Что такое социальная инженерия
Обычно определение «социальная инженерия» используют, чтобы обобщить различные способы манипуляции человеком в контексте информационной безопасности (ИБ). То есть речь не идет только об обмане пользователя в духе «Это служба безопасности банка, срочно сообщите три цифры с оборота карты». Хотя такой прием, безусловно, популярен.
Социальная инженерия включает множество различных приемов. Их задача — завоевать доверие пользователя, ослабить его бдительность, убедить в чем-либо, запугать и так далее. Конечная цель — побудить человека к действиям. Они могут быть направлены, например, на разглашение ценной информации или предоставление доступа к критически важным ресурсам.
Почему человек — слабое звено в системах информационной безопасности
Человеческий фактор для хакеров всегда будет лазейкой в системе информационной безопасности даже в самой защищенной компании. Если нельзя взломать или обойти средства защиты, можно попытаться воздействовать на людей.
Атаки с применением социальной инженерии могут проходить в один или несколько этапов. Зачастую сначала злоумышленник исследует предполагаемую цель, собирая о ней информацию. А затем начинает играть на чувствах и личностных качествах жертвы.
Атаки с использованием методов социальной инженерии по праву считаются одними из самых опасных техник. Тому есть несколько причин.
- Простота. Имеется в виду простота в контексте доступности. Проведение атак с социальной инженерией, безусловно, требует определенных навыков, но они доступны всем и развить их может каждый.
«Если ты человек и умеешь общаться, ты уже социальный инженер, ведь ты выпрашивал сладкое у взрослых, применяя разные схемы манипулирования, и тебя этому никто не учил», — Юрий Другач, книга «Контролируемый взлом. Библия социальной инженерии».
- Человеческий фактор. Социальную инженерию особо опасной делает то, что она всегда опирается на человеческую ошибку. Люди менее предсказуемы, чем информационные системы. Это затрудняет выявление и предотвращение атак на них.
- Большое количество потенциальных целей. Злоумышленнику не нужно концентрироваться на одной жертве. Зачастую ему неважно, кто допустит ошибку: стажер, разработчик, бухгалтер, директор. У всех есть доступ к данным, которые так или иначе важны для компании и представляют определенную ценность.
Согласно отчетам об актуальных угрозах, ко второму кварталу 2024 года социальная инженерия применяется в 51% атак на компании. Но если вы думаете, что описываемая проблема — это что-то на корпоративном, то нет. В случае с атаками на частные лица социальная инженерия еще более популярна. Из тех же отчетов следует, что злоумышленники вряд ли будут подбирать пароль от аккаунта жертвы в соцсетях. В 92% случаев они попытаются манипулировать человеком, чтобы он предоставил ценные данные добровольно.
В декабре 2022 произошла массовая атака с псевдоботом Telegram Premium. В то время платная подписка только появилась, ее активно обсуждали. Злоумышленники воспользовались актуальным инфоповодом и решили сыграть на любви людей к подаркам и новинкам. Пользователи получали сообщение якобы от одного из своих контактов об отправленном подарке — подписке Telegram Premium. Для ее получения нужно было лишь перейти по ссылке и ввести код. После этого мошенники получали полный доступ к аккаунту жертвы.
Виды атак с использованием социальной инженерии
Цель у социальной инженерии почти всегда одна — получить выгоду путем обмана. А достичь ее можно разными способами. Ниже рассмотрим некоторые из них.
Классические методы социальной инженерии
Эти методы существуют достаточно давно. Многие из них появились задолго до компьютеров и интернета. А в эпоху цифровизации они лишь адаптировались к новым условиям.
- Phishing. Пожалуй, это самый популярный прием, и именно с ним в первую очередь ассоциируется социальная инженерия. Вы получали когда-нибудь письмо на почту, в котором вам обещают крупный приз, потому что вас выбрал генератор случайных чисел или вы на прошлой неделе стали миллионным покупателем в супермаркете? Нужно лишь перейти по ссылке и ввести кое-какие данные. Это и есть пример фишинга. В данном случае злоумышленники делают ставку на то, что возможность получить большое вознаграждение без усилий усыпит бдительность жертвы. Заметьте — никаких взломов или угроз. Фишинг предполагает, что человек добровольно предоставит те или иные данные. В качестве альтернативы email-рассылкам используются и поддельные сайты, которые имитируют всем известные страницы: Dropbox, Google, Яндекс и т. д. Фишинг нацелен на массовую аудиторию и работает по модели «spray and pray» («разошли и надейся»).
- Vishing и smishing. Это разновидности фишинга. Они отличаются каналом связи. При вишинге мошенник звонит жертве и представляется кем-то другим (другом, родственником, коллегой, сотрудником банка и т. д.). А для смишинга используются SMS-сообщения.
- Whaling. Дословно «охота на китов». Вид социальной инженерии, целевая аудитория которого — люди с руководящими должностями.
- Spear phishing. Фишинг, нацеленный на конкретную группу получателей. Часто является одним из этапов таргетированной атаки на компанию.
- Honeytrap, или «бочонок меда». Вид атаки, в котором злоумышленник пытается заманить жертву в ложные отношения, войти в доверие и воспользоваться этим в корыстных целях. Часто практикуется в социальных сетях и на сайтах знакомств.
- CEO fraud. Маскировка злоумышленника под топ-менеджера компании. Эффективность приема заключается в том, что на сотрудника оказывается дополнительное давление, когда ему пишут от имени начальника или директора. Неочевидная опасность такого приема в том, что у жертвы могут вообще не спрашивать никакой конфиденциальной информации. Иногда злоумышленники просто «прощупывают» коллектив компании в поисках наиболее внушаемых и доверчивых сотрудников.
- Троянский конь, или дорожное яблоко. Злоумышленник оставляет в общедоступном месте на территории компании флешку с вирусом. Задумка в том, что кто-то из сотрудников заинтересуется и воспользуется «приманкой».
- Quishing или QR-phishing. Метод похож на классический фишинг, только ссылка в нем представляет собой QR-код. Такой метод может использоваться, например, в поддельной наружной рекламе, раздаточных материалах или почтовых извещениях. Стать жертвой такого обмана проще, чем кажется. Вот новость о женщине, потерявшей в результате него 20 тысяч долларов.
Конечно, на практике используется больше различных способов обмана или манипуляций. И их количество с каждым годом только увеличивается. Например, в последнее время участились атаки с использованием искусственного интеллекта.
Социальная инженерия с использованием ИИ
Порой фишинговые сообщения имеют некоторые очевидные красные флажки. Например, явные грамматические или орфографические ошибки. Жертвы могут обнаружить фишинг, потому что сталкиваются с незнакомым стилем письма, необычным временем или способом его доставки.
Однако рост популярности ИИ-продуктов и инструментов открыл злоумышленникам новые возможности. Например, генеративные ML-модели умеют писать грамматически правильный текст и имитировать различную тональность. И это еще не все. Как вы отреагируете, если получите в Telegram кружочек или голосовое сообщение от CEO? Да, для ИИ создание подобного контента не проблема.
Как не попасться на приемы социальной инженерии
Главный инструмент защиты — собственная чуйка и внимательность. Эмоции человека и их распознавание играют основную роль как для атакующих, так и для защищающихся.
Злоумышленники могут наблюдать за такими эмоциями, как страх, замешательство, облегчение и т. д. Это помогает им улучшить свой подход и сделать сценарий более правдоподобным. А с точки зрения защиты распознавание подобных эмоциональных реакций можно использовать, чтобы научиться делать паузы и критически оценивать подозрительные запросы.
Рассмотрим подробнее, как действуют и чего ожидают мошенники, когда обращаются к тем или иным эмоциям человека.
Страх / тревога
Сценарий: жертва получает сообщение в духе «Ваша учетная запись была взломана. Немедленно сбросьте пароль!».
Эмоциональный триггер жертвы: страх потерять доступ или раскрыть личные данные.
Реакция, которую ожидает мошенник: жертва напугана и переходит по вредоносной ссылке, не проверив ее.
Правильная реакция: в первую очередь, обратите внимание на URL — нет ли в нем опечаток или странных доменов. Например, вместо selectel.ru может быть написано seIecteI.ru (разница между строчной «l» и заглавной «I» в некоторых шрифтах неразличима) или selectel.com. Следом проверьте ссылку антивирусом. Если вы считаете переход безопасным, обратите внимание на сам сайт — нет ли в нем чего-то подозрительного. И еще раз проверьте URL в адресной строке браузера — мошенники могут настроить редирект на фейковый сайт, который имитирует настоящий, но не позаботиться о ссылке.
Любопытство
Сценарий: жертва получает «конфиденциальный и очень важный документ».
Эмоциональный триггер: интерес, вызванный таинственностью или исключительностью.
Реакция, которую ожидает мошенник: жертва открывает вложение, которое устанавливает вредоносное ПО.
Правильная реакция: ко всем вложениям в письмах и сообщениях всегда нужно относиться с подозрением и тщательно их проверять, особенно если это исполняемые файлы, файлы с поддержкой макросов и т. д.
Срочность
Сценарий: жертву призывают как можно скорее совершить действие, например, оплатить покупку или штраф, чтобы избежать повышения цены или начисления пени.
Эмоциональный триггер: необходимость действовать быстро, не тратя время на проверку.
Реакция, которую ожидает мошенник: жертва спешит и отправляет платежные реквизиты на фишинговый сайт.
Правильная реакция: если вам сообщают об обязательном платеже (штраф, налог, задолженность и т. д.), убедитесь, что ранее этот же отправитель уже связывался с вами. В любом случае проверьте ссылку, как описано выше, прежде чем переходить по ней.
Доверие / авторитет
Сценарий: жертва получает сообщение от руководителя о необходимости что-то сделать. Например, срочно перевести деньги на указанный счет.
Эмоциональный триггер: давление власти.
Реакция, которую ожидает мошенник: жертва подчиняется, полагая, что просьба исходит от руководителя, и не подвергает сомнениям ее законность.
Правильная реакция: маловероятно, что руководитель будет использовать для решения важных рабочих вопросов неофициальные каналы коммуникации. Обратитесь к непосредственному руководителю, чтобы проверить информацию. Используйте для этого альтернативный способ связи. Например, если получили сообщение в Telegram, свяжитесь с руководителем по телефону или электронной почте.
Жадность / волнение
Сценарий: жертве сообщают о крупном выигрыше, для получения которого нужно перейти по ссылке.
Эмоциональный триггер: желание получить выгоду без усилий.
Реакция, которую ожидает мошенник: жертва предоставляет конфиденциальную информацию в надежде получить приз.
Правильная реакция: прежде всего помните, что бесплатный сыр бывает только в мышеловке. Если вы не побеждали ни в каких конкурсах, лучше всего игнорировать подобные сообщения.
Чем больше вы знаете кейсов, сценариев, инструментов социальной инженерии, тем ниже вероятность попасться на манипуляции злоумышленников. Можно погрузиться в соответствующую информационную среду, окружив себя различными пабликами, блогами, новостными каналами и т. д. Это поможет оставаться в курсе актуальных техник.
Разумеется, выше описан далеко не исчерпывающий список приемов, которыми пользуются мошенники. Тем не менее в большинстве случаев можно пройтись по короткому чек-листу, чтобы понять, используют ли против вас методы социальной инженерии.
- Проверьте подлинность источника сообщения.
- Не сообщайте информацию прямо сейчас, дайте себе время на размышления.
- Подумайте о том, может ли контакт знать те данные, которые он сообщил вам.
- Оцените, нужны ли контакту данные, которые он просит у вас.
- Попытайтесь оценить правдоподобность сообщаемой информации.
- Спрогнозируйте, что может произойти, если вы сообщите кому-то запрашиваемые данные.
- Проверьте корректность и безопасность ссылок перед переходом по ним.
- После перехода убедитесь, что ссылка в строке браузера не изменилась.
- При звонке с неизвестного номера, о котором не было договоренности, не сообщайте конфиденциальную информацию.
В дополнение к этому не забывайте о базовых правилах информационной безопасности:
- включите двухфакторную аутентификацию (2FA) везде, где это возможно;
- используйте разные сложные пароли для разных аккаунтов;
- чтобы не запутаться и не потерять пароли, используйте парольные менеджеры;
- включите уведомления об успешных входах и попытках входа в ваши аккаунты;
- не устанавливайте флажок «Запомнить меня» при авторизации с чужих устройств;
- при заказе чего-то в интернете используйте виртуальный телефонный номер, чтобы не оставлять свой;
- используйте определители номера — они уведомляют о нежелательных или спам-звонках.
Если все же попались
Главное — не теряйте времени. От скорости ваших действий зависит, насколько серьезными для вас будут последствия. Например, если вы поняли, что сообщили мошеннику реквизиты карты, немедленно обратитесь в банк и заблокируйте ее. Это можно сделать по телефону на обороте карты или через мобильное приложение.
Если вы подозреваете, что к вашему аккаунту в соцсетях получили доступ посторонние, сбросьте пароль и обратитесь в техподдержку. Дополнительно предупредите друзей, знакомых и коллег, что ваш аккаунт взломан.
В любом случае не стоит паниковать или стыдиться того, что вы стали жертвой атаки с использованием социальной инженерии. Это только на руку мошенникам.
Что делать компании
Основная цель информационной безопасности в компании — управление рисками. Чтобы минимизировать их, используются как технические средства защиты, так и повышение осведомленности сотрудников.
Технические средства защиты
Социальная инженерия в первую очередь направлена не на какую-либо систему, а на человека. Цель злоумышленника — заставить сотрудника компании допустить ошибку. Из-за этой особенности такие атаки менее предсказуемы и выстроить полноценную защиту только за счет готовых технических решений не получится. К тому же современные методы социальной инженерии становятся все более изощренными.
Добавим к этому тот факт, что идеальной защиты добиться невозможно. Более того, нет и универсального набора технических средств для всех компаний. Может сложиться впечатление, что обезопасить организацию от социальной инженерии с помощью инструментов ИБ нельзя. Однако это не так.
Есть базовые инструменты, которые должны работать всегда. Например, антивирус, системы мониторинга и предотвращения атак, 2FA, песочницы, спам-фильтры и т. д. Кроме того, безопасность своей инфраструктуры повысят межсетевые экраны, разделение ролей пользователей, защита от DDoS и т. д.
Осведомленность сотрудников
Осведомленность является основным средством защиты от мошенничества с использованием социнженерии. Обучая сотрудников тактике, используемой киберпреступниками, компании могут лучше выявлять и пресекать мошеннические схемы.
В частности, фишинг-тесты помогают оценить и просветить пользователей в области ИБ. Как и пожарные учения, такие мероприятия имитируют реальные возможные ситуации. Далее специалисты по ИБ проводят анализ результатов, по итогам которого награждают самых бдительных и проводят частные беседы с не очень осторожными коллегами.
Повышение прозрачности в работе со службами безопасности предприятия также может сыграть решающую роль в предотвращении подобных мошенничеств. Если электронное письмо выглядит подозрительным, нужно сообщить об этом. При этом сотрудник должен знать, куда и как он может обратиться.
Автор книги «Контролируемый взлом. Библия социальной инженерии» Юрий Другач называет разные уровни, на которых может находиться организация. Эти уровни он описывает с точки зрения зрелости внедрения процессов повышения осведомленности пользователей. Рассмотрим их от самого низкого к самому высокому:
- Отсутствие обучения, учебных атак и каких-либо материалов по ИБ.
- Есть регламенты или другие материалы по ИБ, которые доводятся до сотрудников. Учебные атаки проводятся не системно, не чаще одного-двух раз в год. Иногда проходят вебинары для сотрудников. Новые сотрудники изучают базовые правила ИБ по неадаптированным обучающим материалам (использование слов и терминов, понятных лишь специалистам, слишком большие курсы, отсутствие проверки знаний).
- Некоторые сотрудники регулярно (один-два раза в месяц) тестируются с помощью учебных атак. В течение года проводится несколько других активностей в виде вебинаров, рассылки учебных курсов. Они раскрывают дополнительные аспекты ИБ. Новые сотрудники проходят предварительное обучение.
- Повышение осведомленности касается всех сотрудников, включая топ-менеджеров. Среди рядовых работников выращиваются секьюрити-чемпионы, которые на местах помогают коллегам соблюдать правила ИБ. Задействовано несколько каналов донесения важности информации: онлайн-курсы, обучающие видеоролики, учебные пособия, памятки, очное обучение, тестирования и т. д. Новые сотрудники проходят предварительное обучение правилам ИБ и допускаются к работе только после успешного прохождения теста.
- Разработаны и внедрены метрики повышения осведомленности всей организации, и они достигнуты.
Благодаря этой модели можно определить, на каком уровне находится ваша компания, и решить, какого уровня вы хотите и можете достичь.
Заключение
Социальная инженерия может быть лишь звеном в цепи более сложных махинаций. Например, получив от пользователя данные для авторизации, злоумышленники используют их для атаки уже во внутрикорпоративных системах.
Помните, что человеческий фактор — основная причина утечек данных и других инцидентов ИБ. Не пренебрегайте правилами информационной безопасности и принимайте любые решения взвешенно.
