Социальная инженерия - это самый сильный метод атаки против самой слабой уязвимости предприятия, его сотрудников. Хакеры-преступники признают этот факт. Согласно отчету Proofpoint о человеческом факторе за 2016 год, в 2015 году социальная инженерия стала методом атаки номер один .
Эти успешные методы социальной инженерии часто используют фишинг и вредоносное ПО. Но у злоумышленников есть больше инструментов и подходов, чем у них.
Вот почему CSO охватывает шесть наиболее эффективных методов социальной инженерии, которые злоумышленники используют как в Интернете, так и за его пределами, обеспечивая понимание того, как каждый из них работает, что он выполняет, а также технологии, методы и политики для обнаружения и реагирования на социальных саботажников и держать их в страхе.
Метод первый: включение макросов. Киберпреступники используют социальную инженерию, чтобы обманом заставить пользователей организации включить макросы, чтобы вредоносное ПО с макросами работало. При атаках на критически важную инфраструктуру Украины в документах Microsoft Office появлялись фиктивные диалоговые окна, в которых пользователям предлагалось включить макросы для правильного отображения содержимого, созданного в более поздней версии продукта Microsoft.
Мошенники написали текст диалога на русском языке и сделали вид, что изображение диалога исходит от Microsoft. Когда пользователи подчинились и включили макросы, вредоносная программа документа заразила компьютеры пользователей. «В этой тактике фишинга использовался интересный прием социальной инженерии, чтобы учесть тот факт, что у большинства пользователей отключены макросы, - говорит Фил Нерей, вице-президент CyberX по промышленной кибербезопасности.
Техника вторая: сексторция. В атаках, называемых кетфишингом, киберпреступники выдают себя за потенциальных любовников, чтобы заманить жертв к обмену компрометирующими видео и фотографиями, а затем шантажировать их. «Эти ловушки созданы для того, чтобы нацеливаться на предприятие, - говорит Джеймс Мод, старший инженер по безопасности Avecto.
По словам Мод, преследуя руководителей высшего звена предприятия с помощью социальных сетей, сексторционеры в конечном итоге шантажируют их, заставляя их раскрыть конфиденциальные данные. По словам Мод, эти атаки происходят лично в барах и отелях на конференциях по безопасности.
Метод третий: Расширенная социальная инженерия. Социальная инженерия Affinity рассчитывает на то, что злоумышленники образуют связь с целью на основе общих интересов или какого-либо способа, которым они идентифицируют себя друг с другом. «Круксы теперь устанавливают эти связи в Интернете на основе общих политических взглядов, групп в социальных сетях, хобби, спорта, интересов в кино или видеоиграх, активности и краудсорсинга», - объясняет Роджер Дж. Джонстон, доктор философии, руководитель отдела безопасности правого мозга.
«Метод плохого парня состоит в том, чтобы подружиться, заставить жертву сделать ей одолжение, медленно запросить информацию (изначально безобидную), а затем запросить более конфиденциальную информацию. Как только жертва немного расстанется, злоумышленник может ее шантажировать», - говорит Джонстон.
Метод четвертый: фальшивые рекрутеры. С таким количеством хедхантеров, ищущих кандидатов на работу, не вызывает подозрений, когда появляется мошенник, чтобы накачать эго сотрудника и предложить соблазнительные, но сфабрикованные должности для получения информации.
«Это может не дать напрямую компьютерные пароли, но злоумышленник может получить достаточно данных, чтобы выяснить, кому вводить фишинговые пароли внутри вашей компании. Злоумышленник также может пригрозить сообщить начальнику сотрудника, что он планирует покинуть компанию и уже поделился конфиденциальной информацией, чтобы получить рычаги воздействия на жертву », - объясняет Джонстон.
Техника пятая: старые стажеры. Если раньше стажерами были только молодые люди, то теперь многие стали старше. Злоумышленник, изображающий из себя стажера старшего возраста, обладает знаниями и опытом, необходимыми для совершения промышленного шпионажа, знает, какие вопросы задавать, где и как найти конфиденциальную информацию, - объясняет Джонстон.
Это может не дать напрямую компьютерные пароли, но злоумышленник может получить достаточно данных, чтобы выяснить, кому вводить фишинговые пароли внутри вашей компании.
Роджер Дж. Джонстон, доктор философии, руководитель отдела безопасности правого мозга
Метод шестой: боты социальной инженерии. «Вредоносные боты часто несут ответственность за очень изощренные и разрушительные атаки социальной инженерии», - говорит Инбар Раз, главный исследователь PerimeterX. По словам Раза, боты заражают веб-браузеры вредоносными расширениями, которые захватывают сеансы веб-серфинга и используют сохраненные в браузере учетные данные социальных сетей для отправки зараженных сообщений друзьям.
Злоумышленники используют эти методы ботов, чтобы обмануть друзей жертвы, чтобы они переходили по ссылкам в сообщении или загружали и устанавливали вредоносное ПО, что позволяет кибер-хулиганам создавать большие бот-сети, включающие их компьютеры, объясняет Раз.
Технологии, методы и политики для предотвращения, обнаружения и реагирования на социальную инженерию
В примере с украинской атакой защищенные машины, которые не позволяли пользователям включать макросы, остановили бы атаку. По словам Нерая, предприятия могут также использовать глубокую проверку пакетов, поведенческую аналитику и анализ угроз для отслеживания на сетевом уровне аномального поведения, такого как украинская атака на Microsoft Office. «Предприятие может использовать систему безопасности конечных точек нового поколения для выполнения аналогичной функции на конечных устройствах», - говорит Нерай. Эти технологии помогут смягчить многие атаки социальной инженерии.
Политики для вышеперечисленных и многих других методов атаки должны обеспечивать применение сегментации сети, многофакторной аутентификации и криминалистической экспертизы после атаки в сети и на конечных точках для предотвращения бокового перемещения, ограничения ущерба от украденных учетных данных и понимания масштабов нарушения, чтобы убедиться в том, что удалить все связанные вредоносные программы, по словам Нерея.
Предприятие должно решить проблему сексторции, используя комбинацию нулевого доверия с минимальными привилегиями, поведенческого обнаружения и мониторинга, чтобы выявить атаки и ограничить злоупотребление учетными данными, которое является результатом этого метода социальной инженерии.
Сексторция требует деликатного обращения, если такая атака скомпрометировала сотрудника. «Юристам, кадрам и правоохранительным органам может потребоваться участие в любых действиях, и каждый должен быть готов к худшему. В известных мне случаях осведомленность сотрудников и раннее вмешательство ограничивают ущерб», - говорит Мод.
По словам Джонстона, наделение сотрудников паническими словами, которые они могут использовать в случае возникновения проблем, может предупредить работодателей о происходящих атаках с использованием шантажа или принуждения. Чтобы обнаружить агента корпоративного шпионажа, работающего под видом пожилого стажера, подумайте о сотрудниках, которые никогда не берут отпуск или отпуск по болезни, возможно, из опасения, что их действия будут обнаружены, пока они отсутствуют, говорит Джонстон.
Такие инструменты, как продукты для мониторинга аномального поведения и некоторые антивирусные и антивирусные программы, могут обнаруживать поведение ботов и изменения в браузере. По словам Джонстона, предприятие может обнаруживать некоторых более слабых ботов, используя анализ угроз и информацию о репутации IP-адресов.
Обучение персонала
Предприятие должно постоянно обновлять обучение сотрудников всеми подробностями того, как преступники используют социальную инженерию. «Вы должны проводить тренинг по социальной инженерии отдельно и конкретно, делая набросок того, как работают эти атаки, делая их очень правдоподобными», - говорит Джонстон. По словам Джонстона, ставьте пьесы (вживую или видео) со всеми персонажами, как жертвами, так и преступниками, чтобы наглядно и лично продемонстрировать суть дела.
Продемонстрируйте, как социальная инженерия нацелена на всех, покажите, как каждый может быть уязвимым, и дайте людям инструменты для самозащиты и заверения в том, что их принимают, даже когда они становятся жертвами.
Благодаря оптимальному сочетанию обучения, политик и технологий безопасности предприятия могут противостоять старым и новым уловкам социальной инженерии. Для этого предприятие и его сотрудники должны приложить коллективные усилия по обеспечению безопасности.
Эти успешные методы социальной инженерии часто используют фишинг и вредоносное ПО. Но у злоумышленников есть больше инструментов и подходов, чем у них.
Вот почему CSO охватывает шесть наиболее эффективных методов социальной инженерии, которые злоумышленники используют как в Интернете, так и за его пределами, обеспечивая понимание того, как каждый из них работает, что он выполняет, а также технологии, методы и политики для обнаружения и реагирования на социальных саботажников и держать их в страхе.
Метод первый: включение макросов. Киберпреступники используют социальную инженерию, чтобы обманом заставить пользователей организации включить макросы, чтобы вредоносное ПО с макросами работало. При атаках на критически важную инфраструктуру Украины в документах Microsoft Office появлялись фиктивные диалоговые окна, в которых пользователям предлагалось включить макросы для правильного отображения содержимого, созданного в более поздней версии продукта Microsoft.
Мошенники написали текст диалога на русском языке и сделали вид, что изображение диалога исходит от Microsoft. Когда пользователи подчинились и включили макросы, вредоносная программа документа заразила компьютеры пользователей. «В этой тактике фишинга использовался интересный прием социальной инженерии, чтобы учесть тот факт, что у большинства пользователей отключены макросы, - говорит Фил Нерей, вице-президент CyberX по промышленной кибербезопасности.
Техника вторая: сексторция. В атаках, называемых кетфишингом, киберпреступники выдают себя за потенциальных любовников, чтобы заманить жертв к обмену компрометирующими видео и фотографиями, а затем шантажировать их. «Эти ловушки созданы для того, чтобы нацеливаться на предприятие, - говорит Джеймс Мод, старший инженер по безопасности Avecto.
По словам Мод, преследуя руководителей высшего звена предприятия с помощью социальных сетей, сексторционеры в конечном итоге шантажируют их, заставляя их раскрыть конфиденциальные данные. По словам Мод, эти атаки происходят лично в барах и отелях на конференциях по безопасности.
Метод третий: Расширенная социальная инженерия. Социальная инженерия Affinity рассчитывает на то, что злоумышленники образуют связь с целью на основе общих интересов или какого-либо способа, которым они идентифицируют себя друг с другом. «Круксы теперь устанавливают эти связи в Интернете на основе общих политических взглядов, групп в социальных сетях, хобби, спорта, интересов в кино или видеоиграх, активности и краудсорсинга», - объясняет Роджер Дж. Джонстон, доктор философии, руководитель отдела безопасности правого мозга.
«Метод плохого парня состоит в том, чтобы подружиться, заставить жертву сделать ей одолжение, медленно запросить информацию (изначально безобидную), а затем запросить более конфиденциальную информацию. Как только жертва немного расстанется, злоумышленник может ее шантажировать», - говорит Джонстон.
Метод четвертый: фальшивые рекрутеры. С таким количеством хедхантеров, ищущих кандидатов на работу, не вызывает подозрений, когда появляется мошенник, чтобы накачать эго сотрудника и предложить соблазнительные, но сфабрикованные должности для получения информации.
«Это может не дать напрямую компьютерные пароли, но злоумышленник может получить достаточно данных, чтобы выяснить, кому вводить фишинговые пароли внутри вашей компании. Злоумышленник также может пригрозить сообщить начальнику сотрудника, что он планирует покинуть компанию и уже поделился конфиденциальной информацией, чтобы получить рычаги воздействия на жертву », - объясняет Джонстон.
Техника пятая: старые стажеры. Если раньше стажерами были только молодые люди, то теперь многие стали старше. Злоумышленник, изображающий из себя стажера старшего возраста, обладает знаниями и опытом, необходимыми для совершения промышленного шпионажа, знает, какие вопросы задавать, где и как найти конфиденциальную информацию, - объясняет Джонстон.
Это может не дать напрямую компьютерные пароли, но злоумышленник может получить достаточно данных, чтобы выяснить, кому вводить фишинговые пароли внутри вашей компании.
Роджер Дж. Джонстон, доктор философии, руководитель отдела безопасности правого мозга
Метод шестой: боты социальной инженерии. «Вредоносные боты часто несут ответственность за очень изощренные и разрушительные атаки социальной инженерии», - говорит Инбар Раз, главный исследователь PerimeterX. По словам Раза, боты заражают веб-браузеры вредоносными расширениями, которые захватывают сеансы веб-серфинга и используют сохраненные в браузере учетные данные социальных сетей для отправки зараженных сообщений друзьям.
Злоумышленники используют эти методы ботов, чтобы обмануть друзей жертвы, чтобы они переходили по ссылкам в сообщении или загружали и устанавливали вредоносное ПО, что позволяет кибер-хулиганам создавать большие бот-сети, включающие их компьютеры, объясняет Раз.
Технологии, методы и политики для предотвращения, обнаружения и реагирования на социальную инженерию
В примере с украинской атакой защищенные машины, которые не позволяли пользователям включать макросы, остановили бы атаку. По словам Нерая, предприятия могут также использовать глубокую проверку пакетов, поведенческую аналитику и анализ угроз для отслеживания на сетевом уровне аномального поведения, такого как украинская атака на Microsoft Office. «Предприятие может использовать систему безопасности конечных точек нового поколения для выполнения аналогичной функции на конечных устройствах», - говорит Нерай. Эти технологии помогут смягчить многие атаки социальной инженерии.
Политики для вышеперечисленных и многих других методов атаки должны обеспечивать применение сегментации сети, многофакторной аутентификации и криминалистической экспертизы после атаки в сети и на конечных точках для предотвращения бокового перемещения, ограничения ущерба от украденных учетных данных и понимания масштабов нарушения, чтобы убедиться в том, что удалить все связанные вредоносные программы, по словам Нерея.
Предприятие должно решить проблему сексторции, используя комбинацию нулевого доверия с минимальными привилегиями, поведенческого обнаружения и мониторинга, чтобы выявить атаки и ограничить злоупотребление учетными данными, которое является результатом этого метода социальной инженерии.
Сексторция требует деликатного обращения, если такая атака скомпрометировала сотрудника. «Юристам, кадрам и правоохранительным органам может потребоваться участие в любых действиях, и каждый должен быть готов к худшему. В известных мне случаях осведомленность сотрудников и раннее вмешательство ограничивают ущерб», - говорит Мод.
По словам Джонстона, наделение сотрудников паническими словами, которые они могут использовать в случае возникновения проблем, может предупредить работодателей о происходящих атаках с использованием шантажа или принуждения. Чтобы обнаружить агента корпоративного шпионажа, работающего под видом пожилого стажера, подумайте о сотрудниках, которые никогда не берут отпуск или отпуск по болезни, возможно, из опасения, что их действия будут обнаружены, пока они отсутствуют, говорит Джонстон.
Такие инструменты, как продукты для мониторинга аномального поведения и некоторые антивирусные и антивирусные программы, могут обнаруживать поведение ботов и изменения в браузере. По словам Джонстона, предприятие может обнаруживать некоторых более слабых ботов, используя анализ угроз и информацию о репутации IP-адресов.
Обучение персонала
Предприятие должно постоянно обновлять обучение сотрудников всеми подробностями того, как преступники используют социальную инженерию. «Вы должны проводить тренинг по социальной инженерии отдельно и конкретно, делая набросок того, как работают эти атаки, делая их очень правдоподобными», - говорит Джонстон. По словам Джонстона, ставьте пьесы (вживую или видео) со всеми персонажами, как жертвами, так и преступниками, чтобы наглядно и лично продемонстрировать суть дела.
Продемонстрируйте, как социальная инженерия нацелена на всех, покажите, как каждый может быть уязвимым, и дайте людям инструменты для самозащиты и заверения в том, что их принимают, даже когда они становятся жертвами.
Благодаря оптимальному сочетанию обучения, политик и технологий безопасности предприятия могут противостоять старым и новым уловкам социальной инженерии. Для этого предприятие и его сотрудники должны приложить коллективные усилия по обеспечению безопасности.
Last edited:
