Технические средства защиты не помогут против социальной инженерии

(Примерно так социальный инженер смотрит на ваши продуманные многоуровневые корпоративные системы безопасности)

***

Наверное, каждому из нас в какой-то момент жизни звонили из «службы безопасности банка». Кого-то эти загадочные неприятные люди просили подтвердить перевод на крупную сумму, кого-то — вернуть якобы взятые мошенниками по кредиту деньги. Сейчас схемы мошенничества усложнились и вокруг вас могут разыграть шекспировскую драму, где вы будете главным героем. Например, тревожным тоном поведать, что с вашего счёта прямо сейчас пытаются вывести взятые в кредит деньги злодеи из числа сотрудников самого банка, которых пытается остановить звонящий вам «специалист» и только ВЫ сможете ему помочь. Адреналин уже начинает зашкаливать. Звонить в сам банк нельзя — там засела крыса, которую вы спугнёте. А когда вам ещё и позвонит некто загадочный из следственного комитета, загробным тоном сообщая, что следствие секретно и о нём никому нельзя рассказывать…

Если читая описания мошеннических схем вы думаете, что никогда не поверите в этот цирк и на уловки мошенников ведутся только идиоты, то вероятность что вы попадётесь намного выше. Вы человек. Вы испытываете эмоции. Следовательно, вами можно манипулировать.

В конце концов, у каждого из нас есть моменты слабости, когда мы более уязвимы чем обычно. Можете ли вы гарантировать, что не попадётесь на крючок, если вас подогревали до этого целую неделю, втираясь в доверие, а сейчас вы болеете и соображаете хуже чем обычно?

Но, телефонными обзонами занимаются мелкие мошенники. А вот атаками на компании занимаются профессионалы социальной инженерии, способные проникнуть в самую защищённую сеть используя только одну, главную уязвимость системы — людей.

Даже сейчас, когда все знают о социальной инженерии, фишинге, хакерах и прочем, до сих пор работают такие вещи как:

1) Разбрасывание по общедоступной территории (парковки, дворы и т.д.) интересующей хакеров компании флешек с интригующими подписями вроде «зарплаты руководителей» или «конфиденциально». Нашедшие их любопытные люди сами добровольно вставляют в компьютеры потенциально вредоносное оборудование и открывают находящиеся на нём файлы, не задумываясь о возможных последствиях, вроде заражения хоста и всех компьютеров в сети.

2) Проникновение на территорию под видом нового сотрудника, который якобы забыл пропуск. В больших компаниях работает отлично — там новичков никто не знает и редко запоминает, а помочь ближнему в беде хотят многие. Некоторые энтузиасты проникают на публичные мероприятия под видом журналистов: заранее сделанная очень похожая на настоящую пресс-карта и немного убеждения, что его просто забыли внести в список, вполне может тронуть сердце охраны.

3) Электронное письмо или звонок от «начальника» того, кому адресовано послание. Начальники забывают пароли или личную информацию, начальники просят уточнить какие-то секретные сведения, которые вообще никому нельзя разглашать, начальник узнает что угодно, если человек которым им притворяется придумает причину, в которую легко поверить.

Это — то что доступно одному человеку. А теперь представьте, что можно провернуть, когда в дело вступает целая команда профессионалов.

Обычная атака телефонного мошенника направлена в обход критического мышления и воздействует прямо на эмоции. Сотрудники чёрных «call-центров» не являются тонкими манипуляторами, им достаточно всего лишь искусственно создать стрессовую ситуацию, в которой способность жертвы логически мыслить отключится. Для этого достаточно просто запугать собеседника.

Этот метод перестанет работать когда люди перестанут переживать за себя, своё имущество и своих близких. То есть, никогда.

Корпоративных клиентов чаще атакуют посредством фишинговых рассылок на электронную почту. Перед атакой проходит долгий этап сбора информации, где злоумышленники выясняют детали о компании, анализируют слабые места и ищут наиболее подходящих для атаки субъектов. Всё это нужно, чтобы итоговая рассылка выглядела убедительно.

Чем более таргетирована атака и чем лучше проведена предподготовка, тем больше вероятность, что жертва совершит целевое действие — введёт логин и пароль на фишинговом сайте, скачает и откроет вредоносный файл или сделает что-то ещё, чего от неё хотят преступники. Сделать можно всё, от идеальной подделки страницы аутентификации до послания с голосом и лицом гендира о том, что все будут уволены, если не пришлют на счёт сто рублей.

Мошенники играют на невнимательности и доверчивости получателя. Уставший офисный сотрудник с большей вероятностью не проверит, что пришедшие на почту документы на самом деле были посланы с корпоративной почты. Усталость сведёт на нет годы тренингов по кибербезопасности, потому что сотрудникам не до паранойи и проверки входящих, им работать надо. Не слишком убитому человеку легко вложить в голову идею не доверять подозрительным письмам, но целевые фишинговые письма может не выдавать ничего из того, что заметно на первый взгляд.

Получается безвыходная ситуация: как ни предупреждай окружающих об опасности, вероятность заражения сети никогда не опустится до нуля. При этом слишком большой упор на безопасность вредит эффективности работы: бесконечные проверки и десятки фильтров информации замедляют и людей, и компьютеры. Не у всех есть бесконечное количество денег для службы безопасности.

Общие советы:

● Не верить чужакам

● Не быть любопытным

● Проверять, проверять, проверять

Постоянная бдительность — единственный способ защититься о социальной инженерии. Проверять отправителей в письмах, не доверять посторонним людям, которых вы не знаете, да и своим знакомым тоже не доверять и не рассказывать по секрету всему свету конфиденциальную информацию. Даже маловажную. Преступник сможет зацепиться за что угодно, чтобы получить полный доступ.

Конечно, в полную паранойю скатываться тоже не стоит (коллег быстро утомит, если вы начнёте проверять каждый их файл), но если вам пишут что-то странное ваши знакомые — свяжитесь с ними по другому каналу и спросите, они ли это. Например, увидев странное письмо позвоните отправителю на мобильный. Ещё лучше — спросите лично. Красть тела мошенники пока не научились. Доверять людям из крови и плоти можно, если вы знаете их достаточно давно, чтобы доверять.

Чтобы минимизировать потенциальные потери компании следует выстраивать инфраструктуру безопасности по принципу Zero Trust — как будто все пользователи уже скомпрометированы. Для этого сеть сегментируется на максимально мелкие части и каждому пользователю выдаётся минимально необходимое количество прав. Это в том числе делается для защиты от дурака, но и от вторжения извне поможет.

Помните, что атака социального инженера — просто обход вашей внешней защиты через уязвимое место, за которым последует троян, шифровальщик или червь. Используйте защищённые сервисы, создавайте внятные протоколы передачи информации между сотрудниками, инструктируйте, проводите пентесты.

Старший инженер ИТС "Citytelecom Санкт-Петербург" Егор Калугин