Как злоумышленники используют методы социальной инженерии в кибератаках

источник: dall-e
Злоумышленники продолжают активно использовать в кибератаках методы социальной инженерии, то есть психологические техники, с помощью которых жертву убеждают совершить определённые действия. Целью злоумышленников может быть получение доступа к конфиденциальным данным, кража денег или других активов, нанесение репутационного ущерба. Пострадать могут как отдельные пользователи, так и компании. В этой статье мы расскажем о наиболее распространённых направлениях социальной инженерии, разберём примеры атак, а также способы защиты от них.
Общая статистика по фишинговым атакам с использованием методов социальной инженерии
Распространённым видом атак остаётся фишинг. Это вид онлайн-мошенничества, при котором злоумышленники выманивают данные у пользователей с помощью ресурсов, мимикрирующих под легитимные. Они, например, могут имитировать сайты крупных известных компаний или рассылать электронные письма якобы от надёжного отправителя со ссылками на мошеннические ресурсы. Пользователь, ничего не подозревая, вводит свои данные, которые в итоге попадают в руки злоумышленников: например, логины и пароли, платёжная информация.
Компании, занимающиеся кибербезопасностью, фиксируют рост количества попыток фишинговых атак. Например, по данным «Лаборатории Касперского», количество попыток перехода российских пользователей на фишинговые и скам-страницы в первом полугодии 2024 года выросло более чем в пять раз по сравнению с аналогичным периодом 2023 года.
При этом доля людей, склонных верить фишингу, остаётся достаточно высокой. Согласно исследованию «Лаборатории Касперского» и МегаФона, в среднем треть персонала в российских компаниях доверяют тренировочным фишинговым письмам и активно переходят по ссылкам внутри них. Меньше подозрений обычно вызывают поддельные обращения от HR- и ИТ-отделов. Так, по ссылкам из писем о введении дресс-кода перешло три четверти получивших её сотрудников (77%).
Примеры недавних атак с использованием методов социальной инженерии
Злоумышленники часто маскируют фишинговые рассылки под деловую переписку и таким образом распространяют вредоносное ПО. Например, недавно эксперты зафиксировали в России всплеск рассылок под видом запросов от потенциальных клиентов или партнёров, с помощью которых злоумышленники распространяли троянцы для удалённого управления компьютером NetSupport RAT и BurnsRAT. Внутри писем были архивы с вредоносными файлами, замаскированные под различные обращения: заявки на закупку товаров, запросы цен, акты сверки и другие, после открытия которых и происходило заражение устройства. После этого злоумышленники могли продолжить атаку, например установить стилер для кражи данных или программу-шифровальщик.
До этого, в начале осени, злоумышленники атаковали российские энергетические компании, заводы, поставщиков и разработчиков электронных компонентов с помощью нового троянца Unicorn, который также распространялся с помощью фишинговых рассылок. Целью была кража конфиденциальных данных. Вредоносное ПО распространялось через почтовые вложения или файлы на Яндекс.Диске, на которые вела ссылка из письма. В отличие от других подобных атак зловред не самоудалялся сразу после кражи информации, а продолжал похищать новые и изменившиеся файлы, пока его не обнаружат.
Летом 2024 года эксперты обнаружили, что более десяти российских предприятий из различных сфер деятельности — от машиностроения до медицины — подверглись кибератакам с использованием ранее неизвестного бэкдора Loki. Специалисты предполагают, что в ряде случаев Loki попадал на компьютер жертвы через электронную почту, а затем невнимательный пользователь сам запускал его. Такой вывод они сделали в результате данных телеметрии и названий файлов, в которых был обнаружен зловред, например “смета_27.05.2024.exe“, “На_согласование_публикации_<предприятие>.rar”, “ПЕРЕЧЕНЬ_ДОКУМЕНТОВ.ISO”.
Также летом 2024 года эксперты обнаружили ещё одну фишинговую кампанию: активизировались хакеры, которые крадут учётные данные от корпоративной электронной почты под видом известной транспортной компании. В письмах злоумышленники сообщают о запланированной доставке, которая, по их словам, должна в обговоренное время прибыть в порт разгрузки. Во вложении — ссылка якобы на PDF-файл, в нём по легенде находится счёт и другие важные документы. Поддельное письмо подписано клиентской службой крупной международной логистической компании. Оно составлено по канонам деловой переписки, логотип идентичен оригинальному. Таким образом, сообщение легко можно принять за реальное. Если получатель откроет документ, то будет автоматически перенаправлен на фишинговую страницу. Там для просмотра конфиденциальных документов его попросят пройти авторизацию — ввести логин и пароль от корпоративной электронной почты. Однако на самом деле учётные данные уйдут злоумышленникам.
Ещё в одной серии целевых атак через почту распространялись вредоносные архивы и ссылки. Получателями были около тысячи сотрудников организаций из сфер производства, финансов и энергетики, а также государственных учреждений. В этой кампании в некоторых случаях злоумышленники писали от лица контрагентов атакуемых организаций в ответ на уже существующую цепочку писем. Возможно, они использовали взломанные почтовые ящики этих контрагентов либо ранее похищенные переписки.
Активно используются методы социальной инженерии и в телефонном мошенничестве. Например, в начале 2024 года злоумышленники стали применять в своих схемах дипфейки: пользователи получали аудиосообщения якобы от знакомых, коллег или руководителей, где их просили помочь или оказать содействие в чём-либо. Мошенники использовали множество легенд, однако цель оставалась одной — похитить собственные и кредитные средства жертвы. Среди получивших распространение в начале года техник злоумышленников — получение одноразовых кодов подтверждения с помощью функции трансляции экрана в мессенджере во время разговора, без использования вредоносного ПО или программ для удалённого управления устройством. Мошенники прибегают к различным уловкам, чтобы убедить в определённый момент пользователей продемонстрировать свой экран и таким образом получают нужны данные.
Методы противодействия атакам с помощью социальной инженерии
Для противодействия таким атакам следует повышать уровень цифровой грамотности сотрудников. В этом могут помочь специализированные курсы и тренинги. При их выборе важно учитывать следующие моменты:
- Материалы курса должны охватывать актуальные и распространённые киберугрозы. Например, на обучающей платформе Kaspersky Automated Security Awareness Platform есть темы по безопасной работе с электронной почтой, сайтами, мессенджерами и другими ресурсами. Обладая этими знаниями и навыками, пользователи могут распознать атаку злоумышленника и не дать ему себя обмануть.
- Формат преподнесения материалов. Например, в Kaspersky Automated Security Awareness Platform для лучшего усвоения навыков все темы сопровождаются подробными объяснениями с примерами из реальной жизни, графическими материалами и упражнениями с проверочными тестами.
- Возможность гибко адаптировать учебный курс под каждого сотрудника в зависимости от его обязанностей и текущего уровня киберграмотности. На платформе Kaspersky Automated Security Awareness Platform можно выбрать темы и уровень обучения в зависимости от квалификации сотрудника.
- Использование техник для лучшего запоминания материала с учётом того, как устроена человеческая память. Kaspersky Automated Security Awareness Platform ориентируется на кривую забывания, или кривую Эббингауза, иллюстрирующую, какой объём информации остаётся в долговременной памяти человека после нескольких повторений изученного материала. Помогает также порционное усвоение материала — каждая тема разбита на небольшие уроки, усвоение которого занимает около 10 минут.
- Имитации фишинговых атак. Научить сотрудников распознавать их в реальной жизни можно с помощью учебных рассылок, имитирующих фишинговые сообщения. Например, в Kaspersky Automated Security Awareness Platform входит фишинговый симулятор. Благодаря учебным рассылкам сотрудники могут на собственном примере убедиться, как легко можно попасться на удочку злоумышленников.

Автор статьи — Елисей Вишнёв, эксперт «Лаборатории Касперского» по решениям инфраструктурной безопасности.



