Социальная инженерия

Введение#

Когда дело касается кибербезопасности, большинство людей думают о технических атаках, таких как SQL-инъекции, межсайтовое скриптование, атаки «человек посередине», или вредоносные программы. Однако самые распространенные и эффективные атаки часто вовсе не связаны с техникой. Социальная инженерия — это искусство манипулирования людьми с целью того, чтобы они раскрыли конфиденциальную информацию. Каждый киберпреступление начинается с атаки, связанной с социальной инженерией.

Вот определение из Википедии:

В контексте информационной безопасности социальная инженерия — это психологическое манипулирование людьми с целью выполнения действий или раскрытия конфиденциальной информации. Это форма мошенничества, направленная на сбор информации, мошенничество или доступ к системе, отличающаяся от традиционного «развода» тем, что часто является одним из множества шагов в более сложной мошеннической схеме.[1] Также это может быть определено как «любое действие, оказывающее влияние на человека с целью побудить его предпринять действия, которые могут быть как в его интересах, так и против них».

Типы информации, которые ищут эти преступники, могут варьироваться, но когда они нацелены на отдельных людей, обычно они пытаются обманом заставить вас дать им ваши пароли, личную информацию или получить доступ к вашему компьютеру, чтобы тайно установить вредоносное ПО — которое даст им доступ к вашим паролям и банковской информации, а также контроль над вашим компьютером.

Как работает социальная инженерия?#

Атаки социальной инженерии происходят в один или несколько шагов. Большинство атак социальной инженерии основываются на фактическом общении между злоумышленниками и жертвами. Часто жертвы становятся мишенью нескольких злоумышленников в течение длительного времени, и атаки тщательно спланированы, чтобы избежать обнаружения. Успешная атака включает следующие шаги:

1. Исследование: Злоумышленник собирает информацию о цели, например, возможные точки входа и слабые протоколы безопасности, необходимые для проведения атаки. В современном мире очень легко найти информацию о человеке в Интернете. Например, вы можете найти электронный адрес человека, номер телефона и даже домашний адрес в его профиле в социальных сетях. Вы также можете узнать, где он работает, чем он занимается и с кем он работает. Эта информация может быть использована для создания очень убедительного фишингового письма или звонка на следующем шаге.

2. Завлечение: Злоумышленник использует эту информацию для создания правдоподобного сценария, чтобы обмануть жертву и заставить ее сделать то, что требуется злоумышленнику. Например, злоумышленник может позвонить жертве и представиться сотрудником службы поддержки клиентов из ее банка, прося подтвердить информацию о счетах. Или же он может позвонить сотруднику компании и притвориться сотрудником IT-поддержки, прося его сбросить пароль.

3. Игра на эмоциях: Злоумышленник играет на эмоциях жертвы, чтобы заставить её действовать немедленно, без раздумий. Например, злоумышленник может угрожать жертве штрафами, мерами воздействия или судебным преследованием, если она немедленно не выполнит запрос. Или же он может обратиться к жадности жертвы, обещая ей большую сумму денег или вознаграждение взамен на помощь.

4. Исполнение: Злоумышленник осуществляет атаку, которая может принять разные формы. Например, он может:

   • Обманом заставить жертву установить вредоносное ПО на её компьютер.
   • Обманом заставить жертву раскрыть конфиденциальную информацию в письме или по телефону.
   • Обманом заставить жертву перевести деньги злоумышленнику.
   • Обманом заставить жертву нажать на вредоносную ссылку в электронном письме или текстовом сообщении.

Эти шаги могут происходить за очень короткий период времени или растянутыми на недели или месяцы. Злоумышленник может нацелиться на одного человека или на группу людей. Связь может быть установлена через телефонный звонок, письмо, текстовое сообщение или чаты в социальных сетях. Но в конечном итоге это заканчивается действием с вашей стороны, например, передачей информации или подвержением себя вредоносному ПО.

Виды атак социальной инженерии#

Существует много типов атак социальной инженерии, и каждая из них имеет свою цель и задачу. Вот некоторые из наиболее распространенных типов атак социальной инженерии:

Спам-фишинг#

Спам-фишинг — это самый распространенный тип атак социальной инженерии. Это вид фишинговой атаки, при которой злоумышленник рассылает миллионы писем случайным людям в надежде, что некоторые из них попадутся на уловку. Письма обычно отправляются с поддельного электронного адреса, и часто содержат ссылку на вредоносный сайт или вредоносное приложение. Цель атаки — обманом заставить жертву нажать на ссылку или открыть вложение, что приведет к установке вредоносного ПО на её компьютер.

Пример#

Представьте, что вы получили нежелательное письмо в вашем почтовом ящике с заманчивой темой, которая утверждает, что вы выиграли значительный денежный приз. Заголовок письма гласит, что вы выиграли 1 000 000 долларов и нужно немедленно забрать ваш приз.

После открытия письма вы находите сообщение с поздравлениями по поводу вашего якобы выигрыша в лотерею. Оно может включать в себя экстравагантные обещания, такие как сумма денег, меняющая вашу жизнь. Письмо обычно содержит ссылку или контактную информацию, чтобы вы могли заявить о своём выигрыше.

Это письмо демонстрирует классические признаки спам-фишинговой атаки:

1. Нежелательное сообщение: Вы никогда не участвовали ни в какой лотерее или конкурсе, так что вы не должны были выиграть никакой приз.

2. Слишком хорошо, чтобы быть правдой: Обещание большой суммы денег без видимой причины — это обычная тактика, используемая для привлечения жертв.

3. Требуется срочное действие: В письме может говориться, что нужно действовать быстро, чтобы получить приз, создавая ощущение срочности.

4. Запрос личных данных или денег: Чтобы «получить» ваш приз, вас могут попросить предоставить личные данные, оплатить сборы или перевести деньги на покрытие предполагаемых затрат на обработку.

Целевой фишинг (Spear Phishing)#

Целевой фишинг — это вид фишинговой атаки, при которой злоумышленник нацелен на конкретного человека или группу людей. Злоумышленник проведёт исследование цели, а затем отправит им персонализированное письмо, которое выглядит так, как будто оно было отправлено из надёжного источника. Письмо обычно содержит ссылку на вредоносный сайт или вредоносное приложение. Цель атаки — обманом заставить жертву нажать на ссылку или открыть вложение, что приведет к установке вредоносного ПО на её компьютер. В отличие от спам-фишинга, атаки целевого фишинга являются высоко индивидуализированными и персонализированными, и поэтому они намного чаще оказываются успешными.

Пример#

В таком случае целевого фишинга, вы получаете письмо, которое якобы отправлено вашим коллегой или кем-то, кого вы знаете. Письмо содержит тему, которая предполагает важное сообщение о безопасности. Что отличает целевой фишинг от обычного фишинга, так это то, что злоумышленник нацелился на конкретного человека и часто владеет какой-то информацией об этой цели.

После открытия письма вы находите сообщение, которое якобы отправлено вашим IT-советником, Чарльзом. Оно обращается к вам по полному имени и утверждает, что произошло предполагаемое нарушение безопасности вашего рабочего аккаунта. В письме вас просят нажать на ссылку или загрузить вложение, чтобы обезопасить ваш аккаунт. Вы нажимаете на ссылку, и она перенаправляет вас на сайт, который выглядит точь-в-точь как страница входа на сайте вашей компании. Вы вводите ваше имя пользователя и пароль, и злоумышленник теперь имеет доступ к вашему аккаунту.

Это письмо демонстрирует классические признаки атаки целевого фишинга:

1. Персонализация: Письмо обращается к вам по полному имени, что делает его более правдоподобным.

2. Срочность: Сообщение создаёт ощущение срочности, намекая на то, что нужно срочно принять меры для решения проблемы безопасности.

3. Запросы на определённые действия: В письме вас просят нажать на ссылку или скачать вложение. Эти ссылки или вложения часто содержат вредоносное ПО или фишинговые сайты.

Завлечение (Baiting)#

Завлечение — это вид атаки социальной инженерии, при которой злоумышленник предлагает что-то заманчивое жертве в обмен на её личную информацию. Например, злоумышленник может предложить бесплатный подарочный сертификат или бесплатное скачивание фильма в обмен на электронный адрес жертвы. Цель атаки — обманом заставить жертву раскрыть свою личную информацию, которую злоумышленник может затем использовать для кражи её личности или совершения мошенничества. Эта техника использует любопытство или жадность жертвы.

Пример#

В этом сценарии завлечения злоумышленники оставляют USB-накопитель в общественном месте, например, в кафе или на парковке. USB-накопитель имеет метку «Конфиденциально» или «Частное», и он содержит вредоносную программу, которая установит вредоносное ПО на компьютер жертвы при подключении. Цель атаки — обманом заставить жертву подключить USB-накопитель к её компьютеру, что приведет к установке вредоносного ПО на её компьютер.

Вы подключаете USB-накопитель к вашему компьютеру, надеясь найти ценную информацию. Он кажется содержащим файл с названием «Confidential_Project_Data.csv». Когда вы пытаетесь открыть этот файл, он запускает скрытый скрипт, который заражает ваш компьютер вредоносным ПО.

В этом случае завлечения:

1. Завлечение — это USB-накопитель, который имеет метку «Конфиденциально» или «Частное», что делает его заманчивым для любого, кто столкнётся с ним, особенно в профессиональной или рабочей среде.

2. Фактор любопытства: Используется человеческое любопытство как слабое место, побуждающее людей совершить действия, которые они, возможно, избегали бы в других обстоятельствах.

Водопой (Water holing)#

Водопой — это вид атаки социальной инженерии, при которой злоумышленник нацелен на определённую группу людей, заражая веб-сайт, который они, скорее всего, посетят. Например, злоумышленник может заразить популярный новостной сайт или популярную социальную сеть. Цель атаки — обманом заставить жертву посетить заражённый веб-сайт, что приведет к установке вредоносного ПО на её компьютер.

Пример#

Группа злоумышленников стремится нарушить безопасность определённой отраслевой ассоциации, представляющей сообщество специалистов по кибербезопасности. Злоумышленники намерены украсть конфиденциальные данные и проникнуть в системы специалистов по кибербезопасности. Злоумышленники определяют известный и уважаемый веб-сайт, используемый этим сообществом. В данном случае они выбирают официальный сайт отраслевой ассоциации по кибербезопасности. Злоумышленники обнаруживают и эксплуатируют уязвимость на веб-сайте отраслевой ассоциации. Они могут использовать технические методы, такие как SQL-инъекции или межсайтовое скриптование (XSS), чтобы получить несанкционированный доступ к системе управления контентом сайта. Когда они получают доступ к веб-сайту, злоумышленники встраивают вредоносный код на страницы сайта. Этот код предназначен для доставки вредоносного ПО посетителям скомпрометированных страниц.

Затем злоумышленники ждут, когда специалисты по кибербезопасности посетят веб-сайт. Они знают, что многие специалисты по кибербезопасности регулярно проверяют сайт для получения обновлений, новостей и ресурсов.

Когда специалисты по кибербезопасности посещают сайт отраслевой ассоциации, чтобы прочитать статьи, принять участие в вебинарах или скачать ресурсы, они, не подозревая об этом, подвергают свои устройства воздействию внедрённого вредоносного ПО. Вредоносное ПО может украсть конфиденциальную информацию, такую как учетные данные для входа или личные данные. Оно также может дать злоумышленникам плацдарм для осуществления дальнейших атак, включая целевой фишинг или использование известных уязвимостей в системах жертв.

В этом случае водопоя:

1. Водопой — это веб-сайт отраслевой ассоциации, который является популярным местом для специалистов по кибербезопасности.
2. Целевая аудитория: Злоумышленники нацеливаются на определённую группу людей, в данном случае специалистов по кибербезопасности.
3. Использование доверия: Злоумышленники используют доверие, которое специалисты по кибербезопасности испытывают к веб-сайту отраслевой ассоциации.
4. Использование уязвимостей: Злоумышленники используют уязвимости в системе управления контентом сайта, чтобы внедрить вредоносный код на страницы сайта.

Как защитить себя от атак социальной инженерии#

Защита от атак социальной инженерии требует комбинации осведомлённости, скептицизма и лучших практик. Вот несколько важных шагов для защиты от атак социальной инженерии:

1. Обучайтесь: Узнайте о распространённых тактиках социальной инженерии, включая фишинг, пре-текстинг, завлечение и погоню за возможностями. Будьте в курсе последних методов социальной инженерии и тенденций.

2. Проверяйте личность: Всегда проверяйте личность людей или организаций, которые запрашивают вашу личную или конфиденциальную информацию. Не полагайтесь только на телефонные номера, электронные письма или веб-сайты, предоставленные лицом, связывающимся с вами. Используйте официальную контактную информацию, полученную независимо из надёжных источников.

3. Вопросьте запросы: Будьте скептичны относительно нежелательных запросов на предоставление личной, финансовой или конфиденциальной информации. Легитимные организации обычно не запрашивают такую информацию по электронной почте или телефону. Если кто-то запрашивает конфиденциальную информацию, спросите, зачем она нужна и как она будет использоваться.

4. Будьте осторожны с срочностью и давлением: Социальные инженеры часто создают ощущение срочности, чтобы подтолкнуть вас к принятию решений без раздумий. Постарайтесь обдуманно оценить запросы или предложения. Проверьте легитимность ситуации.

5. Защитите физический доступ: Охраняйте вашу физическую рабочую зону от несанкционированного доступа. Блокируйте ваш компьютер и устройства, когда они не используются. Будьте осторожны, когда позволяете незнакомым людям войти в защищённые зоны.

6. Обучайте сотрудников: Если вы представляете организацию, проведите обучение сотрудников по вопросам осведомлённости о социальной инженерии. Научите сотрудников распознавать и сообщать о подозрительных действиях.

7. Используйте надёжные источники: Получайте информацию из проверенных и надёжных источников. Избегайте опираться на неофициальные веб-сайты или непроверенные новости.

8. Шифруйте данные: Шифруйте конфиденциальные данные как при хранении, так и во время передачи, чтобы защитить их от несанкционированного доступа.

Практикуйте безопасное поведение в Интернете#

Для разработчиков и владельцев бизнеса. Если вы разрабатываете веб-приложение, вы должны следовать лучшим практикам, чтобы защитить своих пользователей от атак социальной инженерии. Есть много способов усилить безопасность вашего приложения:

1. Используйте надёжные пароли. Большинство людей используют слабые пароли, которые легко угадать по их личной информации. Чтобы внедрить безопасную и надёжную систему управления учетными записями пользователей, вы должны задействовать политику надёжных паролей. Это предотвратит использование пользователями слабых паролей без надлежащих мер безопасности.
2. Включите многофакторную аутентификацию. Многофакторная аутентификация (МФА) добавляет дополнительный уровень безопасности в аккаунт пользователя, требуя ввода кода с телефона или другого устройства вместе с паролем. Это значительно усложняет злоумышленнику доступ к аккаунту вашего клиента. Даже если пароль клиента скомпрометирован, злоумышленник не сможет получить доступ к его аккаунту без второго фактора.
3. Шифруйте данные пользователей. Шифрование данных пользователей — хороший способ защитить их от несанкционированного доступа. Если злоумышленник получит доступ к вашей базе данных, он не сможет прочитать данные без ключа шифрования. Это предотвратит кражу личной информации ваших клиентов.
4. Часто меняйте ключи доступа. Ключи доступа используются для доступа к ресурсам вашего приложения. Если злоумышленник получит доступ к вашим ключам доступа, он сможет получить доступ к ресурсам вашего приложения без вашего разрешения. Чтобы предотвратить это, вы должны часто менять ключи доступа.
5. Используйте современные системы аутентификации. Современные протоколы аутентификации, такие как OAuth 2.0 и OpenID Connect, гораздо безопаснее, чем старые протоколы, такие как SAML и WS-Federation. Они используют современные криптографические алгоритмы и гораздо сложнее для взлома.
6. Заранее зарегистрируйте URL-адреса перенаправления и устройства для входа Если вы используете OAuth 2.0 или OpenID Connect для аутентификации, вы должны заранее зарегистрировать URL-адреса перенаправления и устройства. Это предотвратит использование злоумышленниками учетных записей ваших клиентов для входа в ваше приложение с их собственных устройств.