными репликами – и вот злоумышленник уже как бы между прочим запрашивает логины, пароли, данные учетных записей, чтобы «обновить».
  • Спуфинг – атака «под маской». Чтобы добиться своих целей, злоумышленники взламывают или подделывают чей-либо профиль и от имени этого человека обращаются к его родственникам / знакомым / коллегам – направляют фишинговые ссылки или напрямую просят деньги «в долг».
  • Бейтинг – неподалеку от офиса, жилого дома, торгового центра (или в самом здании) преступники «забывают» съемный носитель (чаще всего флэш-карту или диск) с пометкой, вызывающей любопытство (например, «пароли от кошельков», «зарплата топ-менеджмента», «Бухгалтерия. Секретно»). Расчет на то, что человек, обнаруживший носитель, заберет его с собой и вставит в компьютер (обычно преступников интересуют рабочие станции, но целью атаки может оказаться и домашний ПК). На флешке, естественно, нет никакой полезной и интересной информации, зато есть вирусы.
Применение социальной инженерии: цифры и факты

Ежегодно Банк России публикует данные об операциях, которые были совершены без добровольного согласия клиентов. Эта статистическая информация в числе прочего содержит информацию о том, какие инструменты использовали преступники, чтобы получить доступ к чужим деньгам.

По данным ведомства в прошлом году были предотвращены хищения на сумму более 13 508 миллиардов рублей.

В 2024 году преступники использовали сценарии, которые были условно разделены на 4 основные группы:

1. рассылки о компенсационных выплатах и мерах государственной поддержки;
2. звонки из правоохранительных органов и финансовых организаций;
3. продление лицензионных соглашений, договоров;
4. «деловые» рассылки.

Среди ресурсов, которые использовали злоумышленники, 58% составили фишинговые сайты, имитирующие официальные интернет-ресурсы банков и иных финансовых организаций. По инициативе Банка России был ограничен доступ почти к 6 тысячам страниц в соц. сетях, большинство этих страниц использовались для фишинга.

Когда речь идет о доступе в системы финансовых организаций, злоумышленники чаще всего используют DDoS-атаки (39,49% случаев), а также активно применяют методы социальной инженерии:

  • компрометацию подрядчиков (14,7% инцидентов);
  • фишинговые ресурсы (8,63% инцидентов);
  • иные методы социальной инженерии (4,25% инцидентов)

Методы социальной инженерии используются в 92% атак на физические лица и в каждой второй атаке на организации. Основными каналами, которые использовали «социальные инженеры», стали:

  • интернет-сайты (в том числе социальные сети, особенно востребован Facebook) – для физических лиц (73% случаев);
  • электронная почта – для организаций (88% инцидентов).

Всего с банковских счетов было похищено более 27,5 миллиардов рублей (почти на 75% больше, чем в 2023 году), причем потери юридических лиц составили около 600 миллионов рублей – все остальные деньги были украдены у обычных граждан. Клиентам удалось вернуть менее 10% этих средств.

«Социальные инженеры» активно используют практически любые возможности, чтобы применить свои навыки – в том числе внимательно следят за лентой новостей. К примеру, в июле 2024 года случился массовый сбой в работе ОС Windows – пользователи по всему миру с ужасом увидели «синие экраны» и причиной тому стало некорректное обновление одного из приложений, предназначенного для защиты от угроз. Спустя пару дней после появления первых сообщений о сбое киберпреступники наладили рассылку фишинговых писем , якобы содержащих инструкции по восстановлению Windows от имени Microsoft. При запуске инструмента, который должен был удалить проблемный драйвер с устройства, устанавливалось вредоносное ПО, которое похищало данные.

В 2020 году «социальные инженеры» отметились взломом блогов целого ряда известных личностей – в числе жертв злоумышленников оказались Бил Гейтс, Уоррен Баффет, Джо Байден, Барак Обама и Илон Маск. Рассылая сообщения о раздаче криптовалюты от имени этих персон, преступники собрали более ста тысяч долларов всего за пару часов. По результатам расследования было установлено, что за атакой стояла небольшая группа под руководством 17-летнего школьника. Юные «социальные инженеры» действовали бесхитростно:

  • изучили публичные профили сотрудников социальной сети («жертвой» стал Twitter);
  • отобрали тех специалистов, которые теоретически могли иметь доступ к управлению учетными записями;
  • обзвонили выбранных сотрудников и, представляясь сотрудниками Twitter, уговорили зайти на сайт-имитацию внутренней страницы входа компании.

В итоге преступники смогли завладеть несколькими десятками аккаунтов.

В 2022 году злоумышленники похитили около полумиллиарда долларов со счетов компании Sky Mavis. Для этого им не потребовалось проводить масштабную DDoS-атаку, использовать сложное ПО и проявлять чудеса хакерских навыков. Злоумышленники действовали по схеме:

  • связались в LinkedIn с несколькими сотрудниками Sky Mavis от имени подставной компании;
  • направили приглашения на собеседование;
  • после нескольких этапов собеседования направили выбранным специалистам (в число которых попал главный инженер) предложение о работе. Открыв зараженный PDF-файл, якобы содержащий предложение о работе, специалист Sky Mavis , по сути, предоставил преступникам доступ к внутренней сети компании.

Это только самые яркие примеры «успехов» социальной инженерии. Обычно злоумышленники не стремятся к славе – их больше интересуют более практичные результаты их трудов: конфиденциальные данные, доступы и деньги.

Как не стать жертвой социальной инженерии

Злоумышленники, использующие методы социальной инженерии не слишком разборчивы. Их жертвой может стать и простой пенсионер, и крупная корпорация. Злоумышленники опираются на основные особенности человеческого мышления, и распознать их бывает непросто даже опытным и подготовленным людям.

У атак, которые осуществляются с использованием инструментов социальной инженерии, обычно (но не всегда) присутствует один или несколько из следующих признаков:

1. Неожиданность. Внезапный звонок из страховой, банка, полиции, ФСБ должен насторожить. Если пришло неожиданное письмо с вложениями и ссылками – не стоит его открывать и тем более переходить куда-либо (особенно подозрительно, если в сообщении есть ошибки или нарушено форматирование).
2. Срочность. Требования и просьбы формулируются таким образом, что жертва вынуждена действовать немедленно, в спешке, ей просто не оставляют времени, чтобы подумать, проанализировать ситуацию, проверить информацию.
3. Нестандартный запрос. Если запрос пришел от знакомого или коллеги, при этом он срочный и выглядит необычно – есть повод заподозрить атаку мошенников.
4. Подозрительные элементы. Сообщения / письма содержат странные нехарактерные формулировки, цифры, символы.

Какие меры помогут защитить лично себя:

  • не размещать в открытом доступе конфиденциальные сведения – профили в социальных сетях лучше держать закрытыми и размещать в них минимум личной информации;
  • стараться не отправлять персональные данные и конфиденциальные сведения по электронной почте;
  • использовать технические средства защиты (включить многофакторную аутентификацию, установить антивирусные программы, придумать сложные пароли, использовать фаерволы и фильтры спама);
  • запомнить признаки атаки «социальных инженеров»;
  • относиться с настороженностью и недоверием к любым файлам и сведениям, которые поступают из внешних источников – проверять и перепроверять.

На уровне организации можно реализовать следующие меры:

  • Разработать планы реагирования на инциденты (определить команду с четкими ролями и задачами, прописать и задокументировать процедуры, продумать план коммуникации и разработать стратегию восстановления на случай, если атака окажется успешной).
  • Регулярно обучать и тестировать сотрудников, также можно предусмотреть программы мотивации. Компаниям стоит предусмотреть симуляции атак «социальных инженеров», обучать специалистов на актуальных примерах.
практика
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Реальные атаки. Эффективные решения. Практический опыт.

Standoff Defend* — это онлайн-полигон, где ты сможешь испытать себя. Попробуй себя в расследовании инцидентов и поборись за победу в конкурсе

Присоединяйся и участвуй

*Защищать. Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887

article-title

rcngroup

Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.