У цьому підручнику ми познайомимо вас із поширеними методами соціальної інженерії та з тим, способи захисту систем від них.
475 
Чи чули ви про такі види інформаційних атак, як Baiting, Honey Trap, Scareware, Water Holing, Quid pro Quo? У цій статті розглянемо їх і ряд інших, у тому числі різні види фішингу, а також наведемо гучні приклади атак і розповімо про ефективні засоби захисту від них. Усі ці дії зловмисники роблять із єдиною метою — заволодіти особистими даними користувачів. І для початку про те, що поєднує всі ці види атак. Розуміння механізмів соціальної інженерії зробить вас набагато менш уразливими до цього типу маніпуляцій.Соціальна інженерія є багатогранним і складним способом отримання конфіденційної інформації від користувачів із застосуванням методів переконання і технологічних засобів. Будь-яка людина в сучасному світі є вразливою до соціальної інженерії, а отже, повинна залишатися постійно в курсі того, з ким вона взаємодіє як в режимі онлайн, так і віч-на-віч. Статистика демонструє, що велика кількість людей ставиться до використання власної конфіденційної інформації неуважно.
Соціальна інженерія – це способи маніпулювання людьми з метою отримання від них конфіденційної інформації. Інформація, яку шукають злочинці, може бути різною, але найчастіше це банківські реквізити та паролі від облікових записів. Крім того, злочинці можуть спробувати отримати доступ до комп’ютера жертви, щоб встановити там шкідливе програмне забезпечення, яке допомагає витягувати будь-яку інформацію. І тут зловмисники використовують різноманітний арсенал соціальної інженерії, адже значно легше отримати від людини бажане (персональні дані), завоювавши її довіру. Це значно зручніший шлях, ніж прямий злом чийогось облікового запису: використовувати слабкості користувачів набагато простіше, ніж намагатися знайти вразливість сервісу або програмного забезпечення. Нерідко атаки з використанням засобів соціальної інженерії відбуваються у два етапи. Спочатку шахраї досліджують ймовірну жертву, щоб зібрати необхідну довідкову інформацію. Саме на цьому етапі зловмисник намагається здобути довіру жертви. А після успішних спроб налагодити «добрі» стосунки злочинець, використовуючи різні хитрощі, витягує з жертви конфіденційну інформацію (наприклад, паролі та IP-адреси). Про різні типи таких хитрощів ми зараз і поговоримо.
Існують різні типи кібератак, наприклад, уведення шкідливого коду у код вебсайту або застосування шкідливих програм (вірусів, троянів тощо). Атаки такого виду перешкоджають керуванню пошкодженим продуктом або його налагодженню. Що ж стосується соціальної інженерії, то цей тип атак спрямований не безпосередньо на комп’ютерну систему, а на її користувачів — «найслабшу ланку», і шляхом обходу інфраструктури, призначеної для захисту від шкідливих програм, він дозволяє досягти тих же результатів, що й інші види кібератак.
Оскільки такі прийоми значно складніше виявити чи запобігти їм, цей напрям атак є набагато ефективнішим за інші. Основна тактика соціальної інженерії — за допомогою психологічних методів (наприклад, спілкуючись начебто від імені сервісної компанії чи банку) переконати користувача розкрити інформацію особистого характеру (паролі, номери кредитних карток тощо). Відомо більше десяти видів таких атак, а якщо врахувати комбіновані способи, частину з яких ми теж розглянемо, їх кількість налічує вже кілька десятків.
Ці атаки активно експлуатують людський чинник для збору облікових даних або поширення шкідливих програм. Можна сказати, що фішинг – це шахрайське використання електронних комунікацій для обману та отримання користі від користувачів. Найчастіше за допомогою фішингових атак зловмисники намагаються отримати таку конфіденційну інформацію, як логіни та паролі, дані кредитних карток, мережеві облікові дані.
Також фішингова атака може бути спланована таким чином, що після переходу на підроблений сайт у жертви виникнуть інші неприємності: наприклад, на комп’ютер встановиться шкідливе шпигунське ПЗ або зависатиме система через атаку програми-вимагача. У ряді випадків шахраї задовольняються отриманням інформації про кредитну картку жертви або іншими особистими даними для отримання фінансової вигоди.
Але буває, що фішингові електронні листи надсилаються для отримання реєстраційної інформації співробітника або інших даних для подальшої розширеної атаки на конкретну компанію. Є кілька типів фішингових кібератак. Це такі різновиди, як цільовий, голосовий, СМС-фішинг, а також китобійний (за описом буде зрозуміло, чому він так називається) і клон-фішинг.
Такі атаки схожі на звичайний фішинг, проте націлені вони на конкретну людину чи організацію. Тому спочатку зловмисники збирають докладну інформацію про свої цілі, щоб потім надсилати електронні листи, які мають максимально правдоподібний вигляд. Люди часто немає і думки, що фішингове лист надійшло з ненадійного джерела. Цільовий фішинг можна назвати більш просунутою версією звичайного, оскільки він вимагає набагато соліднішої підготовки. З цієї причини захиститись від такої атаки звичайними технічними засобами вкрай складно.
А крім того, особа, яка зазнає цільового фішингу, в більшості випадків не є реальною метою злочинців — їх кінцевою метою зазвичай стає корпоративна мережева інфраструктура, отримавши контроль над якою, шахраї отримають із цього фінансову вигоду.
У цьому випадку злочинці використовують телефон для збирання особистої та фінансової інформації жертви. Наприклад, зловмисник може представитися співробітником банку або страхової компанії і під приводом реклами нових послуг поступово вивідувати особисті дані співрозмовника. Так, «вішери» можуть заставати своїх жертв зненацька, пропонуючи їм отримати кредит на дуже вигідних умовах. А оскільки такі послуги часто пов’язані з розголошенням особистої фінансової інформації, то, якщо шахрай зможе переконати жертву в законності своєї пропозиції, людина може навіть не запідозрити каверзи і передати злочинцеві конфіденційну інформацію.
Деякі зловмисники зосереджуються на хворих або людей похилого віку. І за таких атак вони безсовісно використовують нестабільний фізичний та/або психічний стан жертви, щоб переконати людину, що вона має заради отримання допомоги передати свої особисті дані. У таких випадках лиходії використовують як наживку обіцянку фінансової допомоги, але тільки після того, як їм нададуть особисту інформацію. Ще один найпоширеніший вид вішинг-атак: злочинці повідомляють, що нібито щось трапилося з близькими жертви, а за вирішення проблеми вимагають швидко переказати гроші.
Приклад, який частково відноситься і до «китобійного» фішингу: у березні 2019 року генеральному директору британської енергетичної компанії зателефонувала людина, яка говорила таким самим голосом, як і його президент. Співрозмовник був настільки переконливим, що генеральний директор перевів 243 тисячі доларів «угорському постачальнику» на банківський рахунок, який насправді належав шахраю.
Для цього виду атак фішингу задіяні мобільні пристрої. Жертві надходить повідомлення нібито з номера банку. У повідомленні зазвичай міститься деяка лякаюча інформація (див. розділ Scareware нижче), а потім пропонується вирішення проблеми. Класичний приклад: з особового рахунку жертви нібито здійснено нецільове списання коштів, тому людині пропонується перейти за посиланням на сторінку банку (зрозуміло, підроблену) або зателефонувати за вказаним номером телефону (теж контрольованому шахраями).
Також людям надходять повідомлення з проханням допомогти постраждалим від будь-якого стихійного лиха, але щоб допомогти, потрібно залишити свої особисті дані. Особливо хитрі хакери можуть таким чином місяцями “доїти” своїх жертв, регулярно знімаючи невеликі суми, щоб не насторожувати людей.
Це фішингова атака, орієнтована безпосередньо на топ-менеджера великої компанії. Тому вона і називається «китобійною», адже жертва оцінюється високо, а вкрадена інформація буде набагато ціннішою, ніж та, яку можуть запропонувати шахраям звичайні співробітники компаній. А оскільки жертвами в даному випадку обираються високопосадовці, злочинці діють відповідним чином: наприклад, надсилають повідомлення юридичного характеру або пропонують обговорити серйозні фінансові питання.
Найбільша атака подібного типу, причому не тільки фішингова, а й взагалі з використанням засобів соціальної інженерії, була здійснена громадянином Литви Евалдасом Рімасаускасом проти двох найбільших веб-корпорацій світу: Google та Facebook. Рімасаускас та його команда створили фальшиву компанію та видавали себе за виробника комп’ютерів, який працював з Google та Facebook. Рімасаускас також відкрив банківські рахунки на ім’я компанії. В результаті веб-гіганти зазнали сумарних збитків на суму понад 120 мільйонів доларів.
А ось ще один гучний випадок: китайський виробник запчастин для літаків FACC втратив майже 60 мільйонів доларів в результаті афери, коли шахраї видавали себе за високопосадовців і обманом змушували співробітників переказувати їм кошти. Після інциденту FACC витратила ще кілька мільйонів, намагаючись у суді вибити компенсацію зі свого генерального директора та фінансового директора. Представники компанії стверджували, що керівники не впровадили належну систему контролю за внутрішньою безпекою, проте в позові FACC було відмовлено.
Принцип цієї фішингової атаки полягає в тому, що хакер відправляє підроблений електронний лист, замаскований під звичайне, причому адреса, з якої був відправлений лист, дуже схожий на один з тих, які використовують відомі та надійні джерела (наприклад, Mail.crop замість Mail). corp). Тобто фішингові електронні листи виглядають так, ніби їх надіслав ваш банк чи провайдер послуг, і його співробітники просять надати вашу особисту інформацію.
Таким чином, шахраї копіюють форму корпоративного електронного листа, створюючи майже ідентичний зразок: тільки такий лист відправляється не з справжньої, а з схожої адреси. Тіло листа виглядає так само, як і в листах, які користувач вже отримував від цієї організації, проте посилання в листі замінюються на шкідливі. Крім того, винахідливі злочинці можуть навіть пояснити жертві, чому вона знову отримує «те саме повідомлення».
Фактично такі листи мають на меті єдину мету: «соціальні хакери» намагаються змусити одержувача розкрити особисту або фінансову інформацію шляхом натискання на посилання в листі, в результаті чого користувач перенаправляється на зовні схожий, але контрольований злочинцями сайт, призначений для крадіжки особистої інформації.
Свіжий приклад клон-фішингу: у січні 2022 року було здійснено масштабну атаку, метою якої було розкрадання облікових даних із сервісу Office 365. Зловмисникам вдалося успішно імітувати повідомлення від Міністерства праці США (DoL). Це шахрайство є наочним прикладом того, наскільки ефективними стають спроби фішингу. В даному випадку адреси з реальним доменом dol.gov підмінялися адресами з попередньо куплених шахраями доменів dol-gov.com та dol-gov.us. При цьому фішингові електронні листи успішно проходили через шлюзи безпеки цільових організацій.
В електронних листах використовувалися офіційні атрибути DoL, а листи були написані професійно, запрошуючи одержувачів взяти участь у торгах за державним проектом. Інструкції з торгів були включені в тристорінковий PDF-файл із вбудованою кнопкою «Заявитися». При переході на посилання жертви перенаправлялися на фішинговий сайт, який виглядав ідентично реальному сайту DoL. Сайт підроблених торгів пропонував користувачам ввести свої облікові дані Office 365 і навіть відображав повідомлення про помилку після першого введення. Таким чином, гарантувалося, що жертва введе свої облікові дані двічі, що зменшувало ймовірність помилкового введення. Цієї ситуації не виникло б, якби цільова організація вжила б більш ефективних заходів безпеки електронної пошти.
Суть цього типу атак полягає в тому, що жертву лякають (найчастіше спливаючими вікнами при відвідуванні зламаних шахраями сайтів), змушуючи думати, що її комп’ютер заражений шкідливим ПЗ або має випадково завантажений нелегальний контент. Через деякий час, коли шахрай розуміє, що жертва дозріла, він пропонує вирішення цієї фіктивної проблеми. Однак насправді та програма, що пропонується жертві під виглядом антивірусу, є шкідливим ПЗ, метою якого є розкрадання особистої інформації користувача.
Таким чином, творці «пугалок» використовують технологію навіювання, викликаючи страх користувача та підштовхуючи його до встановлення підробленого антивірусного програмного забезпечення.
Дуже оригінальний метод соціальної інженерії, коли розрахунок робиться однією з найпоширеніших людських вад – цікавість. Суть приманки Baiting в тому, що зловмисник навмисно залишає заражені шкідливим програмним забезпеченням (наприклад, USB-накопичувачі) у місцях, де їх обов’язково знайдуть (наприклад, у курилці офісної будівлі). Жертва заковтує цю нехитру наживку та вставляє флешку комп’ютер, внаслідок чого відбувається автоматичне встановлення шкідливих програм у систему.
Дуже оригінальний метод соціальної інженерії, коли розрахунок робиться одним із найпоширеніших людських пороків – цікавість. Суть приманки в тому, що злодій навмисно залишає заражені вредним програмним забезпеченням (наприклад, USB-накопичувачі) у місцях, де їх обов’язково знайдуть (наприклад, у курилці офісної будівлі). Жертва заковтує цю нехитру наживку та вставляє флешку на комп’ютер, внаслідок чого відбувається автоматичне встановлення шкідливих програм у систему.
Що стосується Water-Holing, то назва повністю відображає суть атаки, тільки «вода» тут — отруєна. Використовуючи вразливості мережі, зловмисник намагається скомпрометувати певну групу людей, заражаючи сайти, які вони відвідують і яким довіряють. Об’єктами атак типу «водопою» нерідко стають популярні сайти, які називають цільовою групою (target group). Своїх жертв кіберзлочинці, які практикують Water holing (інша назва: Watering hole), називають «цільовим видобутком» (target prey), і найчастіше в ролі такого видобутку виступають співробітники державних установ чи великих організацій.
Хакери вивчають уразливості сайтів «цільової групи» і впроваджують туди шкідливе ПЗ, зазвичай заховане JavaScript або прямо в HTML коді. Цей шкідливий код перенаправляє «видобуток» із сайтів цільової групи на інший, де встановлено шкідливе програмне забезпечення або реклама. Тепер віруси готові заражати комп’ютери, щойно жертви заходитимуть на скомпрометовані сайти.
Суть атаки Pretexting attack полягає в тому, що одна сторона просто бреше іншою, щоб отримати доступ до привілейованих даних. Шахрайство часто ініціюється несумлінним співробітником, який вдає, що йому потрібна конфіденційна інформація від жертви для виконання важливого завдання. Жодного злому — чистий психологічний вплив, який виглядає дуже природно.
Така атака, як Quid pro quo, зазвичай виконується шахраями, які не мають у своєму арсеналі просунутих інструментів злому, проте проводять попереднє дослідження цілей. Використовуючи цей вид атак, зловмисник вдає, що надає жертві важливу послугу. Наприклад, хакер знаходить когось із високими привілеями доступу до мережі та дзвонить йому по телефону, представляючись співробітником служби технічної підтримки компанії. При успішних переговорах та злагоді жертви на «допомогу» у вирішенні нібито виявлених проблем, кіберзлочинець починає керувати жертвою, змушуючи її вчиняти певні дії. Ці дії в результаті призводять до запуску шкідливого ПЗ в систему або до крадіжки реєстраційних даних.
Пам’ятаєте байку про ворону та лисицю? Принцип атак типу Honey Pot такий самий. Шахрай знайомиться з жертвою і вдає, що відчуває до неї певний інтерес (наприклад, романтичний або сексуальний потяг). Поступово зав’язуються віртуальні «відносини», які жертва починає сприймати всерйоз. А привабливий злочинець, не гаючи часу даремно, поступово збирає конфіденційну інформацію, яка потім може бути використана, наприклад, для злому акаунтів у соцмережах або скриньки електронної пошти. Також шахрай може отримати від довірливої жертви віддалений доступ до її комп’ютера.
Ще один оригінальний прийом із арсеналу фахівців із соціальної інженерії, який чимось схожий на попередні, це Tailgating або Piggyback. В даному випадку злочинець входить в приміщення, що охороняється, слідуючи за кимось з картою доступу. Зрозуміло, хакер вже є “другом” співробітника з привілейованим доступом і проходить за ним у зону зборони.
Rogue Attack є різновидом Scareware атак. На комп’ютер жертви під приводом безпеки встановлюється шкідливе програмне забезпечення, а зловмисник переконує жертву, що це програмне забезпечення є цілком законним і безпечним. Встановлена програма створює спливні вікна та оповіщення, які радять користувачеві завантажити нове «безпечне програмне забезпечення». Спливаючі вікна нерідко показують користувачеві кілька варіантів угоди (з різними сценаріями). Однак різниці немає: натиснувши «так» на будь-який із цих варіантів, користувач завантажує на свій комп’ютер небезпечну програму. Тепер комп’ютер у розпорядженні зловмисника.
У Крадіжці з диверсією «соціальні інженери» обманом змушують службу доставки або кур’єра доставляти покупцям підробки, що нічого не підозрюють. А дорогі речі, звичайно, потрапляють прямо до рук шахраїв. Це працює наступним чином: злочинці підсаджують до компанії з доставки своїх спільників, а останні отримують легкий доступ до списку товарів для доставки, які потім можна оперативно підміняти. Цей спосіб крадіжки виник ще до появи інтернету (його батьківщина – лондонський Іст-Енд), проте з розвитком мережевих технологій злочинцям стало простіше маніпулювати інформацією.
Найважливіший крок у захисті окремих співробітників та цілої організації від атак за допомогою соціальної інженерії – систематичне та постійне інформування всіх користувачів (на всіх рівнях та у всіх відділах) про типи цих атак та про те, які психологічні прийоми використовують зловмисники, щоб отримати потрібні дані.
Тестування на проникнення. Експерти з кібербезпеки рекомендують ІТ-відділам регулярно проводити тестування на можливі атаки з використанням методів соціальної інженерії. Це допоможе адміністраторам дізнатися, які користувачі мають найбільший ризик для певних типів атак. Тест на проникнення – це штучно змодельована кібератака на комп’ютерну систему або певних користувачів для перевірки вразливості. Такі періодичні тести корисні тим, що дозволяють визначити готовність користувачів та оцінити можливі масштаби витоку даних. Проводити імітацію фішингових тестів можна за допомогою спеціальних програм. Під час тестів співробітникам розсилають фішингові електронні листи та з’ясовують, хто потрапляє на тактики соціальної інженерії. Потім ці працівники можуть пройти перепідготовку.
Двофакторна автентифікація (2FA). 2FA включає два методи підтвердження особи: наприклад, пароль та код на телефон. Це один із найбільш ефективних методів протидії атакам за технологіями соціальної інженерії.
Використання захисту від шкідливих програм. Такий захист має бути комплексним і включати антивірусне програмне забезпечення для веб-серфінгу, поштовий антивірус і антишпигунське програмне забезпечення (antimalware). Деякі компанії надають пакетний захист, але можна використовувати кілька хороших додатків від різних розробників. Одним з найбільш важливих завдань такого захисту є запобігання небезпекам при натисканні користувачем на посилання з листів та в месенджерах. Таким чином, якщо користувач натискає на посилання (в браузері, електронній пошті або месенджері) і якщо веб-сторінка є підозрілою з точки зору мережних загроз, захист повинен запобігати завантаженню сторінки зі шкідливим контентом та блокувати її.
Регулярні поновлення операційної системи. Операційні системи всіх комп’ютерах організації мають оперативно оновлюватися, оскільки розробники часто випускають фікси усунення помічених уразливостей.
Правильний підбір та періодична зміна пароля. Як ефективний превентивний захід організаціям слід застосовувати суворі політики управління паролями. Співробітники повинні бути зобов’язані періодично змінювати свої паролі і, що не менш важливо, правильно складати їх. Найкращий варіант тут: випадково згенеровані складні паролі, підібрати які практично неможливо. Зрозуміло, потрібно навчити співробітників та правильного зберігання таких паролів.
Використання брандмауера. Хороший мережевий фаєрвол (WAF) блокує шкідливі запити, які можуть включати і атаки з використанням соціальної інженерії. Таким чином, перш ніж відвідувачі потрапляють на ваш сайт, вони фільтруються WAF, який визначає, чи є підключення безпечним, і блокує підключення, якщо воно схоже на шахрайську атаку.
Створення позитивної атмосфери. Ваші співробітники повинні почуватися комфортно, без сорому повідомляючи про свої підозри, якщо вони вважають, що стали жертвою атаки соціальної інженерії: але вони не зроблять цього, якщо відчуватимуть загрозу покарання чи громадського засудження. Це важливо, оскільки якщо про такі атаки повідомляється відразу після їх виникнення, загроза може бути оперативно усунена до того, як компанії буде завдано занадто великої шкоди.
Але ці поради призначені насамперед керівництву компанії та IT-фахівцям, а що ж робити користувачам, у тому числі і з високим рівнем доступу, які також часто втрачають пильність? Їм ми теж дамо кілька порад, які з певною ймовірністю допоможуть запобігти створенню вразливостей.
Не переходьте на посилання з підозрілих листів.
Уникайте завантаження підозрілих вкладень електронної пошти.
Щоб визначити, чи був лист підроблений, ретельно перевіряйте ім’я відправника та адресу електронної пошти на наявність помилок.
З підозрою ставтеся до будь-яких несподіваних повідомлень, особливо тих, кого ви не знаєте.
І наостанок красномовна статистика: у Звіті про кіберзлочинність США за 2019 рік говориться, що фішингові атаки завдали збитків фізичним і юридичним особам на суму близько 58 мільйонів доларів. Крім того, жертвами цих атак стали близько 115 тисяч людей або організацій. І щоб адекватно оцінити ці цифри та масштаби загрози, слід мати на увазі, що цей звіт стосується лише США.
475 
319 
297