Соціальна інженерія

Низка не технічних прийомів маніпулювання користувачами, які використовуються кіберзлочинцями під час атак.

Як здійснюються атаки з використанням соціальної інженерії?

Більшість методів соціальної інженерії не вимагають особливих технічних знань з боку зловмисників, а отже використовувати ці методи може будь-хто — від дрібних злодіїв до досвідчених кіберзлочинців.

Існує багато методик, які підпадають під загальний термін соціальної інженерії в галузі кібербезпеки. Серед найвідоміших методик — спам та фішинг.

Спам — це масове розсилання небажаних листів. Найчастіше спам — це лист електронної пошти, який надсилається одразу на велику кількість адрес, але він також може бути доставлений через миттєві повідомлення, SMS та соціальні мережі. Власне, спам не є соціальною інженерією, однак в деяких кампаніях використовуються його види, такі як фішинг, цілеспрямований фішинг (spearphishing), вішинг (vishing), смішинг (smishing), а також поширення шкідливих вкладень або посилань.

Фішинг — це форма кібератаки, під час якої злочинець намагається завойовувати довіру до жертви для виманювання конфіденційної інформації. Для отримання даних зловмисники також створюють відчуття терміновості або застосовують тактику залякування. Варто зазначити, що фішингові кампанії можуть бути націлені на велику кількість випадкових користувачів або конкретну особу чи групу.

Інші методи зловмисників:

Цілеспрямований фішинг — це форма фішингу, під час якої зловмисник надсилає повідомлення,спрямовані на конкретну групу людей, або навіть просто окрему особу з метою викрадення даних або маніпулювання ними в зловмисних цілях.

Вішинг та смішинг — це методи соціальної інженерії, подібні до фішингу, але здійснюються не через електронну пошту. Зокрема, вішинг реалізовується через шахрайські телефонні дзвінки, а для смішингу використовуються текстові SMS-повідомлення, які містять шкідливі посилання або вміст.

Видавання себе за іншу особу є іншим популярним методом соціальної інженерії, під час якого кіберзлочинці діють нібито від імені певної особи, вводячи в оману потенційних жертв. Типовим прикладом є зловмисник, який видає себе за генерального директора певної компанії, укладає та затверджує шахрайські угоди в той час, як справжній генеральний директор перебуває у відпустці.

Афери з технічною підтримкою — це, зазвичай, неправдиві телефонні дзвінки або Інтернет-реклама, в якій зловмисники пропонують жертвам послуги служби технічної підтримки. Насправді, кіберзлочинці просто намагаються заробити гроші, продаючи фейкові послуги або усуваючи насправді неіснуючі проблеми.

Шкідливе програмне забезпечення, ціль якого викликати у жертви почуття страху чи тривоги та таким чином змусити її встановити небезпечний код на пристрій. Поширеними є випадки, коли користувачам відображалось повідомлення про нібито інфікування пристрою загрозою, для видалення якої необхідно завантажити антивірус (який, насправді, є шкідливим програмним забезпеченням).

Кібершахрайство — це схеми зловмисників, у яких часто використовують один або навіть декілька методів соціальної інженерії, описаних у цьому розділі.

Чому компанії малого та середнього бізнесу повинні боятися соціальної інженерії?

Відповідно до опитування, проведеного Zogby Analytics для Національного альянсу з кібербезпеки США у 2019 році, все більше компаній усвідомлюють, що вони є потенційними цілями кіберзлочинців. Зокрема, майже половина (44%) компаній з числельністю працівників 251-500 заявили, що стикалися з випадками втрати даних протягом останніх 12 місяців. Опитування також показало, що 88% представників малого бізнесу вважають, що вони принаймні є «ймовірною» ціллю для кіберзлочинців, у тому числі майже половина (46%), вважають, що вони є «дуже ймовірною» ціллю.

За оцінками Центр прийому скарг на шахрайство в Інтернеті (IC3) при ФБР, лише в 2018 році внаслідок кібератак американські компанії втратили понад 2,7 мільярда доларів, в тому числі 1,2 мільярди доларів внаслідок атак з використанням компрометації ділової переписки(BEC)/компрометації електронних листів (EAC), які дозволяли несанкціоновано переказувати кошти.

Як здійснюються атаки з використанням соціальної інженерії?

Існує декілька ознак, які допоможуть ідентифікувати таку атаку. Зокрема, одна з них — погана граматика та правопис. Ще однією помітною ознакою є почуття терміновості, яке зловмисники намагаються створити для зменшення пильності жертви. Будь-який запит щодо конфіденційних даних також має викликати підозру: авторитетні компанії ніколи не просять відправити їм паролі або інші особисті дані електронною поштою або текстовими повідомленнями.

Деякі з ознак, які допоможуть виявити соціальну інженерію:

1. Погана граматика або занадто офіційна лексика.

Зазвичай, зловмисники не приділяють увагу деталям та надсилають повідомлення з помилками, пропущеними словами та поганою граматикою. Ще один мовний елемент, який може сигналізувати про можливу атаку — це формальні привітання та фрази.

2. Дивна адреса відправника.

Більшість зловмисників не витрачають час на створення правдоподібного імені або домена відправника. Отже, якщо електронний лист надходить з адреси, яка є набором випадкових чисел та символів, або одержувач взагалі невідомий, варто перемістити цей лист до папки спам.

3. Почуття терміновості.

Злочинці часто намагаються залякати жертв за допомогою фраз, які викликають тривогу, наприклад «терміново надішліть нам свої дані, або ваша посилка буде скасована» або «якщо ви не оновите свій профіль зараз, ми його видалимо». Банки, компанії з доставки, державні установи і навіть внутрішні відділи, зазвичай, спілкуються нейтрально і лише констатують факт. Тому, якщо у повідомленні намагаються змусити одержувача діяти дуже швидко, це може бути ознакою атаки.

4. Запит на конфіденційну інформацію.

Офіційні установи та навіть відділи компанії, зазвичай, не вимагають надсилання конфіденційної інформації електронною поштою або телефоном, якщо про це попередньо не домовлялися.

5. Щось звучить занадто добре, щоб бути правдою.

Це стосується розіграшів подарунків у соціальних мережах, а також електронних листів з унікальними та обмеженими пропозиціями.

5 способів захистити свою організацію від атак з використанням соціальної інженерії

1. Регулярне навчання з кібербезпеки усіх працівників, включно з топ-менеджментом та ІТ-спеціалістами. Таке навчання повинно показувати та моделювати випадки з реального життя, оскільки методи соціальної інженерії розраховані на користувачів з низьким рівнем обізнаності у кібербезпеці.

2. Здійснюйте сканування на наявність слабких паролів, які потенційно можуть використати зловмисники для потрапляння до мережі вашої організації. Крім того, створіть додатковий рівень захисту за допомогою двофакторної аутентифікації.

3. Впроваджуйте рішення для захисту, які попереджають про можливі випадки шахрайства, а також повідомляють про виявлення спаму та фішингу.

4. Створіть політику безпеки з чітким планом дій, які потрібно буде виконати працівникам, якщо вони стикнуться з проявами соціальної інженерії.

5. Використовуйте рішення для централізованого управління корпоративною мережею, наприклад, ESET Security Management Center, щоб забезпечити повний огляд мережі, усіх рішень з безпеки та подій для виявлення та знешкодження потенційних загроз.

Проактивний захист від атак з використанням методів соціальної інженерії

ESET Cloud Administrator product card

Комплексне багаторівневе рішення для захисту від шкідливих програм. Продукт забезпечує антивірусний захист робочих станцій, мобільних пристроїв, файлових серверів, а також захист віртуальних середовищ.