Приемы против социнженерии: наш опыт

В 2022 году примерно 84% организаций стали жертвами хотя бы одной фишинговой атаки по электронной почте. А 74% всех утечек данных в 2023 году произошли по вине человеческого фактора.

Мы в RTM Group занимаемся кибербезопасностью и правом в ИТ, а потому регулярно сталкиваемся с последствием атак с применением социальной инженерии в корпоративном секторе и разрабатываем меры противодействия злоумышленникам. Ниже расскажем обо всем, что важно знать про такие инциденты, а также о том, как не стать жертвой. И бонусом: что делать, если вы пострадали.

Социальная инженерия – это метод получения несанкционированного доступа к информации нетехническими методами, с помощью воздействия на психологию людей. В широком смысле сюда входят обман, шантаж, подкуп, угрозы и другие методы воздействия. При этом злоумышленник может взаимодействовать с жертвой различными путями – с помощью обычной и электронной почты, по телефону, при личной встрече, через социальные сети, мессенджеры и т.д.

Методы социальной инженерии позволяют злоумышленникам решать те же задачи, что и обычный «хакинг», но часто делают это эффективнее и проще, требуя от злоумышленника относительно меньшей квалификации в области информационных систем.

Такие методы могут применяться для совершения атак в сфере финансов и страхования, здравоохранения, производства, энергетики и коммунальных услуг, государственного и муниципального управления, транспорта и т.д. Они могут быть направлены против организаций и частных лиц для получения неправомерного доступа к персональным данным, для внедрения программ-шифровальщиков и последующего вымогательства, для нарушения функционирования сервисов и т.д.

Например, получить доступ к учетной записи пользователя можно перехватив сетевой трафик или проэксплуатировав какую-то уязвимость ПО. Но это требует большой квалификации – нужно каким-то образом перенаправить трафик через компьютер злоумышленника, преодолеть криптографическую защиту, обнаружить уязвимость, соблюсти требования, необходимые для ее эксплуатации и т.д. А можно просто спросить учетные данные у самого пользователя под видом технической поддержки или предложить пользователю самостоятельно установить «бэкдор» (механизм получения несанкционированного доступа к системе) под видом нового положения о премировании, или даже компьютерной игры. И перехватить доступ к аккаунту.

Украсть коммерческую тайну можно, преодолев несколько рубежей защиты – антивирусы, файрволлы, политики безопасности, средства защиты операционных систем и т.д. А можно просто надеть спецовки, представиться сотрудниками провайдера, которым необходимо провести сервисное обслуживание оборудования и получить доступ непосредственно в серверную комнату, что нашим экспертам не раз удавалось провернуть на практике.

Вот основные тактики манипулирования эмоциями и доверием пользователей: «Quid pro quo» (услуга за услугу), лже-руководитель, лже-поддержка, Scareware (пугалка), Baiting (приманка), Water-Holing («водопой»), Pretexting attack, Honey Trap, Honey Pot («медовая ловушка», «горшочек мёда»), Tailgating или Piggyback («задняя дверь», «катание на спине»), Плечевой серфинг, обратная социальная инженерия и другие. При этом постоянно появляются новые тактики и совершенствуются старые.

Самая совершенная система защиты может оказаться беспомощна перед человеческим фактором на всех уровнях управления. По данным SearchInform, в Москве за 2023 год виновниками 26% случаев утечек данных стали руководители направлений и топ-менеджеры компаний, при этом 22% компаний в 2022 году не обучали сотрудников правилам информационной безопасности.

По опыту проведенных в 2023 году компанией RTM Group социотехнических тестирований, эффективность одной фишинговой рассылки может доходить до 30%.

Социальные инженеры могут быть весьма изобретательны и хорошо подготовлены. Однако, есть индикаторы, которые могут их выдать. Наличие тех или иных «красных флажков» зависит от выбранной тактики и способа взаимодействия с пользователем. Невозможно сделать исчерпывающий перечень признаков подозрительных электронных писем, сообщений, звонков и сайтов, но следующие детали должны насторожить:

- ошибки в тексте: стилистические или даже орфографические (у всех крупных организаций есть в штате корректоры, поэтому от них не могут приходить официальные письма с ошибками);

- ошибки в дизайне: письмо или страница имитируют официальные, но отличаются деталями (например, логотип не в тех цветах, подпись отличается от общепринятой в организации, шрифты и т.д.), отсутствует подпись и контактные данные;

- ошибки в имени домена: злоумышленники часто используют названия доменов с похожим написанием, отличающиеся лишь несколькими буквами (так называемые омоглифы);

- подозрительный внешний вид сайта: присутствуют изображения низкого качества, либо бесплатные стоковые «картинки», не связанные с тематикой сайта, есть реклама, в т.ч. назойливая, а также используется незащищенное соединение по протоколу HTTP и т.п.;

- срочность действий, требуемых от пользователя: так, настойчиво предлагается оперативно сделать банковский перевод, сообщить данные авторизации, совершить звонок, авторизовать сделку и т.д. – мошенники всегда очень спешат, чтобы жертва не передумала и не вмешались третьи лица;

- наличие настойчивых предложений перейти по какой-то ссылке или что-либо скачать;

- странность в обращении - универсальное, а не личное обращение, либо неточная информация о пользователе;

- неуверенная, либо нелогичная речь во время звонка, не владение данными, о которых должен знать легитимный звонящий;

- попытки воздействовать на эмоции: запугать потенциальную жертву, убедить, что компании или ей лично что-то угрожает, либо, наоборот, воодушевить перспективой получения денежного бонуса или продвижения по службе и т.д.

- просьба пойти против правил, то есть выполнить какие-то нетипичные или непредусмотренные действия, в том числе полученные от известного источника (например, аккаунта руководителя в случае его компрометации);

- слишком выгодное предложение, скидка, выигрыш (иногда в лотерее, в которой пользователь даже не участвовал), бонус и т.д.;

- подозрительный размер или расширение вложения к письму (например, поступает отчет размером в несколько десятков или даже сотен мегабайт).

Прежде всего, важно понимать, что для эффективного противодействия социальной инженерии необходимо критически воспринимать всю поступающую информацию. Методы противодействия угрозам социальной инженерии можно разделить на две группы: нетехнические и технические.

Способ нетехнической защиты от социальной инженерии основан на выявлении перечисленных выше признаков подозрительных писем, сообщений, звонков и сайтов:

- не предпринимайте никаких срочных действий, как бы ни хотели вас принудить к ним, постарайтесь сохранять рассудительность, бдительность, отсеките эмоции, действуйте разумом;

- обратите внимание на дизайн письма или сайта – изучите внимательно детали – насколько все соответствует привычному, официальному;

- проверьте доменное имя сайта и адрес электронной почты отправителя на наличие ошибок, неточностей, несоответствий;

- посмотрите на ошибки в тексте, стилистические и орфографические;

- не переходите по ссылкам и не скачивайте файлы из непроверенных источников, никому не передавайте свои учетные данные;

- не доверяйте личному обращению и знанию дополнительных сведений о вас – мошенники часто берут их из баз утечек в Интернете или заказывают в специализированных группах в Телеграм;

- не стесняйтесь уточнять детали, задавать вопросы по теме, а после анализируйте получаемые ответы;

- проверяйте подлинности источников информации, обращайтесь к альтернативным каналам для уточнения запроса, даже если с вами связываются от имени руководителя;

- не верьте во внезапную выгоду, выигрыши в лотерею и прочее- помните, что бесплатный сыр бывает только в мышеловке;

- не публикуйте в соцсетях личную информацию, которая в дальнейшем может быть использована злоумышленниками против вас;

- не предпринимайте самостоятельно никаких действий при подозрении на атаку социальной инженерии, обратитесь в подразделение информационной безопасности вашей организации или руководителю;

- используйте стойкие пароли и регулярно меняйте их, не применяйте одинаковое сочетание клавиш для разных учетных записей.

Также предлагаем рекомендации для руководства компаний:

- разработайте политику безопасности и придерживайтесь ее, чтобы сделать меры по противодействию угрозам социальной инженерии привычными и регулярными;

- проводите регулярное обучение сотрудников основам информационной безопасности и методам противодействия угрозам социальной инженерии на практических кейсах;

- проводите регулярное негласное тестирование осведомленности сотрудников в области противодействия угрозам социальной инженерии в организации, с общим обсуждением результатов проверок, которые, однако, не должны противоречить рекомендациям следующего пункта этого списка;

- создайте в организации атмосферу, при которой сотрудники не боятся обращаться друг к другу и руководству для уточнения чего-либо, а также сообщать о своих ошибках. Чтобы исключить ситуации, когда пользователь стал жертвой социального инженера, передал ему свои учетные данные, либо запустил вредоносное ПО, но постарался скрыть этот факт, опасаясь наказания, в то время как «хакеры» уже исследуют информационную инфраструктуру организации.

К сожалению, в рабочей рутине не всегда возможно поддерживать высокий уровень бдительности и критичности к поступающей информации. Поэтому существуют рекомендации как помочь себе и сотрудникам не стать жертвой социального инженера техническими методами:

- используйте средства защиты информации: антивирусы (как клиентские, так и серверные, почтовые), межсетевые экраны, системы обнаружения и предотвращения вторжений, системы предотвращения утечек конфиденциальной информации, системы агрегации и анализа событий безопасности;

- используйте блокировку сообщений электронной почты без корректных записей DKIM (защита от подмены адреса отправителя с помощью электронной подписи), SPF (информации о доверенных серверах, с которых разрешено отправлять письма от имени домена) и DMARC (политики обработки писем, если записи DKIM и SPF окажутся некорректны);

- настройте автоматическое проставление соответствующих меток на письмах, поступающих извне, чтобы повысить бдительность пользователей в отношении них;

- настройте отслеживание и анализ массовых рассылок, поступающих извне от одного источника;

- настройте двухфакторную аутентификацию для наиболее важных ресурсов;

- настройте блокировку подозрительных вложений и ссылок во входящих письмах. При этом, в каждом случае определяется индивидуально, что именно подлежит блокировке – только исполняемые файлы, архивы или вообще все вложения. Нужно соблюсти баланс адекватности, логики и безопасности, чтобы принятые меры не слишком сильно отражались на эффективности работы.

Если атака социальной инженерии оказалась успешной, задача на первом этапе - как можно скорее принять меры к тому, чтобы полученная в результате атаки информация или действия пользователя потеряли для злоумышленника какую-либо полезность.

Шаги, которые необходимо предпринять после инцидента разделим на три части – действия сотрудника, действия руководителя и технические меры.

Действия пользователя:

- немедленно сменить пароль скомпрометированной учетной записи;

- немедленно обратиться в банк, заблокировать карту или счет, если атаке подверглись банковские данные;

- немедленно сообщить об инциденте руководителю и службе безопасности;

- записать номер телефона звонящего, сохранить сообщение, письмо, ссылку, по которой перешли, сделать скриншоты, сохранить скачанный файл и другие следы атаки для дальнейшего анализа.

Действия руководителя:

- провести анализ причин возникновения инцидента с точки зрения управления персоналом;

- внести изменения в политику безопасности и программу регулярного обучения с учетом результатов анализа;

Технические меры:

- немедленное заблокировать скомпрометированную учетную запись и создать новую;

- остановить дальнейшую утечку данных вплоть до временного отключения сервисов;

- оценить масштаб эскалации инцидента;

- локализовать и временно изолировать скомпрометированные компоненты системы;

- обновить антивирусные базы и провести полную антивирусную проверку системы;

- провести анализ причин возникновения инцидента с точки зрения технических мер защиты;

- внести изменения в технические меры защиты с учетом результатов анализа.

Следование приведенным рекомендациям значительно снизит вероятность стать жертвой социального инженера. Однако, всегда следует иметь в виду, что этот перечень мер не может быть исчерпывающим, так как постоянно появляются новые методы и подходы.

Например, прослеживается тенденция использования искусственного интеллекта в атаках социальной инженерии. В частности, он позволяет избавиться не только от грамматических ошибок в тестах, но также реалистично имитировать необходимый стиль переписки, в том числе, на других языках. Также с его помощью можно создавать реалистичные поддельные голоса для телефонных звонков, поддельные фотографии и видеоролики, которые могут быть использованы социальными инженерами.

Преступниками искусственный интеллект может применяться при создании новых, более эффективных тактик и методов социальной инженерии. Защитники могут задействовать ИИ в инструментах безопасности, использующих ту или иную форму технологии искусственного интеллекта для анализа, обнаружения и реагирования на сложные формы социальной инженерии. Например, это могут быть решения, применяющие ИИ для проверки содержимого, контекста и метаданных всех сообщений и URL-адресов (в Интернете, чате и электронной почте) для обнаружения явных признаков фишинга.

Искусственный интеллект может помочь в реагировании на инциденты: для отключения сети, изоляции зараженных устройств, уведомления администраторов, сбора доказательств и восстановления резервных копий.