Главная уязвимость — человек: как телефоны помогают социальным инженерам
Изображение: Jonas Leupe (unsplash)
Небрежное обращение с конфиденциальной информацией и доверчивость могут свести на нет любые меры кибербезопасности. Поэтому не стоит недооценивать социальную инженерию. О методе и роли телефонов в нем рассказал Роман Стрельников, руководитель направления по информационной безопасности 1С-Битрикс
Что такое социальная инженерия
Это метод психологического манипулирования через человеческие слабости — доверчивость, сострадание, страх или невнимательность. С его помощью обходят системы защиты для получения конфиденциальной информации, несанкционированного доступа к ресурсам или нарушения протоколов безопасности. Социальные инженеры воздействуют на людей, используя убедительные сценарии: подлог личности, имитацию авторитетных лиц или эмоциональное давление. Злоумышленник может притвориться коллегой, представителем службы поддержки или даже близким человеком, чтобы заставить жертву раскрыть пароли, предоставить доступ в охраняемую зону или совершить опасные действия.
Виды социальной инженерии
Различают два типа социальной инженерии — прямую и обратную. В первом случае жертва не осознает, что стала объектом атаки. Например, уверена, что общалась с коллегой. А во втором создаются условия, при которых человек сам обращается за помощью к злоумышленнику, полагая, что тот является легитимным источником поддержки. Рассмотрим на примерах.
Прямая атака: социальный инженер узнает о стандартных процедурах в компании и создает ситуации, в которых персоналу приходится отходить от привычных правил. Он может обращаться с просьбами о помощи, ссылаясь на срочные обстоятельства: отсутствие доступа к компьютеру или невозможность связаться с руководителем. Например, представиться новым системным администратором и запросить доступ к системе. Если получится сыграть на отзывчивости и готовности человека помочь, безопасность будет скомпрометирована.
Обратная атака: офис-менеджер сообщает, что бухгалтер в отпуске — хакер может использовать это, чтобы создать правдоподобную легенду. Получив доступ к локальной сети, он отправляет сообщение от имени бухгалтера, утверждая, что работает из дома. Это повышает убедительность. Далее, позвонив в приемную, злоумышленник просит соединить его с системным администратором. Он, полагая, что говорит с бухгалтером, предоставляет доступ к необходимым документам.
Как телефоны угрожают корпоративным данным
Телефоны — неотъемлемая часть корпоративной культуры. Они всегда с нами, через них мы получаем доступ к огромному количеству информации. Мошенники, как правило, начинают атаки именно с него, и таких атак становится больше. За первые восемь месяцев прошлого года только пользователей Android стали атаковать в 2,5 раза чаще по сравнению с 2023 годом.
Как это работает? Злоумышленники убеждают жертву установить вредоносное приложение или перейти по указанной ссылке. После этого они получают практически полный контроль над устройством. Краденые данные помогут хакеру быстро получить пароли, корпоративные почту, необходимые доступы к мессенджерам. Взломав телефон, злоумышленник получает не только личную информацию, но корпоративные секреты.
Рассмотрим варианты атак через телефон, которые могут привести к потере корпоративных данных:
Взлом аккаунта жертвы на «Госуслугах»
Жертве отправляют сообщение по электронной почте или СМС, где пишут, что система портала зафиксировала подозрительный вход, и добавляют номер, по которому якобы должны помочь в таком случае. Получатель перезванивает по номеру с уверенностью, что общается со службой безопасности «Госуслуг», и начинает делать все, что ему скажут мошенники.
Платформа «Сферум»
Для повышения доверия злоумышленники используют данные сотрудников школ, технологии дипфейка и подменные номера телефонов. Родителей предупреждают о предстоящем звонке с целью идентифицировать школьников. Затем мошенники запрашивают у жертв код подтверждения из SMS, который необходим для восстановления доступа к личному кабинету на портале «Госуслуги». Получив этот код, они могут совершать противоправные действия от имени жертвы.
«Fake boss» или поддельный начальник
Данная схема предполагает, что злоумышленник выдает себя за руководителя или топ-менеджера компании. Для этого он изучает особенности речи и поведения по публичным выступлениям, интервью и соцсетям, может взломать телефон для доступа к аудио- и видеофайлам, чтобы имитировать правдоподобнее.
Недавно в одной из ведущих IT-компаний произошел инцидент, связанный с атакой с использованием методов социальной инженерии. Злоумышленник, выдававший себя за финансового директора компании, связался по телефону с бухгалтером и убедительно попросил срочно перевести крупную сумму денег на указанный счет. Для большей убедительности, он применил несколько техник социальной инженерии:
— имитация голоса и манеры речи с помощью ИИ-технологий;
— подделка внешности за счет deepfake: алгоритмы машинного обучения наложили лицо директора на изображение мошенника, что позволило ему убедительно представиться по видеосвязи;
— использование конфиденциальной информации о текущих финансовых операциях, предстоящих платежах и личных обстоятельствах финансового директора для убедительных ответов на уточняющие вопросы бухгалтера;
— создание ложного чувства срочности: настаивал на немедленном переводе средств, ссылаясь на важность и конфиденциальность операции.
В результате бухгалтер, не заподозрив подвоха, перевел крупную сумму на указанный счет. Только после этого он связался с финансовым директором напрямую и выяснил, что тот ничего не знал об этом переводе.
Как противостоять социальным инженерам
Для противодействия таким атакам необходимо регулярно проводить тренинги по распознаванию признаков социальной инженерии и четко прописывать процедуры верификации запросов. Даже если они, на первый взгляд, исходят от высокопоставленных сотрудников.
Использование внутри компании корпоративных мессенджеров и CRM-систем значительно снижает риски, связанные с социальной инженерией. Они позволяют контролировать и отслеживать коммуникации сотрудников, что затрудняет получение доступа к конфиденциальной информации путем обмана или манипуляций. Кроме того, корпоративные решения зачастую имеют более надежные системы аутентификации и разграничения доступа, что усложняет задачу злоумышленникам.
Чтобы эффективно бороться с такими атаками, важно не только внедрять технические средства защиты, но и работать с людьми — самым уязвимым звеном в системе безопасности.
Компаниям следует анализировать и изучать наиболее распространенные сценарии их атак. А затем — обучить сотрудников распознавать потенциальные угрозы и подозрительное поведение. Эффективным способом проверки защищенности являются тестовые попытки проникновения, которые можно организовать с помощью сторонних компаний или собственными силами. Важно, чтобы проверку проводили незнакомые для персонала люди. Простой пример — звонок в кадровую службу от имени сотрудника государственной организации с просьбой предоставить персональные данные. Если сотрудник выполняет такую просьбу, требуется дополнительное обучение по безопасности.
Методы социальной инженерии также могут быть полезны при отборе персонала, оценке уровня лояльности и выявлении нарушителей внутри компании. Это важная область знаний, и каждый специалист по безопасности должен обладать навыками в этой сфере. Хотя киберзащита на уровне устройств важна, она не устраняет угрозы, вызванные человеческим фактором.
