About Teletype
Join
SEBLOG CHANNEL
@aboutse
April 11, 2019

Фишинг и социальная инженерия: ловушки для бизнеса и как их обойти

Может ли психология сочетаться с киберугрозами? Может, если трюки и приемы из науки о мышлении и поведении используют хакеры, чтобы завлечь ничего не подозревающих пользователей в свои сети

Этот способ обмана называется "социальной инженерией": используя знания о том, как люди себя ведут, злоумышленник добивается того, чтобы цель атаки делала то, что ему нужно, совершенно добровольно. Естественно, рост популярности этого явления повышает риски не только для обычных юзеров, но и для бизнеса.

Использование хакерами социальной инженерии, как правило, включает в себя элементы психологической манипуляции. Грубо говоря, пользователей просто ловко дурачат, и те беспечно открывают киберпреступникам доступ к конфиденциальной или важной информации. Зачастую речь идет об электронных письмах — в них злоумышленники играют на чувстве тревоги и страхах, разыгрывая драму с некой срочной потребностью. В итоге жертва, теряющая на фоне эмоций рациональные опасения, кликает по вредоносной ссылке или открывает содержащий вредителя файл. "Фишка" социальной инженерии в том, что она играет на чувствах, а не уязвимостях цифровых систем, из-за чего предприятиям и их IT-службам часто сложно ей противостоять.

есмотря на кажущуюся простоту и невинность такого обмана, именно социнженерию считают одной из наибольших угроз для крупных цифровых систем. Известный мировой производитель решений по обеспечению информационной безопасности компания Proofpoint в своем исследовании Human Factor 2016 называет ее "направлением инфицирования номер один". "Практически четыре из пяти успешных атак на банки за последние три года начались именно с применения методов социальной инженерии. В одном из последних отчетов телеком-гиганта Verizon отмечается, что каждый четвертый сотрудник открывает письма, в которых используется технология социальной инженерии", — говорит IT-предприниматель Александр Кардаков.

Поймать на крючок

Знакомый большинству термин из области социальной инженерии — так называемый "фишинг", от английского "ловля рыбы". Как рыбак выуживает из воды карася, так и хакер вытягивает из пользователя необходимые ему данные. По данным Data Insider, около 91% утечек данных в сети начинается именно с фишинга.

Как правило, для этого используются электронные письма, вводящие пользователей в заблуждение и подталкивающие их выполнить нужную киберпреступнику операцию. Например, кликнуть по ссылке, сообщить номер карты или пароль по телефону. К примеру, речь может идти о якобы вызове в суд, уведомлении из налоговой или безобидном акте выполненных работ.

Хакер для этого "забрасывает невод", распространяя "фишинговую" наживку среди пользователей компании. Например, на сайте фирмы находит пример электронных адресов сотрудников. После создает и регистрирует сайт, визуально похожий на настоящий, условно gooogle.com. На этом фишинговом сайте злоумышленник размещает фиктивную почту с интерфейсом корпоративной. "После хакеры рассылают по адресам сотрудников компании письмо с просьбой "проверить новую почтовую систему". Самое интересное, что во многих случаях пользователи активно содействуют злоумышленникам, думая, что они общаются с поддержкой. Один или несколько сотрудников как правило достаточно беспечны — и вводят свой логин/пароль на обманном сайте. Так злоумышленник получает доступ к системе. Более того, от имени "почтовой службы" хакер может попросить "установить патчи" — якобы обновления программы, под которыми скрывается вредоносный код", — рассказывает архитектор систем информационной безопасности компании "ИТ-Интегратор" Алексей Швачка

Вам может показаться, что достаточно попросить коллег быть более внимательными — и фишинг не пройдет. Но это совершенно не так. "Статистика показывает, что даже для компаний, где проводится обучение основам информационной безопасности, эффективность примитивного массового фишинга, хотя бы немного адаптированного под организацию, составляет колоссальные 5–7%", — поясняет Алексей Швачка.

А ведь киберпреступники могут быть и гораздо хитрее, а также изобретательнее. Есть более сложный вид фишинга — целевой или таргетированный. "В этом случае в качестве объекта атаки выбирают вполне конкретного человека. Как правило, того, которому по долгу службы приходится работать с письмами от неизвестных внешних отправителей. Это может быть, например, главный бухгалтер, менеджер по закупкам или кадровик. Службы по цифровой безопасности должны быть постоянно начеку и понимать, что компьютеры таких людей всегда находятся в зоне особого риска", — считает Александр Кардаков.

Отчет Федерального бюро расследований США, опубликованный в мае 2017 года, говорит, что американский бизнес ежегодно теряет от фишинговых схем полмиллиарда долларов.

Ловкость рук и манипуляций

Но зловещий потенциал социальной инженерии не исчерпывается фишингом. Использование человеческих слабостей для получения доступа к цифровым секретам компании организовывают и с помощью хитрых схем, которые могут напоминать фильмы наподобие "11 друзей Оушена".

Один из главных трюков — "вести себя, словно ты свой". "Люди вообще восприимчивы к обману. Самый простой способ взлома — использовать человеческие слабости", —говорит предприниматель в сфере цифровой безопасности, партнер в фирме BPM Дэвид Трэпп. "Небольшой процент любого коллектива всегда окажется потенциальной жертвой взлома через социальную инженерию", — добавляет он.

Вот лишь несколько типичных сценариев.

Например, "Прием на работу". Его используют обычно против компаний крупного бизнеса, в которых есть большой штат и/или высокая текучесть кадров, например, call-центров оператора связи или банков. Соискатель приходит на собеседование, "случайно забыв" резюме. Сразу вспоминает, что оно у него на флешке. Документ печатается с флешки, а компьютер, с которого идет печать, в это время заражается. Потом карту памяти (и несколько других, инфицированных так же) в офисе или в курилке "случайно" теряют. Эксперименты показывают почти 100% результативности.

Иногда используется сценарий "Вы получили подарок!". "Он часто используется в небольших компаниях. Сотрудников немного, поэтому хакеры действуют адресно. Злоумышленникам помогают соцсети. В одном из тестов объектом атаки выбрали молодую незамужнюю девушку. В рабочее время ей в офис "от неизвестного поклонника" доставили красивый букет и подарочную коробочку с флешкой. Само собой, рабочий компьютер был успешно заражен.

Как защититься от трюков социальной инженерии

Никогда не открывайте вложения от сторонних людей, напоминает в свою очередь Трэпп. Скачивайте их только от сотрудников, с которыми предварительно обсуждалась пересылка файла. Если есть сомнения, лучше проверить, скачав файл на личный телефон, советует он, а на подозрительные линки стоит навести мышку и посмотреть, на какой URL они ведут.

Работодателям необходимо регулярно проводить для коллектива ликбез в сфере информационной безопасности. Даже самые современные способы информационной защиты могут быть обойдены, если люди пользуются ими беспечно. Кроме того, ІТ-специалисты должны помнить, что многие люди неосведомлены в тонкостях пользования цифровыми сетями. А хорошая программа обучения пользователей может помочь компании сберечь миллионы.

"Осведомлён – значит вооружён. Именно осведомленность играет ведущую роль в компенсации таких сторон человеческой натуры, как неосторожность и беззаботность", – подчеркивает Швачка.

В интернете киберслужбы ведущих государств регулярно отслеживают фишинговые сайты. Однако такие площадки живут очень недолго — по информации Webroot, около 4-8 часов — что делает их обнаружение и блокировку крайне сложной. Кроме того, эти ресурсы обычно созданы так, чтобы избегать антифишингового сканирования. "Сегодня фишинг очень изощрен, хакеры маскируют вредные ссылки, пользуясь знанием психологии и информации от "разведки" компаний — и в итоге на них кликают", — поясняет CTO Webroot Хэл Лоунэс.

Поэтому главная защита от социальной инженерии и фишинга — это знания и постоянное их обновление. Они могут значительно уменьшить риски. Причем речь идет о всех уровнях иерархии — от глав компаний до рядовых сотрудников. Базовый "тренинг" должен привлечь внимание людей к вопросам безопасности и донести всю серьезность угроз до коллектива. ІТ-отделы также должны регулярно освежать знания коллег о нынешних рисках и методах защиты. Работа по повышению грамотности в киберсфере должна идти постоянно.

Памятка для пользователя

Вот лишь несколько полезных советов для пользователей, которые помогут предотвратить хитрое нападение.

  • Не используйте слишком простые пароли (имя, фамилия, даты рождения и прочее).
  • Не храните пароли в текстовом файле на рабочем столе.
  • Никогда не ставьте одинаковые пароли на все сайты, сервисы и тому подобное.
  • Перед авторизацией на сайте смотрите на адрес в строке браузера. Это самая

распространенная ошибка всех пользователей: адрес может различаться в одной букве, и предназначаться для похищения ваших данных. Именно так часто и "угоняют" пароли от аккаунтов в социальных сетях. Часто "подделывают" ссылки на Google и Dropbox.

  • Если к вам на почту или в какой-то мессенджер (или даже в смс) пришло сообщение от неизвестного отправителя, лучше не открывайте его, так как там могут быть вредоносные вложения, переадресация на фишинговый или зараженный сайт.
  • Немедленно прекращайте разговор с позвонившим "сотрудником банка" ("страховым агентом", "представителем благотворительного фонда" и других) если они начинают "уточнять" данные ваших банковских карт или другую важную информацию.

Эти советы, само собой, неисчерпывающие. Тем не менее, знание даже таких простых правил может помочь обезопасить себя от большинства популярных мошеннических схем.

SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)

SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.

Торговая площадка SEBLOG — Только проверенные временем товары и услуги.

SEBLOG CHANNEL
April 11, 2019, 08:27
0 reactions
0 views