Социальная инженерия 2.0: анализ новых методик манипуляции и обмана в цифровую эпоху
Изображение: Luis Villasmil (unsplash)
Социальную инженерию можно по праву назвать главным инструментом злоумышленников по всему миру. Как я уже рассказывал в статье об антиспам-решениях, атаки, в ходе которых идет воздействие на психологию, а не попытка взломать сложную систему технически, более просты в исполнении, а потому популярнее и результативнее. По данным Positive Technologies, 43% успешных атак на организации и 90% — на частных лиц происходит именно с применением социальной инженерии.
С помощью манипуляции и обмана злоумышленники выманивают информацию и финансовые средства у пользователей банковских приложений и мессенджеров, встраиваются в деловую переписку с подрядчиками, чтобы зайти в крупную, защищенную различными системами корпорацию-клиента, и даже физически могут попасть в офис той или иной компании, несмотря на пропускной режим и охрану. В этой статье я на наглядных примерах покажу и расскажу, как работает социальная инженерия и как защититься от атак с ее использованием.
С незапамятных времен
Сама концепция социальной инженерии не нова. Ее главный принцип – воздействие на эмоции. Несмотря на все изменения, которые человечество претерпело за десятки тысяч лет своего существования, наши чувства остались теми же, что и у наших далеких предков. Мы, как и они, испытываем все те же гнев, раздражение, возмущение, страх, чувства неловкости, справедливости и многие другие настроения каждый день. Социальной инженерией, помимо преступников, в той или иной мере пользуются политики, артисты, маркетологи и продавцы. Только если артист хочет с помощью воздействия на эмоции развлечь аудиторию, а политик – привлечь сторонников и выиграть выборы, то злоумышленника интересует только нажива.
Новые веяния
С тех пор, как небезызвестный Кевин Митник наглядно продемонстрировал возможность использования психологических приемов в мошеннических схемах, можно с уверенностью сказать, что новых методик социальной инженерии нет. Разница между методами, использованными в 90-х годах, и современными кейсами только в инструментариях и тематике. Часто мошенники используют популярные темы из информационной повестки, например, политические баталии, пандемию COVID-19, вступление в силу тех или иных законов или природные катаклизмы. Еще чаще они фокусируются на чем-то более приземленном – марки автомобилей, конкурсы, судьбы тех или иных знаменитостей, якобы подозрительные платежи в банковских приложениях.
Основной принцип работы злоумышленников – воздействие на сознание. Они могут как пытаться потешить эго жертвы, напирая на тщеславие, так и обратиться к состраданию, или наоборот, попытаться запугать или вызвать раздражение, чтобы собеседник дал им все, что нужно.
А именно — любую информацию о жертве, которую можно использовать против нее, включая ФИО, номер телефона, собственность, адрес, наличие семьи и детей, транспортных средств, историю покупок, интересы, посещенные места и многое другое. В случае с корпорациями сюда добавляются логины, пароли, документы, контакты коллег и т.п.
Часто жертвы думают «У нас брать нечего, кому мы нужны». Именно с этого и начинаются все ИБ-проблемы. Рядовые пользователи и сотрудники невысокого звена как раз наиболее интересны злоумышленникам. С ними легче связаться, на них проще воздействовать, и они скорее «клюнут» на манипуляцию и уловки.
При этом инструментарий мошенников давно не ограничивается только сценариями для телефонных разговоров и текстами сообщений или писем. Поддельные сайты, общественные беспроводные сети и даже подброшенное оборудование могут дать преступникам доступ к вашим устройствам, профилям, почте и всей информации. Также злоумышленники стараются застать жертву врасплох и напирают на фактор времени, чтобы жертвы не успели перепроверить информацию. При этом они стараются сделать все, чтобы не выдать себя и свои намерения собеседникам, например используют скрытые номера телефонов, выдают себя за знакомых людей, давят на жалость, запугивают и всеми способами пытаются получить информацию в момент разговора.
Местами техника воздействия схожа с приемами, используемыми в рекламе и СМИ. Это может быть призыв к немедленному действию, давление на чувство «боязни пропустить интересное» (БПИ), кричащие заголовки, размещение ложной информации и т.п. В случае с компаниями также добавляется давление на срочность, например скорое повышение цен на компоненты и продукты или другие потенциально негативные последствия. Например, часто встречаются сообщения от поставщиков, предупреждающие о скором росте цен с предложением сделать закупку, пока этого не случилось. Такие письма не вызывают подозрений, т.к. приходят в большом количестве, и являются привычными.
Нужно понимать, что те сотрудники, которые попадаются на такие атаки, компрометируют не только себя, но и корпоративные устройства и ресурсы. Пользователи в данном случае могут быть подвержены как фишинговым атакам под видом писем по работе, так и, например, открыть с рабочего устройства личную почту и стать жертвами обмана по личной теме. Например, в группе автомобилистов к владельцу обращаются условные «производители ковриков», сообщая ему о выигрыше бесплатного комплекта, спрашивают адрес для доставки и уточняют модель машины. Жертва дает информацию, ей обещают доставить приз через пару дней, и просят оплатить 250 рублей за доставку. После перевода денег злоумышленники тянут время или вовсе перестают выходить на связь, а жертва решает, что потраченные деньги не стоят волокиты с поисками и заявлениями.
Этот кейс — типичный пример мошенничества, построенного с помощью социальной инженерии. Жертву застают врасплох новостью о выигрыше и предлагают получить выгоду, и используют персональную информацию для завоевания доверия жертвы. В случае, если пользователь вел переписку с рабочего устройства, оно может быть скомпрометировано мошенниками.
Что делать?
Первым делом посмотрим, как обезопасить корпоративных пользователей. Если вы руководитель компании, или отвечаете за ее информационную безопасность, то лучшей защитой против атак с использованием социальной инженерии будет повышение киберграмотности сотрудников и тренировка их бдительности.
Для этого существуют платформы класса Security Awareness с возможностью тестирования уровня ИБ-знаний, где пользователям присылают заранее подготовленные письма и сообщения, которые с высокой вероятностью будут восприняты как легитимные. Сотрудников, которые попались, потом следует направить на дополнительное обучение. Стать жертвой такого теста легче, чем кажется, и в нашей практике довольно большое количество таких случаев.
Так, однажды мы тестировали защищенность крупной компании в 5000 сотрудников, которым отправляли письма о том, что их профиль на Госуслугах в опасности и нужно срочно пройти по ссылке. Ссылка была, разумеется, не на настоящий сайт Госуслуг. Результат: 60% участников перешли по ссылке, а 45% — ввели учетные данные, хотя этого можно было избежать, просто проверив ссылку, и подумав, а регистрировался ли пользователь на сайте с рабочей почтой в качестве логина?
Каждый подобный тест разрабатывается под конкретные компанию и запросы, и по его результатам наши ИБ-специалисты готовят комплекс мер, которые нужно предпринять для развития навыков сотрудников.
Приведу еще один пример, который наглядно демонстрирует важность обучения пользователей основам киберграмотности. В этом примере налаживается контакт с главным бухгалтером достаточно крупной компании. Подружившись с женщиной в соцсетях, злоумышленник смог войти в доверие и со временем предложил обойти запрет на использование соцсетей в периметре компании. Он удаленно установил ей VPN-программу на рабочий компьютер, а заодно и систему удаленного администрирования, через которую смог долгое время наблюдать за активностью пользователя. В итоге ему удалось воспользоваться моментом, когда женщина ушла на обед, а в usb-порт компьютера был вставлен токен от клиент-банка, и попытаться совершить платеж на крупную сумму. По счастливой случайности, в реквизитах была допущена ошибка и платежка вернулась. Этот возврат как раз позволил провести расследование сразу же, а не спустя некоторое время, когда все следы удалось бы замести.
Второй совет предназначен не только для рабочих процессов, но и повседневной жизни каждого пользователя. Старайтесь оставлять в интернете только необходимый минимум информации о себе, особенно это касается персональных данных. Если просто имя и фамилия это еще куда ни шло, то номер телефона, адрес почты, адрес места проживания и работы не должны храниться в открытом доступе. Самым банальным примером являются кражи после того, как жертвы выкладывают фотографии билетов в отпуск с датами поездки.
Еще один важный момент – сторонитесь открытых беспроводных сетей. Злоумышленники легко могут сделать дубликат сети, и с помощью автоматических средств собирать данные, просто катаясь на метро или сидя в кафе, например, пока пользователи сидят на поддельных сайтах, а их трафик уходит мошеннику. Нетрудно представить, что может случиться, если такой атаке подвергнется компьютер работающего удаленно сотрудника. При этом заражению вредоносными программами может быть подвержена вся корпоративная сеть.
Третий совет объединяет в себе все основные правила, следование которым поможет свести к минимуму риск стать жертвой атаки, поэтому их соблюдение стоит ввести в привычку. Критически относитесь ко всем письмам, сообщениям и звонкам. Не торопитесь принимать решения. Если не уверены, посоветуйтесь с коллегами, родными или друзьями, в зависимости от контекста ситуации. Перепроверяйте информацию в нескольких источниках. В случае разговора по телефону сбивайте мошенников с ритма и сценария. Не переходите по ссылкам, не открывайте вложения, не вводите учетные данные для своих профилей, если не уверены в их подлинности.
Да, в разгар рабочего дня зачастую нет времени перепроверять каждое письмо и сообщение, однако простая проверка ссылок и вложений, привычка ничего не сообщать о себе в открытом доступе, а также критическое мышление при разговорах и переписках помогут существенно снизить риск стать жертвой мошенников самому или подставить коллег и близких.
Автор: Кай Михайлов, руководитель направления информационной безопасности компании iTPROTECT.
