Социальная инженерия: главный ИБ-тренд и как от него защититься
Изображение: Utsman Media (unsplash)
Киберпреступления через манипуляцию поведением жертвы становятся все актуальнее. Социальная инженерия в моде у хакеров, а, значит, нужно учиться ее распознавать, предупреждать и отражать подобные атаки. Как – рассказывает Дмитрий Наумов, технический эксперт компании MONT.
Современный взгляд
Социальная инженерия в контексте информационной безопасности — это метод манипуляции людьми с целью получения коммерческой выгоды, либо доступа к конфиденциальной информации или системам. Она не опирается на традиционные способы взлома или технические уязвимости, а использует человеческие слабости, такие как доверчивость, невнимательность или неосведомленность.
Чтобы прибегнуть к методам социальной инженерии, нет необходимости в технических компетенциях или длительной подготовке атаки. Абсолютное большинство преступлений, включающих в себя социальную инженерию, носит массовый характер: злоумышленник не фокусируется на одной конкретной цели, а старается охватить как можно больше потенциальных жертв. Его задача – заставить как можно больше людей предоставить ему какие-либо данные или перевести средства за максимально короткий промежуток времени, чтобы как можно скорее «залечь на дно».
Скорость – это самый главный параметр для злоумышленника, занимающегося фишингом, так как время играет против него. Чем дольше длится его активность, тем выше шанс попасть в зону внимания правоохранительных органов. Поэтому злоумышленники действуют по достаточно простому алгоритму: если цель доверчива и готова выполнять сообщенные ей инструкции, она с высокой вероятностью пополнит список жертв преступников; если же у человека, которого пытаются заставить выполнить какие-либо действия, возникают сомнения и вопросы, или, что еще хуже для мошенников, он начинает сразу же консультироваться с коллегами или любым другим способом привлекать к ситуации внимание, его, скорее всего, «отпустят» — обман недоверчивых людей требует длительного времени, повышает риски быть раскрытым, и редко заканчивается желанным для злоумышленника результатом. Чем убеждать уже негативно настроенную цель в необходимости сообщить какие-либо данные или установить вредоносное приложение, гораздо проще найти доверчивого паникера, который выполнит все инструкции преступника беспрекословно.
Из этого можно сделать вывод: чтобы не стать жертвой фишинговой атаки, преступника необходимо как можно сильнее замедлить.
Эволюция атак
74 % случаев критических утечки данных в мире в период с ноября 2021 года по октябрь 2022 года были связаны с человеческим фактором: ошибкой, злоупотреблением привилегиями, социальной инженерией или использованием украденных учетных данных, говорится в отчете компании Verizon за 2023 год.
При этом количество киберинцидентов с использованием различных форм социальной инженерии за тот же период удвоилось. Из последнего, осенью 2023 года произошла масштабная кибер-атака на ИТ-системы ведущего оператора казино в США — компании Caesars Entertainment. За ним последовала аналогичная атака на их конкурентов – MGM Grand.
Представители Caesars Entertainment сообщили, что их сеть была взломана с помощью социальной инженерии, причем взломали изначально стороннего поставщика ИТ-услуг. В результате атаки хакеры похитили копию базы данных программы лояльности компании, включавшую в себя информацию о водительских правах и номерах социального страхования «значительного числа клиентов».
Ранее в 2022 году, хакер получил доступ к ИТ-системам компании Uber, отправив текстовое сообщение сотруднику, представившемуся сотрудником ИТ-отдела, и попросив его ввести учетные данные.
Далее злоумышленник взломал аккаунт сотрудника в Slack и отправил публичное сообщение, в котором проинформировал о взломе всю компанию. После этого хакер использовал эти учетные данные для получения доступа к другим внутренним системам, включая облачные сервисы Uber на Amazon Web Services и Google Cloud.
Умножьте это на масштабы операций Uber хотя бы на территории Северной Америки.
Подобного рода инциденты ярко иллюстрируют следующее: по мере того как организации усиливают защиту от классических фишинговых писем и сайтов, киберпреступники приспосабливаются, применяя более изощренные тактики, делая свое тактику и подходы к жертве более убедительными. Преступные группы включают в свои «лучшие практики» SMS-фишинг и мошеннические телефонные звонки с использованием поддельных (с помощью ИИ) голосов.
Насколько это эффективно? По предварительным данным, группа, причастная к взлому MGM и Caesars, за два года проникла в более чем 100 компаний.
В России – то же самое
Подобные атаки происходят и в России. Так, например, компания BI.ZONE выявила серию атак на высокопоставленных представителей российского бизнеса и госструктур, основанных на принципах социальной инженерии.
Атакующие устанавливают контакт с работниками компаний, используя фальшивые Telegram-аккаунты, оформленные именами и фотографиями ведущих менеджеров.
Преступник представляется руководителем компании, где трудится жертва, и обращается к ней по имени и отчеству для налаживания доверительных отношений.
В рамках общения мошенник информирует о предстоящем звонке из одного из министерств, настаивая на конфиденциальности разговора и требуя отчета по его итогам. Затем жертва получает звонок с неопознанного номера, где ей могут потребовать конфиденциальные данные или уговорить провести финансовые транзакции на пользу атакующих.
Недавно появился и новый способ нелегального доступа к аккаунтам на портале Госуслуг, основывающийся на принципах социальной инженерии. Пользователи получают сообщения по электронной почте, через СМС или мессенджеры, где утверждается, что их аккаунт на Госуслугах подвергся взлому или временной блокировке из-за необычной активности.
В сообщениях указываются телефонные номера, с которых якобы будет осуществлен звонок от службы поддержки для помощи в восстановлении доступа, или же предлагается самостоятельно связаться по этим номерам. В рамках телефонного контакта с мошенниками запрашиваются личные данные пользователя, якобы для идентификации и восстановления доступа, включая коды двухфакторной аутентификации.
В одном из вариантов мошенничества пользователю отправляют ссылку для загрузки программы, якобы необходимой для доступа к личному кабинету на Госуслугах.
Однако в действительности, это приводит к установке вредоносного ПО, позволяющего злоумышленникам получить удаленный доступ к устройству пользователя и его личным данным.
Как противостоять?
Очевидно, что социальной инженерии, как сумме практик по манипулированию человеческим поведением, нужно противостоять через совершенствование работы компаний со штатом в перспективе «человеческого фактора». Но и о технической стороне задачи забывать здесь не стоит.
Средство номер один в обеспечении защиты от социальной инженерии — регулярное обучение и повышение осведомленности сотрудников.
Это включает в себя информирование о различных методах социальной инженерии, таких как фишинг и инженерные атаки, а также о способах их предотвращения. Процесс должен носить постоянный и регулярный характер. Техники обмана постоянно меняются – соответственно, обучение должно успевать за ними. Параллельно, необходимо разрабатывать и внедрять строгие политики безопасности, которые охватывают управление паролями, доступом и обработкой конфиденциальных данных.
Второй важной частью защиты является применение технических мер, таких как двухфакторная аутентификация, которая значительно снижает риск несанкционированного доступа. Регулярный мониторинг ИТ-систем на предмет подозрительной активности и проведение аудитов помогают вовремя выявлять угрозы. Принцип наименьших привилегий ограничивает доступ к критически важным системам и данным, а постоянное обновление систем и программного обеспечения защищает от известных уязвимостей.
Третье — необходимо обеспечение физической безопасности помещений и рабочих пространств является неотъемлемой частью защиты от прямых попыток применения социальной инженерии. Кроме того, разработка эффективного плана реагирования на инциденты позволяет быстро и адекватно реагировать на произошедшие инциденты социальной инженерии, минимизируя потенциальный ущерб.
Отдельное направление – управление корпоративными паролями. Хорошо зарекомендовала себя практика применения инструментов усиления защиты паролей, таких, как Safepass, Azure Password Protection, Weak Pass Detector и Strongpass. Они способны заранее выявлять слабые и уязвимые пароли, формировать требования к паролям различного уровня надежности в зависимости от задачи, а также несут в себе встроенные возможности по автоматической проверке.
При должном внимании к этому аспекту ИТ и ИБ-администрирования, социальная инженерия даже в случае своего успешного применения снижает итоговую эффективность, упираясь на каком-то уровне доступа в надежный пароль, который жертва манипуляций попросту не знает.
***
Также необходимо учитывать дополнительные аспекты безопасности. Например, важно гарантировать, что рабочие станции выключены или заблокированы, когда сотрудники покидают свое рабочее место в рамках рабочего дня. Кроме того, следует избегать передачи конфиденциальных данных в небезопасных средах и обеспечивать надежное хранение физических документов.
Автор: Дмитрий Наумов, инженер, технический эксперт компании MONT.
