Троянский конь социальной инженерии
Назвать точную дату появления того, что с легкой руки Кевина Митника стали называть «социальной инженерией», довольно сложно – единой точки отсчета нет. Может быть, социальная инженерия существовала со времен Древней Греции (вспомним, например, легенду о троянском коне), а может, возникла лишь несколько десятилетий назад. Однако особую популярность этот вид мошенничества приобрел именно сейчас.
Уровень качества систем, обеспечивающих информационную безопасность, растет из года в год. Мошенникам все сложнее обходить или взламывать защиту инфраструктуры и сервисов, на это требуется много времени, да и обходятся такие атаки достаточно дорого. Злоумышленникам гораздо проще использовать человеческий фактор – как известно, самое слабое звено любой системы.
Так же обстоят дела и в области дистанционного банковского обслуживания. Банковские антифродовые системы достаточно эффективно препятствуют проведению мошеннических платежей, поскольку многие банки могут полностью отслеживать поведенческие модели юридических и физических лиц в каналах дистанционного обслуживания – каковы назначение платежа, стандартная сумма, время суток и место проведения операции, устройство, с которого она совершается, даже скорость и принцип заполнения платежных форм. Соответственно, злоумышленники ищут иные способы атак на банки и их клиентов, и они нередко используют для проведения мошеннических операций методы социальной инженерии. Среди факторов, способствующих успешной атаке, – доверчивость потенциальной жертвы, терпение и настойчивость злоумышленника. Последние рассуждают так: «Если сейчас не получится, это не беда – со временем кто-нибудь наверняка попадется».
Для атак используются самые разные методы социальной инженерии. О некоторых из них мы расскажем на примерах реальных историй.
Проведите тестовую платежку!
Специалисту банка, отвечающему за финансовые проводки в автоматизированной банковской системе, поступил звонок со скрытого номера. Человек на другом конце провода обратился к этому специалисту по имени-отчеству, чем сразу вызвал его доверие. Он представился сотрудником ИТ-отдела банка и сообщил, что в рамках тестирования новой версии АБС-системы специалисту необходимо утвердить и отправить на исполнение несколько сформированных платежных документов. Продолжая забалтывать специалиста, злоумышленник убеждал его, что тестовые платежки впоследствии будут обязательно удалены из системы. Специалист, полностью уверенный в том, что разговаривал с банковским ИТ-шником, провел требуемые платежные операции. В результате деньги ушли из банка. А при дальнейшем расследовании инцидента, естественно, выяснилось, что каких-либо тестирований ИТ-отдел не проводил.
Подтвердите операцию секретным кодом!
На мобильный номер человека, разместившего в Интернете объявление о продаже товара, поступил звонок. Потенциальный покупатель задал пару-тройку вопросов о товаре и сообщил, что его все устраивает, товар полностью ему подходит, и он готов тотчас его приобрести. Якобы, с целью бронирования товара, он предложил перевести авансовый платеж на банковскую карту продавца, для чего попросил выслать номер этой карты. Продавец отослал sms-сообщение с номером своей карты на мобильный номер покупателя. Затем продавцу пришло ответное sms-сообщение с одноразовым кодом-паролем для подтверждения операции. Потенциальный покупатель сразу перезвонил ему и завел разговор, основной целью которого было получение этого кода.
Отметим, сложность таких диалогов и их результаты напрямую зависят от бдительности продавца. Иногда он сразу сообщает код, а порой задает уточняющие вопросы: «А зачем вам нужен секретный код? Я не должен его никому сообщать, это правило банка. Для перевода денежных средств мне на карту он абсолютно не нужен!». Тогда в ход идут такие аргументы псевдо-покупателя: «Это – вовсе не ваш секретный код, а мой! Для подтверждения правильности перевода мой банк отправил вам sms-сообщение с кодом, который вы должны сообщить мне. Я перевожу деньги со своего счета как юридическое лицо, а для предпринимателей действуют именно такие правила. Неужели вы об этом не знали?». Расчет идет на то, что далеко не каждый человек знает такие правила, но не хочет выставлять себя невеждой, поэтому поверит в «байку» и сообщит злоумышленнику требуемый код.
Одной из задач подобных «социальных» атак является введение человека в состояние, подобное трансу, или, наоборот, выведение его из равновесия. Затем происходят те или иные мошеннические действия. Если продавец отправил не только номер банковской карты, но и все ее реквизиты, то после получения мошенником одноразового секретного кода подтверждения он сразу же переводит деньги с карты продавца. В других случаях злоумышленник получает доступ в Интернет-банк продавца посредством сброса пароля или заводит новый аккаунт, а потом деньги выводятся уже из Интернет-банкинга. В зависимости от разновидности атаки (модификаций может быть множество) просьба к продавцу сообщить одноразовый код, высланный на его мобильный номер, повторяется до нескольких раз.
У нас – обновление!
Главному бухгалтеру компании, использующей систему дистанционного банковского обслуживания, поступил звонок. Как и в первой истории, звонящий представился сотрудником ИТ-отдела банка, система дистанционного обслуживания которого применяется в этой компании. Он сообщил, что на электронный адрес бухгалтера сейчас придет письмо с вложением, являющимся обновлением системы «Клиент-банк». Его надо запустить, потом вставить «флешечку-токен» с электронной подписью в компьютер, а далее не пользоваться им определенное время, пока будут происходить обновления. В процессе обновления системы ДБО компьютер перезагрузится, а затем появится синий экран – это штатный режим работы, беспокоиться не о чем. Главный бухгалтер покивал головой и пунктуально выполнил все инструкции. В результате деньги не только ушли со счета компании, но и за то время, которое, якобы, требовалось для обновления системы, «распылились» по разным банкам и были сняты со счетов.
Паранойю надо подогревать!
Подводя итоги, крайне важно отметить, что со всеми пользователями (будь то сотрудники, клиенты или подрядчики) требуется постоянно работать. Причем, как показывает практика, стандартного доведения до них правил информационной безопасности явно недостаточно. Скорее, необходимо давать им четкие инструкции, в которых прописаны правила реагирования на тривиальные и не очень обычные кейсы и запросы.
Инструкции должны быть, например, такими: «Если вам позвонил человек, который представился сотрудником ИТ-отдела и хочет добиться от вас каких-либо действий, то вы сначала должны убедиться, что такой сотрудник действительно существует. Затем нужно позвонить для подтверждения затребованных действий его непосредственному руководителю на номер (желательно мобильный), указанный в телефонном справочнике, и т.д.».
Помимо проведения инструктажей и разработки правил следует поддерживать необходимый уровень бдительности сотрудников к приемам социальной инженерии. Как это лучше всего сделать? В последнее время во многих компаниях становится популярным проведение так называемых «социальных» пен-тестов – тестирований на проникновение. В отличие от тестирования инфраструктуры, в данном случае речь идет о тестировании людей: осуществляется рассылка писем, в которых получателей просят перейти по ссылке или открыть какой-либо файл, организуются звонки с уговорами и требованиями под разными предлогами провести ту или иную операцию в информационной системе, и так далее.
Бдительность и даже, можно сказать, определенную степень паранойи надо подогревать! Иначе самое слабое звено так и останется таковым.
SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)
SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.
Торговая площадка SEBLOG — Только проверенные временем товары и услуги.