BIS Journal №1(36)/2020

21 апреля, 2020

Самая большая проблема

Социальная инженерия – одна из тех технологий, которые со временем перешли на «тёмную сторону». Порох, изобретенный китайскими учеными с целью создания эликсира бессмертия, стал использоваться для метания ядер и пуль. Динамит изначально помогал горнякам в разработке месторождений и прокладывании транспортных туннелей, однако сегодня чаще применяется в военных действиях. То же произошло и с социальной инженерией – долгое время она находилась в арсенале спецслужб, но в настоящее время этот термин ассоциируется в первую очередь со «взломом человека» хакерами.

 

ОСНОВНАЯ ОЗАБОЧЕННОСТЬ БАНКОВ

Понятие «социальная инженерия» используется для обозначения широкого спектра злонамеренных действий, совершенных посредством взаимодействия преступника и жертвы. В основе этого метода – психологические манипуляции, заставляющие пользователей пренебрегать правилами безопасности и разглашать конфиденциальную информацию. По различным оценкам, от 30% до 70% всех действий мошенников связаны с социальной инженерией.

Социальная инженерия особенно опасна потому, что основана на человеческих ошибках, а не на уязвимостях в ПО и ОС. Это подтверждают и слова первого заместителя директора департамента информационной безопасности Банка России Артема Сычева: «Наша основная озабоченность сегодня – не технические атаки и вредоносное ПО. Нам понятно, как с этим бороться. Есть технические методы и методы через изменение законодательства. Самая большая проблема – социальная инженерия».

 

ТИПЫ АТАК

Технология охватывает широкий спектр вредоносных действий, основными из которых являются следующие типы атак.

Приманка (Baiting). Преступники используют ложное обещание, чтобы разжечь жадность или любопытство жертвы. Они заманивают пользователей в ловушку и крадут их личную информацию или наносят вред их системам. Например, злоумышленники оставляют приманку (зараженную вредоносными программами флешку) в заметных местах, где их обязательно увидят потенциальные жертвы (например, лифты, автостоянки компании, комнаты ожидания). Люди берут флешку из любопытства, вставляют ее в рабочий или домашний компьютер, что приводит к автоматической установке вредоносных программ в системе. Онлайновые формы приманки часто имеют форму рекламы, которая ведет на вредоносные сайты или побуждает пользователей загружать зараженное вредоносным ПО приложение.

Scareware. Этот тип атак включает в себя «бомбардировки» жертв ложными тревогами и фиктивными угрозами. Пользователей вводят в заблуждение, сообщая, что их система заражена вредоносным ПО. Это побуждает клиентов устанавливать программное обеспечение, которое не приносит реальной пользы (кроме как для злоумышленника) или представляет собой само вредоносное ПО. Распространенным примером такой программы являются легально выглядящие всплывающие баннеры, которые появляются в браузере во время просмотра веб-страниц с текстом о заражении компьютера. Пользователю предлагается установить инструменты ПО, которое заражено вредоносной программой, или направляет на вредоносный сайт. Scareware также распространяется через спам, который выдает ложные предупреждения или предлагает пользователям купить бесполезные или вредные услуги.

Услуга за услугу (Quid pro quo). Злоумышленник часто притворяется сотрудником службы поддержки организации, в которой работает жертва или продукты которой использует. Стандартный сценарий предполагает, что преступник звонит в компанию по корпоративному номеру и сообщает о технических проблемах в работе системы. В процессе устранения неполадок злоумышленник вынуждает сотрудника совершать действия, позволяющие хакеру запускать команды или устанавливать нужно ему программное обеспечение на компьютере жертвы.

Предлог (Pretexting). Этот метод похож на quid pro quo. Единственное исключение состоит в том, что преступник обычно устанавливает доверия со своей жертвой, выдавая себя за известного жертве человека – коллега, авторитетная фигура в организации, сотрудник полиции, банка, налоговых органов или других лиц, которые могут знать конфиденциальную информацию. Преступник задает вопросы, которые якобы необходимы для подтверждения личности жертвы, посредством чего собирает важные личные данные.

Фишинг (Phishing). Один из самых популярных типов атак социальной инженерии. Главное отличие – использование скомпрометированной учетной записи электронной почты. 91% всех успешных атак начинаются как фишинговые письма.

Согласно отчету Proofpoint, в 2018 году 83% специалистов по ИБ подвергались фишинговым атакам, что на 76% больше, чем в 2017 году. Центр жалоб на интернет-преступления ФБР сообщает, что компрометация деловой электронной почты (Business Email Compromise, BEC) привела к убыткам в размере более 1,2 миллиарда долларов только в 2018 году.

На почту отправляется текстовое сообщение, вызывающее у жертв чувство срочности, любопытства или страха. Данное письмо подталкивает их к раскрытию конфиденциальной информации, переходу по ссылкам на вредоносные веб-сайты или открытию вложений, содержащих вредоносные программы.

Примером может служить электронное письмо с предупреждением о нарушении политики безопасности и требованием немедленных действий со стороны сотрудника, например, изменение пароля. Письмо содержит ссылку на незаконный веб-сайт - по внешнему виду почти идентичный «правильной» версии сайта. Ничего не подозревающий пользователь вводит свои текущие учетные данные и новый пароль. После заполнения формы информация отправляется злоумышленнику.

Целевой фишинг (Spear phishing). Это более целенаправленная версия фишинг-атаки, при которой злоумышленник выбирает конкретных людей или предприятия. Если целью является высокопоставленный руководитель, эту атаку часто называют «китобойным промыслом».

Хакеры обычно разбиваются на отдельных пользователей, например, администраторов. Затем они настраивают свои сообщения на основе характеристик, рабочих мест и контактов, принадлежащих их жертвам, чтобы сделать атаку менее заметной.

Используя высоко персонализированные электронные письма или сообщения в социальных сетях, хакеры получают их идентификаторы и пароли, которые обычно имеют высокий уровень доступа к конфиденциальной информации. Поддельный фишинг требует гораздо больших усилий со стороны злоумышленника и может занять несколько недель или месяцев. Их гораздо сложнее обнаружить, поэтому они имеют более высокие показатели успеха.

Так, например, жертвой такой атаки стали администрация округа Кабаррус (Северная Каролина, США), которой пришло оповещение о том, что реквизиты строительного подрядчика якобы изменились. Как итог – платеж на сумму 2,5 млн долл. администрация перевела киберпреступникам. Аналогичная атака была организована на компанию Toyota Boshoku Corporation, которая потеряла 37,5 млн долл. США. По данным Центра жалоб на киберпреступления ФБР (Internet Crime Complaint Center, IC3), в мире убытки от BEC-мошенничества за последние 3 года составили более 26 млрд долл.

Вишинг (Vishing). Этот метод аналогичен фишингу, за исключением того, что способ атаки осуществляется через поддельную копию IVR-системы (Interactive Voice Response) компании. Обычно речь идет о мошенниках, звонящих клиентам по телефону под предлогом, что что-то плохое уже произошло. Преступники используют сложные поведенческие сценарии, направленные установление доверительных отношений с жертвой. В такой ситуации клиенты охотно раскрывают конфиденциальную информацию (PIN-коды, пароли). При вишинге мошенники часто апеллируют к человеческим страхам.

Задняя дверь (Tailgating), метод также известен как «контрейлерная передача». Злоумышленник получает несанкционированный физический доступ к защищенной области в организации, следуя за человеком, который получает доступ посредством надлежащей проверки. Здесь могут использоваться различные приемы: от клонирования бейджей до бесплатных подарков со встроенными беспроводными приемниками, которые могут прослушивать беспроводной трафик Bluetooth.

 

ЧТО МОЖЕТ ПОМОЧЬ?

Вследствие применяемой персонализации и интеллекта несанкционированный доступ с помощью инструментов социальной инженерии трудно предотвратить привычными методами ИБ. Вот некоторые меры, которые могут помочь:

  • основные средства защиты, такие как спам-ловушки, которые идентифицируют спамеров для упреждающей блокировки электронных писем от них, «песочницы» электронной почты для проверки достоверности каждой нажатой ссылки и мониторинга сети на наличие необычных всплесков трафика;
  • многофакторная аутентификация (MFA) является одним из наиболее эффективных способов блокировать такие атаки, поскольку она не ограничивает аутентификацию приложения только паролем, а объединяет ее с токеном и/или другими формами идентификации. Поскольку схемы социальной инженерии в первую очередь нацелены на учетные данные пользователя, MFA блокирует их. Многофакторная аутентификация не способна обеспечить 100-процентную защиту. Однако преступники чаще предпочитают не иметь дело с MFAи выбирают более доступные цели;
  • обучение сотрудников также может оказаться мощным способом предотвращения атак. Необходимо регулярно проводить тренинги по кибербезопасности и симуляции фишинга, отправлять по электронной почте оповещения и информационные бюллетени, чтобы сотрудники знали о последних схемах социальной инженерии и типах вредоносных программ.

 

ОДНАКО…

Однако опрос, проведенный Spanning в США, показал, что 64% опрошенных сотрудников не определили подозрительные ссылки. Почти 55% признались, что нажимали на ссылки, которые они не распознавали, а 49% загрузили веб-расширение на свое рабочее устройство. Если добавить к этому настойчивость хакеров и изобретательность социальных инженеров, лучшая защита организации – быть готовым к худшему.

Иногда внутренние бизнес-процессы организации оказывают «медвежью услугу» в борьбе с атаками. Например, эффективность работы сотрудников справочных служб часто оценивают по скорости решения проблем. Это приводит к тому, что специалисты вынуждены слишком быстро реагировать на запросы, не проверяя их на безопасность.

 

ДО И ПОСЛЕ АТАКИ

Также каждая компания должна иметь план восстановления работоспособности после успешной атаки. Методы, которые могут оказаться полезными, – планирование непрерывности бизнеса и аварийного восстановления. Последний метод предусматривает наличие превентивных мер в организации (резервное копирование данных в облаке, детективные меры).

Планирование непрерывности бизнеса относится к более комплексному процессу, который включает аварийное восстановление, оценку всех рабочих процессов бизнеса, установку приемлемых Целей времени восстановления (RTO) и Точек восстановления (RPO) для различных функций.

Смотрите также