Соціальна інженерія — це метод маніпуляції, який застосовують, щоб одержати бажану конфіденційну інформацію. В основі процесу лежать різноманітні психологічні техніки та підходи за допомогою яких зловмисники впливають на дії людей. Застосування методу та його наслідки є одними з найбільш руйнівних не лише для інформаційних мереж, а й для бізнесу. Детальніше про це, а також про види психологічних маніпуляцій та способи захисту від кіберзагроз розповідає Богдан Пасюк, Security Engineer у Genesis.
Ось про що йтиметься у матеріалі:
Як працює соціальна інженерія
Попри впроваджені найпотужніші системи кіберзахисту, ризик того, що зловмисники одержать доступ до конфіденційної інформації, все одно існує. Вся справа — у людському факторі. Часто шахраї навіть не намагаються скористатися системними вразливостями — їхні дії націлені на людей, їхні слабкості, емоції, розгубленість та неуважність. У цьому й полягає суть соціальної інженерії: маніпулюючи особливостями людської психіки, хакери одержують бажану інформацію.
Перші соціальні інженери з’явилися разом з першими комп'ютерами. Тоді, у 60-70 роках XX століття, можливості хакерів обмежувалися лише психологічними маневрами. Першою формою соціальної інженерії був фішинг, коли шахраї розсилали користувачам електронні листи, аби змусити їх розкрити паролі для входу чи іншу особисту інформацію.
Йшли роки, Інтернет розвивався, а разом із ним еволюціонували й стратегії зловмисників. У 80-90 роках з’явилися перші «Троянські коні» (Trojan) та кейлогери (Keylogger) — шкідливі програми, які давали хакерам змогу автоматизувати свої атаки та ефективніше збирати дані. Ці інновації дали зловмисникам змогу атакувати не лише окремих людей, а й цілі організації.
Нині соціальна інженерія є однією з найбільш поширених і прихованих небезпек у сфері кібербезпеки. Розповсюдження інтернету, поширення смартфонів та збільшення кількості особистих даних дали змогу зловмисникам знайти нові платформи та способи для своїх атак.
Види соціальної інженерії
Розглянемо кілька типів соціальної інженерії більш ґрунтовно.
Email фішинг (англ. phishing) — найбільш популярний і дієвий метод. Зловмисники надсилають електронні листи, що, на перший погляд, здаються легітимними (тобто такими, які дійсно спрямовують користувачів на надійний вебсайт або онлайн-ресурс), однак фактично змушують одержувача поділитися конфіденційною інформацією. Повідомлення може містити посилання на фейкові вебсторінки або сервіси, максимально точно скопійовані з оригіналу. Фішинг часто має масовий характер.
Один з різновидів шахрайства — цільовий фішинг (англ. spear phishing). Він спрямований на конкретних осіб або організації. У цьому випадку зловмисники враховують професійну сферу або інтереси своєї «цільової аудиторії», що дає змогу ефективніше нею маніпулювати.
Смішинг (англ. smishing) — тип фішингової атаки, завдяки якому зловмисники можуть одержати конфіденційну інформацію, змусивши її перейти за нелегітимним посиланням в SMS-повідомленні. Ось приклад подібного повідомлення:
Бейтинг (англ. baiting) — це метод соціальної інженерії, коли шахраї використовують так звані маніпулятивні «повідомлення-приманки» (акції, виграші в лотерею, знижки на товари чи послуги). Вони змушують людину виконати певні дії — і допомагають зловмиснику одержати інформацію. Прикладом цієї техніки може бути повідомлення:
Тейлгетинг (англ. tailgating) — це ситуація, коли зловмисник потрапляє на територію приміщення з обмеженим доступом, прямуючи за співробітником, який цей доступ має. Шахраї можуть впевнено маскуватися під працівників компанії, заходити за людьми, які переносять вантажі тощо. Зазвичай люди намагаються уникати конфліктів, коли йдеться про перевірку пропускних документів чи посвідчень, тож навіть якщо у когось виникнуть підозри, шанс того, що зловмисника пропустять без зайвих слів, досить високий.
Quid pro Quo (лат. щось за щось) — створення ілюзії загрози або термінової потреби в чомусь для маніпулювання людиною. Ось приклад повідомлень з цією технікою:
Загублені речі — звичайні на вигляд цифрові пристрої, як-от мобільні телефони, флешки, ноутбуки, плеєри, фотокамери або планшети. Вони можуть містити у постійній памʼяті зловмисне програмне забезпечення, яке автоматично запускається після під’єднання до USB-порту.
Так, люди часто під’єднують знайдену флешкарту до свого компʼютера чи ноутбука, аби зрозуміти, чия вона, і що там є. Здавалося б, що поганого може статися? Як мінімум, ваш ПК може стати частиною бот-системи й братиме участь у несанкціонованих атаках на інші організації або компанію, де ви працюєте.
До того ж злоякісне ПЗ на кшталт Stealer може викрасти критично важливі авторизаційні дані для доступу до корпоративних сервісів, а інше зловмисне програмне забезпечення, malware, може «заразити» ваш комп'ютер. Така програма буде очікувати свого часу, щоб у певний момент завдати максимальної шкоди техніці та мережевій інфраструктурі, до якої ви маєте доступ. Наприклад, незворотньо зашифрувати усі файли на серверах та ПК співробітників, які незахищено підключені до SMB-сервера або до іншого загальнодоступного ресурсу.
Shoulder surfing — це метод «підглядання через плече». Зловмисник підглядає за діями жертви та запамʼятовує введену нею інформацію, наприклад, дані авторизації в банківському застосунку або PIN-код.
Роль фішингу в кіберзагрозах
Ми всі часто одержуємо електронні листи — від колег, клієнтів, партнерів тощо. Знаючи, що паралельно з купою інших завдань ви маєте відповідати на імейли, зловмисник використає це проти вас. Наприклад, надішле фішингове повідомлення в момент вашого пікового завантаження.
Ось зразок подібного повідомлення. На перший погляд, воно абсолютно звичайне, однак придивіться до адреси відправника — вона зовсім не схожа на реальну:
Звісно, перевіряти коректність даних у кожному електронному листі — це неефективне використання часу. Зазвичай людина фокусується на тому, щоб якнайскоріше обробити лист, а не на тому, щоб вчитатися в адресу відправника чи впевнитися у легітимності всіх вкладених посилань. Утім, є ризик що незвичні посилання будуть перенаправляти вас на фішингову сторінку. Ось приклад такої сторінки вебзастосунка одного з банків:
На перший погляд, нічого незвичного. Однак, якщо уважніше придивитися до адресного рядка, то ми помітимо суттєві відмінності з оригінальним посиланням на сторінку авторизації. Такі відмінності або ж повільну роботу (відповідь) сервісу часто сприймають, як проблему з боку серверів. Цим користуються зловмисники — і без перешкод одержують дані з полів вводу після того, як автоматизована фішингова сторінка перенаправляє користувача на офіційну сторінку авторизації оригінального сайту.
Серед усіх видів соціальної інженерії, фішинг залишається найпоширенішою формою кіберзлочинності. Про масштаби цієї загрози свідчить статистика: за різними оцінками, зловмисники щодня надсилають 3,4 млрд шкідливих електронних листів, а Google блокує близько 100 млн фішингових імейлів. Згідно зі даними Cisco Umbrella, 46% всіх атак на організації — це фішингові атаки, і 96% з них націлені саме на корпоративні електронні адреси:
Враховуючи аналітику фішингових атак від Google останніх років, маємо наступні показники, які мають тенденцію до зростання щороку:
Щоб здобути бажану інформацію, як-от токени авторизації, фінансові дані компанії чи окремого співробітника, логіни та паролі або ж навіть повний доступ до керування всередині корпоративної мережі, шахраї будуть використовувати людські слабкості: страх, цікавість, неуважність, недосвідченість, надмірну хвалькуватість, інформацію з соціальних мереж та платформ.
Тому, якщо не вкладати ресурси в навчання співробітників, не впроваджувати контролі безпеки, не тестувати моделі загроз, як-от рішення для керування подіями безпеки та incident response and management процесів, рішення з Privileged Access Management (PAM) та Endpoint Detection & Response (EDR) — є висока ймовірність проґавити несанкціоновану авторизацію на корпоративних ресурсах або роботу Reverse Shell (зворотнього доступу до термінала чи консолі) із зараженого компʼютера співробітника.
Організації, які часто стають мішенями таких атак, розробляють комплексні стратегії для мінімізації ризиків та захисту своїх активів або залучають зовнішніх фахівців, аби ті провели аудит та тестування безпеки й визначили необхідні для впровадження контролі. Регулярні тренінги та фішингові кампанії, спрямовані на підвищення рівня обізнаності колег, допомагають зменшити ймовірність, що хтось з команди відповість на фішингового листа або перейде за незрозумілим посиланням — тим самим поставить під загрозу свою компанію та бізнес.
Що допоможе бізнесу вберегтися від фішингу
Підходити до організації захисту від атак соціальної інженерії необхідно комплексно: поєднувати освітні заходи для підвищення обізнаності співробітників і застосовувати технічні рішення для зміцнення кібербезпеки. Великі компанії v мають постійно адаптуватися до нових загроз і вдосконалювати свої захисні стратегії, щоби залишатися на крок попереду зловмисників.
Освітні програми
Тренінги з безпеки навчають співробітників розпізнавати та реагувати на спроби соціальної інженерії. Симуляція атак соціальної інженерії (наприклад, фішингова кампанія) допомагає виявити слабкі місця та підготувати колег до реальних загроз.
Технічний контроль
Ось кілька пунктів, які важливо взяти до уваги:
Багатофакторна аутентифікація (MFA) або впроваджені підходи РАМ, SSO чи IAM значно ускладнюють несанкціонований доступ до систем. Своєю чергою, EDR надасть можливість ефективно блокувати шкідливе програмне забезпечення.
Підвищення фільтрації спаму через електронні поштові шлюзи зменшує кількість результативних фішингових спроб.
Політики використання соціальних мереж обмежують можливості для того, щоб інформацію звідти могли використати кіберзловмисники.
Матриця рольового доступу до будь-яких корпоративних цифрових ресурсів та сервісів компанії.
Використовуйте парольні менеджери, не зберігайте конфіденційні дані авторизації на папері чи на незашифрованих носіях.
Політики та процедури
Тут ідеться про розробку та впровадження відповідних політик для ключових процедур, які допомагають керувати доступом до інформації та ресурсів, і, як наслідок — зменшують ризики витоку даних. Розробіть регламент поведінки на випадок запиту конфіденційної інформації третіми сторонами та ознайомте з ним колег.
Додаткові стратегії розширення кібербезпеки
Регулярний аудит та оцінка ризиків
Це необхідно для ідентифікації потенційних вразливостей у системах та процесах бізнесу. Своєю чергою це дозволяє своєчасно виявляти нові загрози та адаптувати стратегії захисту. Аудити передбачають перевірку політик безпеки, фізичних та технічних заходів безпеки, а також процедур реагування на інциденти.
Реагування на інциденти та плани відновлення
Це критично важливо для мінімізації збитків від атак соціальної інженерії. Плани мають містити процедури швидкого ідентифікування атак, ізоляції заражених систем, відновлення постраждалих даних та систем, а також аналізу інцидентів, щоб вдосконалити систему в майбутньому.
Співпраця та обмін інформацією
Співпраця з іншими організаціями, що вже впровадили необхідні рішення та контролі безпеки або надають такі послуги, та участь у спільнотах з кібербезпеки можуть значно підвищити рівень захисту компанії. Обмін інформацією про загрози, вразливості та ефективні стратегії захисту дозволяє компаніям бути в курсі найновіших тактик зловмисників та відповідно адаптувати свої захисні механізми.
Залучення зовнішніх експертів
Залучення зовнішніх експертів з кібербезпеки для проведення незалежних аудитів та тестування безпеки, тренінгів співробітників та консультування з питань безпеки може надати новий погляд на існуючі заходи безпеки та виявити потенційні слабкі місця, які внутрішні команди організації могли пропустити.
Захист від соціальної інженерії вимагає не лише технічних рішень, а й культурних змін у сприйнятті кібербезпеки всередині компанії. Важливо створити середовище, де безпека є спільною відповідальністю всіх співробітників. Через постійно змінюваний ландшафт загроз, компанії повинні бути гнучкими та готовими до швидкої адаптації своїх стратегій безпеки, щоб ефективно протистояти атакам соціальних інженерів.
