Социальная инженерия и ее роль в кибератаках на российские цели: анализ 2023 года
Социальная инженерия — это вредоносные техники, которые манипулируют психологией человека, чтобы получить несанкционированный доступ к данным или контроль над системой. Используя человеческую невнимательность и доверчивость, хитрые злоумышленники могут обойти даже самые совершенные системы киберзащиты.
А для российских организаций в таких секторах, как государственное управление, оборона, инфраструктура и научные исследования, социальная инженерия представляет собой особенно опасный и распространенный вектор атаки. Преступники и иностранные противники активно используют российских граждан в качестве слабого звена, позволяющего получить доступ к ценным данным, средствам или сетям.
Когда-то социальная инженерия использовалась лишь как тактика первоначального доступа, но теперь она превратилась в универсальный многоступенчатый стержень для компаний, сочетающих манипуляции с пользовательским вредоносным ПО, кражей учетных данных и вербовкой инсайдеров. Постоянные уязвимости в человеческом факторе позволяют социальным техникам обходить и подрывать надежные технические средства защиты.
В этой статье мы рассмотрим последние события в области социальной инженерии, актуальные для российских специалистов по ИБ. Также будут представлены лучшие практики противодействия этой растущей угрозе. Изучив роль социальной инженерии в успешных атаках, а также пробелы в готовности организаций, российские организации смогут начать преодолевать сложный рубеж в управлении кибер-рисками.
Социальная инженерия в России: 2023 год
Хотя российские организации десятилетиями становились жертвами социальной инженерии, в последних сложных атаках использовались передовые тактики манипулирования, направленные на системы с более высокими ставками. Дорогостоящие инциденты свидетельствуют о сохраняющейся уязвимости в сфере кибербезопасности.
В течение первых трех кварталов 2023 года количество случаев мошенничества и кибератак в интернете увеличилось примерно на 10% по сравнению с прошлым годом. 92% атак на обычных пользователей и 37% атак на компании включали в себя использование методов социальной инженерии. Главной целью этих атак, в 56% случаев, была кража данных.
Злоумышленники часто использовали фишинговые сайты, поддельные электронные письма, а также социальные сети и мессенджеры, чтобы провести свои атаки. Они активно использовали темы по поиску работы, доставке товаров, политическим событиям и быстрым способам заработка, в том числе с использованием криптовалют.
Эти киберпреступники продолжали использовать обманные методы, связанные с поиском работы, услугами доставки, событиями в политике и быстрым заработком, при этом они использовали специальные платформы для создания и проведения фишинговых атак. Также для обхода систем защиты электронной почты киберпреступники все чаще используют вложения, имеющие расширение pdf. По данным Netskope, PDF-вложения занимали первое место среди всех форматов для распространения вредоносов на протяжении всего третьего квартала этого года. Злоумышленники встраивают в PDF- и даже Word-файлы вредоносные ссылки, в ряде атак дополнительно маскируя их с помощью QR-кодов.
Человеческий фактор
Атаки зависят в первую очередь от структуры организации и ее процессов, в некоторых компаниях сотрудники совсем не проверяют электронные письма. Обычно хакеры начинают с сотрудников среднего звена и айтишников, поскольку последние, как ни странно, совершают довольно грубые ошибки из-за низкой киберосознанности. Вредоносные письма открывают до 85% сотрудников, в основном это представители бэк-офиса, ассистенты и менеджеры.
Злоумышленники часто сотрудничают с вредоносными инсайдерами. Специализированный доступ, которым обладают инсайдеры, обеспечивают идеальную отправную точку для манипуляций. Недовольные сотрудники, мотивированные местью или финансовой выгодой, представляют собой один из распространенных векторов внутренней угрозы.
Однако даже сотрудники, не имеющие враждебных намерений, могут стать причиной взлома. Нерадивые инсайдеры с благими намерениями, как правило, с готовностью, пусть и неосознанно, помогают мошенникам, когда их об этом просят. Преуменьшая значение политики безопасности, чтобы помочь другим, они ставят под угрозу защиту. Например, сотрудник может принять файл с «обновлениями» от, казалось бы, законных поставщиков или партнеров, а затем установить троянскую вредоносную программу.
Суровая реальность такова, что даже такие серьезные технические меры, как многофакторная аутентификация или мониторинг сети, не могут полностью компенсировать уязвимость людей. Социальное коварство специализируется на межличностных пробелах.
При отсутствии широкой осведомленности о безопасности и устойчивых привычек к проверке идентификации сотрудники всех типов рискуют стать жертвами социальной инженерии. В этом случае техническим средствам контроля будет сложно отследить злоумышленников, похитивших подлинные учетные записи и знания пользователей. Поскольку фактическим периметром являются люди, защита от человеческого фактора остается крайне важной.
Как противостоять социальной инженерии
Учитывая постоянную уязвимость людей, способствующих взломам, российские организации должны уделять первостепенное внимание повышению уровня осведомленности о кибербезопасности наряду с техническими средствами контроля.
Источником утечки корпоративной информации могут стать личные мобильные гаджеты сотрудников, поскольку из-за удаленного формата работы многие организации разрешают работу на своих устройствах. Тем временем приложения способны передавать геопозицию без ведома пользователей и прослушивать разговоры.
Поскольку компании не могут контролировать личные гаджеты, то разумным решением может стать использование экранирующих устройств, которые блокируют беспроводную связь смартфонов и планшетов. Экранирующие чехлы и капсулы для мобильных устройств применяются для защиты от дистанционного взлома, отслеживания, доступа к камерам и микрофонам, а также для безопасного хранения мобильных устройств. Такие устройства способны физически отключить смартфоны, планшеты и ноутбуки от беспроводных сетей, предотвращая удаленный доступ к гаджетам. Для защиты от отложенной записи возможно применение джаммера, который при помощи ультразвука подавляет микрофоны на смартфонах и полностью исключает утечку информации по аудиоканалу.
В дополнение к созданию современных систем защиты компаниям следует обучать своих сотрудников различным киберугрозам. Социальная инженерия успешно действует благодаря человеческому фактору, который подвергает риску как личные, так и корпоративные данные. За последние три года не было найдено универсального средства от этого вида атак в частном и государственном секторах. Поэтому компании продолжают нуждаться в постоянном обновлении знаний своих команд относительно современных мошеннических схем. Киберпреступники адаптируют свои методы, учитывая внешние факторы и актуальные новости, поэтому важно регулярно повышать уровень осведомленности персонала.
Надежное обучение всех сотрудников представляет собой первую линию обороны. Вместо сухих материалов по соблюдению нормативных требований интерактивные модули, посвященные распознаванию техник манипулирования, проверке подозрительных контактов и соблюдению протоколов безопасности, помогают персоналу осознать риски.
Тесты на социальную инженерию еще больше повышает устойчивость. При таком тестировании, команда этичных хакеров пытаются отправить фишинговые письма, притворяясь сотрудниками ИТ-отдела или телефонными мошенниками, чтобы регулярно проверять бдительность персонала. Выявляя недостатки, организации совершенствуют подходы к противостоянию социальной инженерии. Подробнее об этичном хакинге мы рассказывали в этой статье.
Однако никакие тренинги не принесут успеха без поддержки со стороны руководства. Приоритет кибербезопасности как коллективной ответственности, а не просто работы ИТ-команды, имеет решающее значение.
Благодаря широкому вовлечению сотрудники всех уровней вносят свой вклад, оставаясь человеческими сенсорами, служащими одной из главных линий оборон. Подобно тому, как московское метро полагается на пассажиров, сообщающих о подозрительных предметах, персонал должен отслеживать и выявлять рискованные попытки социальной инженерии, направленные на коллективную безопасность организации.
Заключение
Злонамеренное манипулирование персоналом различных организаций — один из наиболее серьезных векторов атак, угрожающих кибербезопасности в России. Разнообразие тактик в сочетании с уязвимостью человеческого суждения гарантирует, что угрозы социальной инженерии будут продолжать нарастать.
И хотя в условиях взаимосвязанной цифровой экономики ни одна организация не может полностью исключить риски взлома, приоритет комплексной готовности к социальной инженерии обеспечивает заметное преимущество в защите.
Помимо технических и организационных мер, пожалуй, самое главное — руководство должно формировать организационную культуру, подчеркивающую коллективную ответственность и бдительность в отношении манипуляций, которые могут поставить под угрозу корпоративные данные. Когда безопасность становится обязанностью каждого, человеческий фактор превращается из самого слабого звена в самый надежный щит.
Автор статьи: Глеб Верди, специалист по ИБ «Астрал. Безопасность».
