Мысли об информационной безопасности (социальная инженерия ч. 1)
Всем привет.
Как не печально, но самое слабое звено в любой информационной системе или в системе безопасности – это люди. Все мы читали про случаи поджогов государственных предприятий, техники, или выманивание денег, как например прогремевшая новость про Ларису Долину, которая отдала 180 млн. руб. аферистам. Но это только капля в море, за 3 квартал 2024 года мошенники украли у Россиян более 9 млрд руб., сообщает газета Коммерсант.
В статье Мысли об информационной безопасности (Фишинг) я уже размышлял про один из методов социальной инженерии, а сейчас хотел бы рассмотреть что такое социальная инженерия в общем и как ей противодействовать. Но так как тема объемная, то будет несколько частей, сначала разберем что такое социальная инженерия, а в следующей статье - как выявлять и противостоять методам социальной инженерии. Поехали!
Что такое социальная инженерия?
В контексте информационной безопасности социальная инженерия - совокупность методов психологического воздействия и манипулирования людьми. Цель применения методов социальной инженерии — заставить человека выдать конфиденциальную информацию, дать доступ к защищенным ресурсам, перевести деньги на счет злоумышленников или произвести противоправные действия, вплоть до терактов.
Социальная инженерия использует человеческие ошибки, через обман или маскировку, ведя к нарушениям безопасности и компрометации данных, часто без использования технических методов взлома. Главная задача - чтобы человек самостоятельно совершил нужные мошеннику действия: предоставил данные, перешел по нужным ссылкам, перевел деньги.
Почему социальная инженерия работает?
Все мы когда читаем статьи как кто-то кому-то перевел все свои сбережения, а потом чтобы их вернуть пошел поджигать банкоматы видим в этом какую-то сюрреалистичную картину, ведь кто в здравом уме на это пойдет. Но так и работают мошенники использующие методы социальной инженерии. В спокойном режиме наш мозг обдумывает действия и их последствия, но когда его вводят в режим повышенного стресса, то включается первобытный инстинкт «бей или беги». Человек начинает совершать ошибки одну за другой, не контролируя свои действия и их последствиях, а в себя приходит когда уже все свершилось.
Для всего этого используются следующие основные тактики:
1. Маскировка: Злоумышленники выдают себя за организации или персоны которым доверяют. Например, мошеннические сайты, имитирующие государственные сайты или именитые бренды, которым пользователи доверяют и не думая предоставляют конфиденциальную информацию (логины, пароли, номера карт, ответы на секретные вопросы).
2. Эксплуатация низменных эмоций и деструктивных черт: При таких атаках злоумышленники давят на страх, жадность, злость, зависть. Мошенники могут отправлять тревожные сообщения о компрометированном банковском счете или завлекать жертв ложными обещаниями финансовой выгоды (отправь тысячу и получишь миллион, завещание очень дальнего родственника), да и просто халявы и огромных скидок.
3. Охота на доброту или любопытство: Помимо негативных мошенники используют и естественное стремление помочь или любопытство человека. Они пишут от имени друзей или родственников, прося помощи, или завлекая пользователей щелкнуть на вредоносную ссылку (например частый пример дочка брата/свата/друга участвует в конкурсе, перейди по ссылке и проголосуй чтобы помочь победить) или «смотри, какую новость нашел».
Типы атак с использованием социальной инженерии
Основной тип атак с применением методов социальной инженерии является Фишинг и его виды, но его я уже рассматривал, поэтому тут распишу другие возможные атаки:
1. Троянский конь. Атака направлена на любопытство, страх или другие чувства. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится что-то, что может заинтересовать жертву: «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая собирает или изменяет информацию после того, как человек ее запустит.
2. Дорожное яблоко(Бейтинг). Атака направлена на чувства жадности и любопытства. Например, злоумышленник оставляет возле офиса на видном месте флешку с надписью «Конфиденциально» или диск «Зарплатная ведомость руководства». Расчет на то, что кто-то из сотрудников вставит носитель в свой компьютер, заразит его вирусом и тем самым предоставит злоумышленнику доступ во внутреннюю сеть компании.
3. Катание на спине (Тейлгейтинг). Атака направлена на чувства доверчивости и невнимательности. Несанкционированный доступ в закрытые зоны, физически или используя сессию другого лица. Например, на входе в офис поймать случайного работника, сказать, что забыл свой пропуск, и попросить по-братски пропустить его внутрь. Или в метро безбилетники пристраиваются к пассажирам с билетом, чтобы пройти через турникет.
4. Атака с предлогом (Претекстинг). Атака направлена на жадность. Злоумышленники создают вымышленные сценарии, чтобы разогреть потенциальную жертву: например, проводит невинный опрос, а затем выманивают данные карты для получения премии за прохождения опроса Или обманывают жертв, заставляя их поверить, что их устройством что-то не так и нужен логин пароль чтобы это исправить или установить новые обновления.
5. Обратная социальная инженерия. Атака направлена на доверчивость и невнимательность. При данном методе мошенник не мешает, а помогает своей жертве, чтобы вызвать у нее доверие. Например, при поиске работы мошенники могут предложить тестовое задание и даже его оплатить, а потом предлагают начать зарабатывать полноценно — и просят внести на «рабочий счет» в несколько раз больше.
6. Услуга за услугу. Атака направлена на доверчивость. Мошенник предлагает услугу или выгоду в обмен на услугу или информацию, используя желание жертвы получить хорошую сделку или награду. Метод похож на обратную социальную инженерию. Например, мошенник сообщает, что на банковский счет человека совершают атаку, но он, доблестный сотрудник правоохранительных органов, поможет защитить деньги. После неких манипуляций мошенник говорит, что они нашли откуда велась атака, но для доказательной базы и поимки преступников необходимо перевести деньги на определенный счет, чтобы они смогли отследить поток и накрыть с поличным. Деньги, потом обязательно вернут, да и плюс бонус дадут и медаль за помощь органам и работодателю еще сообщат какой герой у них работает. Как вы понимаете после этого сотрудник пропадает с экранов радаров.
7. Пугалка (Страшилка). Атака направлена на чувство страха и использует тактику запугивания, чтобы манипулировать жертвами в установку вредоносной программы или раскрытие конфиденциальной информации. Например, выскакивающий баннер на рабочем столе, с сообщением что устройство заражено кучей вирусов, электронные письма с требованием заплатить за некий компромат, или звонки «от сотрудников», что кто-то прямо сейчас берет кредит на ваше имя.
8. Атака «поилка». Атака направлена на доверчивость и невнимательность. Действия злоумышленника нацеливается на конкретные группы людей путем заражения веб-сайтов, которые они часто посещают, ведя к краже данных или установке вредоносного ПО.
9. Мошеннические звонки. Направлены на доверчивость, и включают использование телефонных звонков (включая автообзвоны) для обмана жертв, часто выдавая себя за легитимные организации или авторитеты.
10. Спуфинг. Атака направлена на доверчивость и невнимательность. Метод, когда злоумышленник каким-то образом маскирует себя или свои действия под что-то, чему пользователь доверяет. Например, он может изучить соцсети жертвы, подделать профиль друга или родственника, а потом написать от его имени и попросить взаймы.
11. Подглядывание из-за плеча. Метод направлен на невнимательность. Метод полностью оправдывает свое название. Мошенники могут подсмотреть пин-код от карты в банкомате, код от подъезда или от офиса, услышать конфиденциальную информацию или увидеть бумажку с логином и паролем.
12. FakeBoss (CEO fraud). Атака направлена на доверчивость и невнимательность. В ней злоумышленник маскируется под руководителя компании. Эффективность приема заключается в том, что на сотрудника оказывается дополнительное давление, когда ему пишут от имени начальника или директора. Злоумышленник может вообще не спрашивать никакой конфиденциальной информации, а «прощупать» коллектив на на наличие доверчивых сотрудников или «перенаправить» жертву на «доверенное» лицо, которое уже под видом сотрудника безопасности или правоохранительных органов получит информацию или деньги жертвы.
Конечно это не полный список атак и методов используемых злоумышленниками, но охватывает большинство вариантов применения социальной инженерии.
Надеюсь теперь стало чуть-чуть понятнее данная тема, а завтра обсудим как выявить что на вас применяют методы социальной инженерии и как им противостоять.
P.S. Пока писал статью пришла новая новость...
Делитесь с друзьями если вам интересен контент и подписывайтесь на все мои ресурсы:
Если у вас есть мысли, факты, истории, которыми вы хотели бы поделиться, присылайте на почту: stariithinks@gmail.com или stariithinks@yandex.ru