top of page
Фото автораДжимшер Челидзе

Социальная инженерия в информационной безопасности

Обновлено: 23 нояб. 2023 г.

В статье Информационная безопасность: дорожная карта и модель компетенций мы привели тезис - одно из самых уязвимых мест в информационной безопасности это люди. Например, вы можете выстроить любую абсолютно непробиваемую защиту. Но что толку, если сотруднику позвонят от имени генерального директора с подделанного номера и имитированным голосом, и сотрудник сделает все что ему скажут.

Именно поэтому почти в 50% случаев атака на компанию идет через использование социальной инженерии. Но что такое социальная инженерия? Как она работает и как от нее защититься? Давайте разберемся.

Содержание

Что такое социальная инженерия?

Социальная инженерия – это сбор данных о человеке/организации с последующим психологическим манипулированием человеком. Все ради того, чтобы он совершил те или иные действия. Например, сказал 3 цифры с оборота карты, взял кредит и перевел мошенникам, запустил программу на рабочем компьютере или просто перевел деньги со счета организации на счет мошенников.

Техники

Так какие же техники социальной инженерии существуют?

Претекстинг

С этим методом знакомы практически все - ведение по заранее разработанному сценарию при личном взаимодействии. Например, вам звонят из "службы безопасности банка" и ведут вас по заранее подготовленному сценарию. В итоге вы должны или сделать нужное действие, или раскрыть нужную информацию.

Для таких атак характерна подготовка, когда узнают имя человека, занимаемую должность, рабочие проекты и т.д. Все это необходимо для формирования доверия.

Фишинг

Как правило, фишинг работает через электронную почту. Вам приходит письмо, например, снова из банка. Внутри письма содержится ссылка, по которой надо пройти и оплатить штраф или подтвердить свои данные. Само письмо выглядит весьма правдоподобным благодаря логотипам и своему тону. Далее вы вводите конфиденциальные данные (логины, пароли и т.д.), и они утекают к злоумышленникам.

Троянский конь

Тут работают на любопытстве или желании халявы. В том же электронном письме может содержаться вложение, например, с бесплатной версией популярной программы. Далее человек устанавливает программное обеспечение, в котором зашит вирус. А затем мы получаем либо шифрование файлов, либо баннеры с порнографией на весь кран, либо тихий сбор данных с компьютера и т.п.

Дорожное яблоко

Это вариант троянского коня, только тут работа идет не через электронную почту, а через физический носитель. Человек может идти с парковки к офису и найти брендированную флешку, а дальше все как в схеме с троянским конем: заражение и полный набор развлечений.

Кви про кво

Хакер звонит по случайному номеру в компанию, представляется сотрудником техподдержки и задает вопрос, есть ли какие-либо технические проблемы у жертвы. Если есть (а скорее всего, они есть), начинается, условно говоря, претекстинг: сотрудник делает нужные действия, а злоумышленник устанавливает вредоносное ПО.

Обратная социальная инженерия

Здесь идет работа от обратного – жертву заставляют самой позвонить злоумышленнику и попросить о помощи.

Например:

  • сначала жертве на почту приходит письмо из разряда «если возникли неполадки с компьютером, позвоните по такому-то номеру»;

  • далее создается проблема, когда пропадает интернет;

  • затем жертва сама обращается к злоумышленникам.

Кто и как попадается на социальную инженерию

Вы можете сказать: «Ну что за детский сад? Зачем нам это?». Но мы рекомендуем посмотреть на статистику ниже. Она вещь упрямая.

Социальная инженерия в динамике
Люди все чаще попадаются на уловки мошенников

Наиболее рабочая схема сейчас – фишинг. И с переходом по ссылке, вводом своих учетных данных на поддельном сайте и запуском подозрительного файла все понятно. Но кто вступает в дальнейшую переписку и коммуникацию с хакерами?

Так, по исследованиям Positive Technologies в 88% случаев в переписку вступают обычные сотрудники компании: бухгалтеры, юристы, менеджеры и т. п. При этом 25% из них – руководители отделов. А это уже средний менеджмент. Подробная статистика приведена на графике.

При этом люди, после перехода на фишинговые сайты, начинают вводить разные вариации своих паролей, в том числе от личных аккаунтов, перепроверяя, а не ошиблись ли они. Ведь сайт выдает ошибку, что логин и пароль не подходит. В отдельных случаях это повторялось 30–40 раз!

И огромный прирост эффективности дает создание реального адреса электронной почты, например, фирмы-однодневки.

Также приведем список тем писем, которые вселяют людям наибольшее доверие.

Можно ли сказать, что это люди невнимательны? И да, и нет. Давайте разберем практический пример. Один из наших партнеров пользовался услугами доставки одной большой компании. Но в один момент, когда он ожидал посылку, получил письмо: «Иван Иванович, Ваша посылка пришла! Перейдите по ссылке и выберите удобное время для доставки». То есть злоумышленники получили базу данных с персональными данными и делали адресные рассылки. Смогли бы вы не попасться на такую уловку?

Наше мнение - столь печальная статистика по поведению пользователей связана и с падением внимательности, и с ростом изобретательности злоумышленников. Через социальную инженерию обходится в том числе многофакторная аутентификация (когда мы вводим логин, пароль, а потом еще приходит код в СМС или приложении).

Меры противодействия и рекомендации

1. Обучение

Самый основной способ защиты от социальной инженерии — это обучение. Кто предупреждён – тот вооружён. Также необходимо, чтобы у сотрудников были четкие инструкции и памятки о том, как, на какие темы говорить с собеседником можно, а на какие нет, какую информацию для точной аутентификации собеседника им необходимо у него получить.

Немного подробнее разберем, чему нужно обучать:

Работа с паролями

Необходимо объяснить, что нельзя иметь одинаковые пароли на личных ПК и рабочих. Помимо рисков социальной инженерии, сейчас идут регулярные утечки из баз данных.

Правила поведения с посетителями

Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение. Ведь такой гость может спокойно подбросить флешку с вредоносом.

Правила представления и аутентификации «своих»

В компании должны быть четкие правила того, как вы определяете «свой-чужой», а также что можно сообщать «чужому», а что нет.

Игнорируем и не общаемся с подозрительными собеседниками

Ваш голос могут записать для последующего использования и подмены. Если необходимо – повесьте трубку и перезвоните по официальному номеру технической поддержки. Это важно еще и потому, что злоумышленники умеют подделывать номера.

Работа с почтой

При работе с почтой проверяем отправителей писем и ссылки внутри документов (какая именно там гиперссылка). Не открываем подозрительные вложения и ссылки и не ведемся на «хайповые» темы писем (события, увольнения, премии, письмо не доставлено).

Тут надо понимать, что опасность представляют любые вложения:

  • ZIP- и RAR-архивы – злоумышленники очень любят прятать вредоносные файлы в архивы, и, распаковав архив, вы можете тут же заразить ПК.

  • Документы Microsoft Office – документы Word (.doc, .docx), электронные таблицы Excel (.xls, xlsx, .xlsm), а также презентации могут содержать вредоносные макросы. Майкрософт в последних версиях Office даже убрала эти макросы из-за информационной безопасности.

  • Файлы PDF – формат позволяет создавать и выполнять скрипты JavaScript. А также в документах часто содержатся фишинговые ссылки.

  • Образы дисков ISO и IMG – в виртуальных копиях CD, DVD или других дисков также могут быть зашиты вредоносные программы

Игнорируйте «срочность»

Злоумышленники любят давить на неотложность ситуации и создавать стрессовые ситуации.

Используйте двухфакторную аутентификацию

Обновляйте ПО на личном оборудовании

Соблюдаем цифровую гигиену

Если вы – первое лицо организации или одно из первых, то вас будут мониторить. Да, всегда хочется поделиться победами, и для продвижения компании это необходимо. Но нужен баланс, и лучше избегать публикации внутренней информации и личных событий.

2. Учения

Нужно периодически проводить учения и анализировать результаты, разбираться в причинах, корректировать обучающие программы и материалы

bottom of page