Социальная инженерия

Ряд нетехнических манипулирования пользователями, которые используются киберпреступниками во время атак.

Как осуществляются атаки с использованием социальной инженерии?

Большинство методов социальной инженерии не требуют особых технических знаний со стороны злоумышленников, а значит использовать эти методы может кто-угодно — от мелких злоумышленников до опытных киберпреступников.

Существует много методик, которые подпадают под общее понятие социальной инженерии в области кибербезопасности. Среди самых известных методик — спам и фишинг:

Спам — это массовая рассылка нежелательных писем. Чаще всего спам — это письмо электронной почты, которое отправляется сразу на большое количество адресов, но оно также может быть доставлено и через мгновенные сообщения, SMS и социальные сети. Сам спам не является социальной инженерией, однако в некоторых кампаниях используются его виды, такие как фишинг, целенаправленный фишинг (spearphishing), вишинг (vishing), смишинг (smishing), а также распространение вредоносных вложений или ссылок.

Фишинг — это форма кибератаки, во время которой преступник пытается завоевать доверие жертвы для выманивания конфиденциальной информации. Для получения данных злоумышленники также создают ощущение срочности или применяют тактику запугивания. Стоит отметить, что фишинговые кампании могут быть нацелены на большое количество случайных пользователей или конкретную личность или группу.

Другие методы злоумышленников:

Целенаправленный фишинг — это форма фишинга, во время которой злоумышленник отправляет сообщения, направленные на конкретную группу людей или даже просто определенного человека с целью похищения данных или манипулирования ними во вредоносных целях.

Вишинг и смишинг — это методы социальной инженерии, которые подобны фишингу, но осуществляются не через электронную почту. В частности, вишингреализуется через мошеннические телефонные звонки, а для смишинга используются SMS-сообщения, содержащие вредоносные ссылки или информацию.

Выдача себя за другое лицо является другим популярным методом социальной инженерии, во время которого киберпреступники действуют якобы от имени определенного лица, вводя в заблуждение потенциальных жертв. Типичным примером является злоумышленник, который выдает себя за генерального директора определенной компании, заключает и утверждает мошеннические сделки, в то время как реальный генеральный директор находится в отпуске.

Аферы с технической поддержкой — это, как правило, ложные телефонные звонки или Интернет-реклама, в которой злоумышленники предлагают жертвам услуги службы технической поддержки. На самом деле киберпреступники просто пытаются заработать деньги, продавая фейковые услуги или устраняя на самом деле несуществующие проблемы.

Вредоносное программное обеспечение, цель которого вызвать у жертвы чувство страха или тревоги и таким образом заставить ее установить опасный код на устройство. Распространены случаи, когда пользователям отображалось сообщение о якобы заражение устройств угрозой, для удаления которой необходимо скачать антивирус (который на самом деле является вредоносным программным обеспечением).

Кибермошенничество — это схемы злоумышленников, в которых часто используются один или даже несколько методов социальной инженерии, описанных в этом разделе.

Почему компании малого и среднего бизнеса должны бояться социальной инженерии?

Согласно опросу, проведенному Zogby Analytics для Национального альянса по кибербезопасности США в 2019 году, все больше компаний осознают, что они являются целями киберпреступников. В частности, почти половина (44%) компаний с численностью работников 251-500 заявили, что сталкивались со случаями нарушения данных в течение последних 12 месяцев. Опрос также показал, что 88% представителей малого бизнеса считают, что они являются по крайней мере «вероятной» целью для киберпреступников, в том числе почти половина (46%) считают, что они — «очень вероятная» цель.

По оценкам Центра приема жалоб на мошенничество в Интернете (IC3) при ФБР, только в 2018 году в результате кибератак американские компании потеряли более 2,7 миллиардов долларов, в том числе 1,2 миллиарда долларов в результате атак с использованием компрометации деловой переписки (BEC)/компрометации электронных писем (EAC), которые позволяли несанкционированно переводить средства.

Как осуществляются атаки с использованием социальной инженерии?

Существует несколько признаков, которые помогут идентифицировать такую атаку. В частности, одна из них — плохая грамматика и правописание. Еще одной заметной чертой является чувство срочности, которое злоумышленники пытаются создать для уменьшения бдительности жертвы. Любой запрос на конфиденциальные данные также может вызвать подозрение: авторитетные компании никогда не  просят отправить им пароли или другие личные данные по электронной почте или текстовыми сообщениями.

Некоторые из признаков, которые помогут выявить социальную инженерию:

1. Плохая грамматика или слишком официальная лексика.

Как правило, злоумышленники не уделяют внимание деталям и присылают сообщение с ошибками, пропущенными словами и плохой грамматикой. Еще один языковой элемент, который может сигнализировать о возможной атаке — это формальные приветствия и фразы.

2. Странный адрес отправителя.

Большинство злоумышленников не тратят время на создание правдоподобного имени или домена отправителя. Итак, если электронное письмо поступает с адреса, который является набором случайных чисел и символов, или получатель вообще неизвестен, следует переместить письмо в папку спам.

3. Чувство срочности.

Преступники часто пытаются запугать жертв с помощью фраз, которые вызывают тревогу, например, «срочно пришлите нам свои данные, или ваша посылка будет уничтожена» или  «если вы не обновите свой профиль сейчас, мы его удалим». Банки, компании по доставке, государственные учреждения и даже внутренние отделы компаний обычно общаются нейтрально и просто констатируют факт. Поэтому, если в сообщении пытаются заставить получателя действовать очень быстро, это может быть признаком атаки.

4. Запрос на конфиденциальную информацию.

Официальные учреждения и даже отделы компании обычно не требуют отправки конфиденциальной информации по электронной почте или телефону, если об этом предварительно не договаривались.

5. Что-то звучит слишком хорошо, чтобы быть правдой.

Это касается розыгрышей подарков в социальных сетях, а также электронных писем с уникальными и ограниченными предложениями.

5 способов защитить свою организацию от атак с использованием социальной инженерии

1. Регулярное обучение по кибербезопасности всех работников, включая топ-менеджмент и ИТ-специалистов. Такое обучение должно показывать и моделировать случаи из  реальной жизни, поскольку методы социальной инженерии рассчитаны на пользователей с низким уровнем осведомленности в кибербезопасности.

2. Совершайте сканирование на наличие слабых паролей, которые могут использовать злоумышленники для попадания в сеть вашей организации. Кроме того, создайте дополнительный уровень защиты с помощью двухфакторной аутентификации.

3. Внедряйте решения для защиты, которые предупреждают о возможных случаях мошенничества, а также сообщают об обнаружении спама и фишинга.

4. Создайте понятную политику безопасности с четким планом действий, которые нужно выполнить работникам, если они столкнутся с проявлениями социальной инженерии.

5. Используйте решения для управления, , например, ESET Security Management Center, чтобы обеспечить администраторам полный обзор сети, всех решений для защиты и событий для выявления и обезвреживания потенциальных угроз.

Проактивная защита от атак с использованием методов социальной инженерии

ESET Cloud Administrator product card

Комплексное многоуровневое решение для защиты от вредоносных программ. Продукт обеспечивает антивирусную защиту рабочих станций, мобильных устройств, файловых серверов, а также защиту виртуальных сред.