Статьи
R-Style Softlab
4 марта

Социальная инженерия: анализ и методы противодействия

Методы социальной инженерии применялись с незапамятных времен и были описаны уже 1,5 века назад как  централизованное планирование для управления социальными изменениями и поведением людей. С развитием технологий термин перекочевал в сферу кибербезопасности и стал подразумевать использование обмана с целью побудить человека раскрыть личную информацию или обеспечить несанкционированный доступ к ИТ-системе. Для достижения своих целей мошенники используют психологические приемы: убеждение, давление, манипулирование и многие другие.

Что говорит статистика 

  • По данным компании Positive Technologies cоциальная инженерия занимает 2 место по популярности среди методов атак. 
  • По данным IBM на выявление и сдерживание утечек данных, осуществленных методами социальной инженерии, в 2022 году  ушло более 9 месяцев. 
  • Отчет о расследовании утечек данных одной из крупнейших в мире  телекоммуникационных компании Verizon сообщает, что злоумышленникам удалось получить конфиденциальную информацию в 47% случаев атак. 

Крупнейшие игроки в сфере информационной безопасности в России также говорят о рекордном росте атак с вовлечением социальной инженерии. Например, по данным «Лаборатории Касперского» от 24 января этого года через Telegram  каждый час атакуется около 40 сотрудников компаний. 

Компания F.A.C.C.T. приводит свежую статистику на День святого Валентина: с 12 по 14 февраля злоумышленникам удалось украсть 2 275 870 руб с помощью метода Fake Date, когда мошенники представляются девушками и просят оплатить будущее свидание. Подложный сайт или фейковое мобильное приложение при этом перехватывает данные карты и кода из СМС. 

Виды социальной инженерии и помощь искусственного интеллекта 

Виды атак в социальной инженерии различаются по способам коммуникации и  применяемым инструментам. Наиболее распространенный вид ー фишинг ー попытка выдать сообщение электронной почты за реальное и подтолкнуть пользователя к переходу на ложный сайт или совершению  платежа.

С развитием и распространением сервисов искусственного интеллекта, таких как ChatGPT, голосовые и видео-дипфейки, мошенники получили инструменты для повышения убедительности и обхода систем автоматического распознавания. По данным платформы Sumsub в 2023 году количество дипфейков выросло на 84% в Великобритании, 250% в США, более чем на 300% в Германии и Италии, и аж на 500% во Франции.

Злоумышленники не только применяют технологии искусственного интеллекта, но также используют общественный резонанс для разработки новых схем мошенничества. Например, создают копию платформы ChatGPT, убеждают жертв в возможности заработка на развитии сервиса и собирают деньги с пользователей под видом инвестиций. 

 Другие наиболее известные виды мошенничества: 

  • Голосовые звонки (вишинг), когда мошенник при звонке выдает себя за коллегу или ответственное лицо и просит совершить действия, приводящие к краже данных или денег.
  • Личные сообщения в мессенджерах, например, fakeboss-атаки, когда злоумышленники взламывают или подделывают аккаунты генеральных директоров и обращаются к сотрудникам компаний «за помощью».
  • Применение инструментов удаленного доступа, когда мошенник убеждает сотрудника предоставить доступ к компьютеру, представившись специалистом службы поддержки.
  • Всплывающие окна в браузере, когда пользователь атакуется многократно всплывающими окнами. Если человек теряет бдительность, то легко нажимает кнопку перехода на вредоносный сайт. 
  • Атаки на «мусорные корзины» — для поиска конфиденциальной информации в папке «Корзина» на устройствах сотрудников.
  • Ловля «на живца» — это метод, при котором злоумышленник размещает приманку, например, флешку с надписью «Прибыль 2024». Нашедший приманку пользователь заражает систему вирусом. 
  •  «Ты – мне, я – тебе» — вид мошенничества, при котором вредоносное ПО маскируется под антивирус или другие полезные утилиты, которые могут помочь пользователю.
  • Претекстинг используется злоумышленниками для создания предлога, под которым мошенник может привлечь внимание.  Таким предлогом может быть проверка данных, интернет-опрос, история или ситуация, предполагающая выманивание денег.

Факторы риска 

Самый значительный фактор, повышающий риск атак с использованием социальной инженерии — использование персональных устройств в рабочих целях и рабочих устройств — в личных.

По данным компании Verizon 78% сотрудников используют свои рабочие устройства для личных целей, и почти 50% позволяет друзьям и родственникам использовать свои рабочие устройства. Тренд на сохранение удаленной работы также стимулирует использование различных устройств для рабочих коммуникаций.

Другой фактор риска — плохо развитая культура информационной безопасности в компании и неосведомленность сотрудников. Для атак используются любые открытые данные компании, такие как организационная структура, информация о поставщиках или сделках, сведения о существующих внутри компании каналах коммуникаций. 

Методы противодействия

 Активная защита от атак с использованием социальной инженерии строится на нескольких принципах: обучение сотрудников, наличие политик безопасности, внедрение ИБ-систем и решений.

  • Обучение сотрудников 

В части обучения сотрудников и развития культуры информационной безопасности важно не только информирование о вариантах атак, используемых каналах и инструментах, но и моделирование ситуаций фишинга. 

  • Политики безопасности и процедуры

Политики безопасности помогают сотрудникам принять решение о дополнительной проверке информации, если контрагент просит внести изменения в банковские реквизиты, изменяет адрес доставки, отправляет электронные письма с неизвестного адреса. Отдельной разработки могут политики безопасности при использовании сотрудниками личных устройств.

  • Технологические решения для предотвращения атак

В части технологической защиты для предотвращения атак следует назвать введение двухфакторной авторизации, использование протоколов защиты доменных имен, систематическая проверка на наличие слабых паролей, шифрование конфиденциальных данных, использование комплексных систем мониторинга.

Особенность атак с использованием социальной инженерии ー невозможность установить мошенничество, если клиент сам инициирует перевод средств, доверившись злоумышленнику. Для большинства ИБ-систем такая транзакция будет выглядеть подлинной. Одним из новых направлений решения этой задачи являются системы поведенческой биометрии. Они отслеживают пользовательские действия, которые могут указывать на совершение мошенничества, например, ввод номера счета по одной цифре, когда мошенник диктует его. 

Авторы: Дмитрий Макаров, эксперт по информационной безопасности R‑Style Softlab; Евгения Поносова, редактор R-Style Softlab.

R-Style Softlab
Автор: R-Style Softlab
С 1994 года делаем сложные операционные процессы удобными для бизнеса и автоматизируем работу крупных предприятий. Выстраиваем ИТ-экосистемы под ваши задачи или внедряем лучшие готовые решения в индустрии. Работаем в составе «Россельхозбанка».
Комментарии:
Top.Mail.Ru