Социальная инженерия – это термин, которые используется для описания большого пласта вредоносных манипуляций с конфиденциальными данными людей. Все действия социальной инженерии осуществляются другими людьми и подразумевают не только технологические, но и психологические приёмы, с помощью которых добывается личная информация или же совершаются ошибки кибербезопасности, на которые и были рассчитаны последующие атаки.
Атаки социальной инженерии происходят в один или несколько этапов. Сперва злоумышленник выбирает жертву и собирает необходимую фоновую информацию о ней. Затем втирается в доверие и, используя психологические приёмы и общение, стимулирует жертву добровольно поделиться приватными данными или дать к ним доступ злоумышленнику.
Самая большая опасность социальной инженерии – это человеческая ошибка. Никакие взломы, уязвимости и бреши в защите данных не сравнятся по разрушительности с утечкой из-за человеческого фактора. Такие ошибки сложнее отследить и ликвидировать, ведь они непредсказуемы и к ним невозможно подготовиться.
Атаки социальной инженерии применяются буквально везде, где есть человеческая коммуникация. Ниже мы приводим самые популярные типы атак.
Такой вид атаки рассчитан «подцепить» юзера на жадность или любопытство. Пользователь не может отказать своему внутреннему чувству узнать что-то якобы секретное и попадается на удочку.
Самая популярная форма байтинга – передача вредоносной программы через физические носители. Злоумышленник оставляет «байт» (обычно флэшка с вирусом) в людном месте – холле большой компании, общественном транспорте, лифте, на парковке. Для привлечения внимания носитель могут брендировать в стиле крупной известной компании. Жертве, конечно же, интересно посмотреть, что на носителе, таким образом, вирус попадает в компьютер и захватывает конфиденциальные данные.
Существует также и онлайн-байтинг, это банальная всплывающая реклама с кликбейтными заголовками, на которые мнительные пользователи живо реагируют, кликают, переходят по ссылке, заражая свой компьютер.
Как уже понятно из названия, юзера буквально бомбардируют сообщениями типа «ваш компьютер заражён, данные будут удалены». Вместе с этим посылается вредоносная программа или ссылка на полезную загрузку, которая якобы спасёт данные от форматирования. Пользователь в конце-концов ведётся на призрачный шанс спасения своей системы и, конечно, заражает компьютер.
Типичный пример данной атаки – это всплывающие мигающие окна, сообщающие об угрозе, предложения о покупке надёжной системы защиты или установке приложения по ссылке. Как правило, на такое реагируют пользователи, далёкие от понятия информационной безопасности, однако даже опытные люди могут кликнуть на всплывающее окно случайно.
В данном случае мошенник получает информацию путём серии хорошо продуманных обманных ходов. Сначала с жертвой устанавливается контакт, возможно, завязывается дружественное общение, злоумышленник втирается в доверие. Вся переписка ведётся от служебного лица, например, полицейского, коллеги, работника банка, сотрудника налоговой службы – словом, человека, который теоретически мог бы иметь «право знать». Этот человек просит жертву пройти идентификацию личности, чтобы уведомить или, наоборот, собрать важную информацию.
Таким образом пользователь может выдать важнейшую информацию типа номера карты или банковского счёта, номера социального страхования, пароля от аккаунтов, адреса и номера телефона, записей телефонных разговоров и др.
Фишинг – это вид интернет-мошенничества, всё больше и больше набирающий обороты в действиях злоумышленников. Как работает фишинг? Путём рассылки спам-сообщений по электронной почте или SMS. Такие сообщения рассчитаны заинтересовать пользователя или же вызвать чувство срочности.
Примером может служить электронное письмо, отправляемое пользователям онлайн-службы, которое предупреждает их о нарушении политики, требующее немедленных действий с их стороны, например обязательной смены пароля. Он включает в себя ссылку на фальшивый веб-сайт, внешне почти идентичный настоящему, предлагающий ничего не подозревающему пользователю ввести свои текущие учетные данные и новый пароль. После отправки формы информация отправляется злоумышленнику.
Фишинговые сообщения достаточно легко распознать, всего лишь оставаясь внимательным и проявляя бдительность, но, опять же, на такое сообщение можно кликнуть случайно, второпях перемещаясь между вкладками. Поэтому мы советуем максимально вдумчиво проверять почту, не открывать сомнительные письма, сверять почтовые адреса и особенно не вводить личные данные на непроверенных платформах.
Это более целенаправленная версия фишинговой аферы, при которой злоумышленник выбирает конкретных лиц или предприятия. Затем они адаптируют свои сообщения на основе характеристик, должностей и контактов, принадлежащих их жертвам, чтобы сделать их атаку менее заметной. Целевой фишинг требует гораздо больше усилий со стороны преступника, и на его осуществление могут уйти недели и месяцы. Их намного сложнее обнаружить, и они имеют более высокие показатели успеха, если сделаны умело.
Например, подделка документов для жертвы целевого фишинга осуществляется очень кропотливо, обычно с привлечением других специалистов высокого класса. Электронные и настоящие письма с такими документами отправляются, например, руководящему составу компании или опытным специалистам, которые уже имели дело с аферами такого рода.
Манипуляции социальной инженерии направлены на чувства и невнимательность пользователей, поэтому вот список базовых действий, которыми не следует пренебрегать, если вы хотите сохранить приватность своих данных.
Не переходите по сомнительным ссылкам и не открывайте вложения с непонятным содержимым. Если вы не знаете или не можете проверить адрес отправителя или связаться напрямую, чтобы уточнить, отправлялось ли сообщение на самом деле, - лучше вовсе не открывайте его.
Не покупайтесь на «выгодные» предложения. Установка защитного ПО, проверка компьютера на вирусы от сомнительного источника, скорее всего, чревата утечкой данных. Самое лёгкое, что можно сделать – хотя бы загуглить компанию, сферу деятельности, лицензию, отзывы клиентов, но лучше, конечно, вообще не вестись на всплывающие заголовки.
Конечно же, двухфакторная аутентификация. Использование многофакторной аутентификации помогает обеспечить защиту вашей учетной записи в случае компрометации системы. Пароль + SMS-код, пароль + графический ключ, пароль + скан лица или документа – все эти вариации в разы повышают защиту информации.
Установка DLP-системы в компанию. Персональные данные защитить сложно, а корпоративные – ещё сложнее, да и утечка рискует стоить организации больших денег. Хороший способ защиты данных от утечек это использовать SecureTower – DLP-систему от Falcongaze. Это надёжное программное решение, которое обеспечивает защиту данных компании путём контроля всех каналов коммуникации пользователей (анализа всей отправляемой и получаемой информации) и контролю поведения сотрудника (контроль всех действий сотрудника на компьютере). После анализа перехваченных данных и поведения, если есть нарушение правил безопасности, система автоматически уведомляет об инциденте и блокирует отправку файлов, копирование, посещение веб-ресурса, запуск приложения. SecureTower уведомляет службу информационной безопасности и руководство компании о инциденте, со всей информацией о нём, что даёт возможность оперативно провести расследование.
При расследовании инцидентов в SecureTower формируются дела, в которых можно фиксировать ход расследований, определять фигурантов дела, а после завершения расследования сделать отчёт для руководителей. Собранные данные могут быть использованы в суде в качестве доказательной базы.
Обновляйте своё антивирусное ПО. Убедитесь, что автоматические обновления активированы или сделайте привычкой проверять и загружать последние обновления вручную.
Надеемся, эта статья оказалась для вас максимально полезной и информативной. Помните, что более 90% утечек случаются из-за фактора человеческой ошибки, поэтому регулярно проверяйте свою грамотность в информационной безопасности и рисках, проходите фишинг-тесты и тренинги по реагированию на инциденты ИБ, особенно если вы корпоративный сотрудник.