Man
Professional
- Messages
- 2,965
- Reaction score
- 488
- Points
- 83
Социальная инженерия — это искусство эксплуатации человеческой психологии, а не технические методы взлома, чтобы получить доступ к зданиям, системам или данным. Тренируйтесь замечать знаки.
Например, вместо того чтобы попытаться найти уязвимость программного обеспечения, социальный инженер может позвонить сотруднику и выдать себя за специалиста по ИТ-поддержке, пытаясь обманом заставить сотрудника раскрыть свой пароль.
Известный хакер Кевин Митник помог популяризировать термин «социальная инженерия» в 90-х годах, хотя сама идея и многие ее методы существуют с тех пор, как появились мошенники.
Даже если у вас есть все необходимое для обеспечения безопасности вашего центра обработки данных, облачных сред, физической безопасности вашего здания, и вы вложили средства в защитные технологии, внедрили правильные политики и процессы безопасности, измеряете их эффективность и постоянно совершенствуете, все равно хитрый социальный инженер может пробраться сквозь них (или обойти их).
Это поднимает еще один важный момент, а именно, что социальная инженерия может представлять собой один шаг в более крупной цепочке атак. Текст smishing использует социальную динамику, чтобы соблазнить вас бесплатной подарочной картой, но как только вы нажмете на ссылку и загрузите вредоносный код, ваши злоумышленники будут использовать свои технические навыки, чтобы получить контроль над вашим устройством и эксплуатировать его.
Предложите что-нибудь сладкое. Как вам скажет любой мошенник, самый простой способ обмануть марку — это использовать ее собственную жадность. Это основа классического нигерийского мошенничества 419, в котором мошенник пытается убедить жертву помочь вывести якобы нечестно полученные деньги из своей страны в безопасный банк, предлагая часть средств взамен. Эти электронные письма о «нигерийских принцах» были популярной шуткой на протяжении десятилетий, но они по-прежнему являются эффективным методом социальной инженерии, на который попадаются люди: в 2007 году казначей малонаселенного округа Мичиган передал 1,2 миллиона долларов государственных средств такому мошеннику в надежде лично нажиться. Еще одной распространенной приманкой является перспектива новой, лучшей работы, которую, по-видимому, хотят слишком многие из нас: в результате чрезвычайно позорного взлома в 2011 году была скомпрометирована охранная компания RSA, когда по крайней мере два сотрудника низшего звена открыли файл вредоносного ПО, прикрепленный к фишинговому письму с именем файла «2011 recruitment plan.xls».
Притворяйтесь, пока не станете. Один из самых простых — и, что удивительно, самых успешных — методов социальной инженерии — просто притвориться своей жертвой. В одном из легендарных ранних мошенничеств Кевина Митника он получил доступ к серверам разработки ОС Digital Equipment Corporation, просто позвонив в компанию, представившись одним из их ведущих разработчиков и сказав, что у него возникли проблемы со входом в систему; он был немедленно вознагражден новым логином и паролем. Все это произошло в 1979 году, и вы могли бы подумать, что с тех пор все должно было улучшиться, но вы ошибаетесь: в 2016 году хакер получил контроль над адресом электронной почты Министерства юстиции США и использовал его, чтобы выдать себя за сотрудника, убедив службу поддержки передать токен доступа к интрасети Министерства юстиции, сказав, что это его первая неделя на работе, и он не знает, как что-либо работает.
Во многих организациях существуют барьеры, призванные предотвратить подобные наглые подделки, но их часто можно обойти довольно легко. Когда в 2005 году Hewlett-Packard наняла частных детективов, чтобы выяснить, какие члены совета директоров HP сливали информацию прессе, они смогли предоставить частным детективам последние четыре цифры номера социального страхования своих жертв — которые техническая поддержка AT&T приняла в качестве удостоверения личности, прежде чем предоставить подробные журналы вызовов.
Действуйте так, будто вы главный. Большинство из нас настроены уважать авторитет — или, как выясняется, уважать людей, которые ведут себя так, будто у них есть полномочия делать то, что они делают. Вы можете использовать различную степень знания внутренних процессов компании, чтобы убедить людей, что у вас есть право находиться в местах или видеть то, что вам не следует, или что исходящее от вас сообщение на самом деле исходит от человека, которого они уважают. Например, в 2015 году финансовые сотрудники Ubiquiti Networks перевели миллионы долларов из денег компании мошенникам, которые выдавали себя за руководителей компании, вероятно, используя похожий URL в своем адресе электронной почты. С точки зрения технологий, следователи, работавшие на британские таблоиды в конце нулевых и начале десятых годов, часто находили способы получить доступ к учетным записям голосовой почты жертв, выдавая себя за других сотрудников телефонной компании с помощью чистого блефа; Например, один частный детектив убедил Vodafone сбросить PIN-код голосовой почты актрисы Сиенны Миллер, позвонив и представившись «Джоном из службы кредитного контроля».
Иногда это внешние власти, чьи требования мы выполняем, не задумываясь. В 2016 году электронная почта главы предвыборной кампании Хиллари Клинтон Джона Подесты была взломана российскими шпионами, которые отправили ему фишинговое письмо, замаскированное под сообщение от Google с просьбой сбросить пароль. Предприняв действия, которые, как он думал, защитят его учетную запись, он на самом деле выдал свои учетные данные для входа.
Вот несколько основных советов, которые помогут вам не стать жертвой атак социальной инженерии:
К счастью, осознание социальной инженерии поддается повествованию. А истории гораздо легче понять и они гораздо интереснее объяснений технических недостатков. Тесты и привлекающие внимание или юмористические плакаты также являются эффективными напоминаниями о том, что не стоит считать всех теми, за кого себя выдают.
Но не только среднестатистическому сотруднику нужно знать о социальной инженерии. Как мы увидели, социальные инженеры фокусируются на высокоценных целях, таких как генеральные и финансовые директора. Высшее руководство часто сопротивляется посещению обязательных для своих сотрудников тренингов, но им нужно знать об этих атаках больше, чем кому-либо.
50 миллиардов долларов - В период с октября 2013 года по декабрь 2022 года в результате атак BEC было потеряно 50 миллиардов долларов (источник: ФБР)
39% - Смишинг составляет 39% мобильных угроз (источник: SlashNext)
45%- Количество атак с использованием социальной инженерии увеличилось на 45% в 2023 году, что совпало с запуском ChatGPT (источник: SlashNext)
17% - Фишинг является вторым по распространенности вектором первоначального заражения вредоносным ПО — на него приходится 17% всех вторжений (источник: отчет Mandiant M-Trends 2024).
Также стоит обратить внимание на Social Engineering Toolkit от social-engineer.org, который можно загрузить бесплатно. Этот набор инструментов помогает автоматизировать тестирование на проникновение с помощью социальной инженерии, включая атаки целевого фишинга, создание легитимно выглядящих веб-сайтов, атаки с использованием USB-накопителей и многое другое.
Еще один хороший ресурс — «Структура социальной инженерии».
В настоящее время лучшей защитой от атак социальной инженерии является обучение пользователей и уровни технологической защиты для лучшего обнаружения и реагирования на атаки. Обнаружение ключевых слов в электронных письмах или телефонных звонках может использоваться для отсеивания потенциальных атак, но даже эти технологии, вероятно, будут неэффективны для остановки опытных социальных инженеров.
Источник
Что такое социальная инженерия?
Социальная инженерия — это искусство использования психологии человека, а не технические методы взлома, для получения доступа к зданиям, системам или данным.Например, вместо того чтобы попытаться найти уязвимость программного обеспечения, социальный инженер может позвонить сотруднику и выдать себя за специалиста по ИТ-поддержке, пытаясь обманом заставить сотрудника раскрыть свой пароль.
Известный хакер Кевин Митник помог популяризировать термин «социальная инженерия» в 90-х годах, хотя сама идея и многие ее методы существуют с тех пор, как появились мошенники.
Даже если у вас есть все необходимое для обеспечения безопасности вашего центра обработки данных, облачных сред, физической безопасности вашего здания, и вы вложили средства в защитные технологии, внедрили правильные политики и процессы безопасности, измеряете их эффективность и постоянно совершенствуете, все равно хитрый социальный инженер может пробраться сквозь них (или обойти их).
Как работает социальная инженерия?
Фраза «социальная инженерия» охватывает широкий спектр поведения, и все они имеют общее то, что они эксплуатируют определенные универсальные человеческие качества: жадность, любопытство, вежливость, почтение к власти и т. д. Хотя некоторые классические примеры социальной инженерии происходят в «реальном мире» — например, человек в форме FedEx, обманом проникающий в офисное здание, — большая часть нашего ежедневного социального взаимодействия происходит в Интернете, и именно там происходит большинство атак социальной инженерии. Например, вы можете не думать о фишинге или смишинге как о типах атак социальной инженерии, но оба они основаны на том, чтобы обмануть вас — притворившись тем, кому вы доверяете, или соблазнив вас чем-то, что вы хотите, — и загрузить вредоносное ПО на ваше устройство.Это поднимает еще один важный момент, а именно, что социальная инженерия может представлять собой один шаг в более крупной цепочке атак. Текст smishing использует социальную динамику, чтобы соблазнить вас бесплатной подарочной картой, но как только вы нажмете на ссылку и загрузите вредоносный код, ваши злоумышленники будут использовать свои технические навыки, чтобы получить контроль над вашим устройством и эксплуатировать его.
Примеры социальной инженерии
Хороший способ получить представление о том, на какие тактики социальной инженерии следует обратить внимание, — это узнать, что использовалось в прошлом. Все подробности в обширной статье о знаменитых атаках социальной инженерии, но на данный момент давайте сосредоточимся на трех методах социальной инженерии — независимо от технологических платформ — которые оказались весьма успешными для мошенников.Предложите что-нибудь сладкое. Как вам скажет любой мошенник, самый простой способ обмануть марку — это использовать ее собственную жадность. Это основа классического нигерийского мошенничества 419, в котором мошенник пытается убедить жертву помочь вывести якобы нечестно полученные деньги из своей страны в безопасный банк, предлагая часть средств взамен. Эти электронные письма о «нигерийских принцах» были популярной шуткой на протяжении десятилетий, но они по-прежнему являются эффективным методом социальной инженерии, на который попадаются люди: в 2007 году казначей малонаселенного округа Мичиган передал 1,2 миллиона долларов государственных средств такому мошеннику в надежде лично нажиться. Еще одной распространенной приманкой является перспектива новой, лучшей работы, которую, по-видимому, хотят слишком многие из нас: в результате чрезвычайно позорного взлома в 2011 году была скомпрометирована охранная компания RSA, когда по крайней мере два сотрудника низшего звена открыли файл вредоносного ПО, прикрепленный к фишинговому письму с именем файла «2011 recruitment plan.xls».
Притворяйтесь, пока не станете. Один из самых простых — и, что удивительно, самых успешных — методов социальной инженерии — просто притвориться своей жертвой. В одном из легендарных ранних мошенничеств Кевина Митника он получил доступ к серверам разработки ОС Digital Equipment Corporation, просто позвонив в компанию, представившись одним из их ведущих разработчиков и сказав, что у него возникли проблемы со входом в систему; он был немедленно вознагражден новым логином и паролем. Все это произошло в 1979 году, и вы могли бы подумать, что с тех пор все должно было улучшиться, но вы ошибаетесь: в 2016 году хакер получил контроль над адресом электронной почты Министерства юстиции США и использовал его, чтобы выдать себя за сотрудника, убедив службу поддержки передать токен доступа к интрасети Министерства юстиции, сказав, что это его первая неделя на работе, и он не знает, как что-либо работает.
Во многих организациях существуют барьеры, призванные предотвратить подобные наглые подделки, но их часто можно обойти довольно легко. Когда в 2005 году Hewlett-Packard наняла частных детективов, чтобы выяснить, какие члены совета директоров HP сливали информацию прессе, они смогли предоставить частным детективам последние четыре цифры номера социального страхования своих жертв — которые техническая поддержка AT&T приняла в качестве удостоверения личности, прежде чем предоставить подробные журналы вызовов.
Действуйте так, будто вы главный. Большинство из нас настроены уважать авторитет — или, как выясняется, уважать людей, которые ведут себя так, будто у них есть полномочия делать то, что они делают. Вы можете использовать различную степень знания внутренних процессов компании, чтобы убедить людей, что у вас есть право находиться в местах или видеть то, что вам не следует, или что исходящее от вас сообщение на самом деле исходит от человека, которого они уважают. Например, в 2015 году финансовые сотрудники Ubiquiti Networks перевели миллионы долларов из денег компании мошенникам, которые выдавали себя за руководителей компании, вероятно, используя похожий URL в своем адресе электронной почты. С точки зрения технологий, следователи, работавшие на британские таблоиды в конце нулевых и начале десятых годов, часто находили способы получить доступ к учетным записям голосовой почты жертв, выдавая себя за других сотрудников телефонной компании с помощью чистого блефа; Например, один частный детектив убедил Vodafone сбросить PIN-код голосовой почты актрисы Сиенны Миллер, позвонив и представившись «Джоном из службы кредитного контроля».
Иногда это внешние власти, чьи требования мы выполняем, не задумываясь. В 2016 году электронная почта главы предвыборной кампании Хиллари Клинтон Джона Подесты была взломана российскими шпионами, которые отправили ему фишинговое письмо, замаскированное под сообщение от Google с просьбой сбросить пароль. Предприняв действия, которые, как он думал, защитят его учетную запись, он на самом деле выдал свои учетные данные для входа.
Виды социальной инженерии
- Фишинг, как мы отметили выше, который также включает в себя текстовый смишинг и голосовой вишинг. Эти атаки часто не требуют больших усилий, но широко распространены; например, фишер может отправить тысячи одинаковых писем, надеясь, что кто-то будет достаточно доверчив и нажмет на вложение.
- Целевой фишинг, или китобойный, — это «высококонтактная» разновидность фишинга для высокодоходных целей. Злоумышленники тратят время на изучение своей жертвы, которая обычно является высокопоставленным лицом с большими деньгами, от которого они могут отделиться, чтобы создать уникальные и персонализированные мошеннические сообщения.
- Приманка является ключевой частью всех форм фишинга и других видов мошенничества — всегда есть что-то, что может соблазнить жертву, будь то текстовое сообщение с обещанием бесплатной подарочной карты или что-то гораздо более выгодное или непристойное.
- Претекстинг подразумевает создание истории или предлога, чтобы убедить кого-то выдать ценную информацию или доступ к какой-либо системе или счету. Претекстинг может умудриться найти часть вашей личной идентификационной информации и использовать ее, чтобы обмануть вас — например, если они знают, каким банком вы пользуетесь, они могут позвонить вам и представиться представителем службы поддержки клиентов, которому нужно знать номер вашего счета, чтобы помочь с просроченным платежом. Или они могут использовать эту информацию, чтобы подражать вам — это был прием, используемый теми HP PI, о которых мы говорили выше .
- Компрометация деловой электронной почты (BEC), также известная как мошенничество с генеральным директором, объединяет несколько из вышеперечисленных методов. Злоумышленник либо получает контроль над адресом электронной почты жертвы, либо умудряется отправлять электронные письма, которые выглядят так, как будто они отправлены с этого адреса, а затем начинает рассылать письма подчиненным на работе с просьбой перевести средства на контролируемые ими счета.
- В атаке quid pro quo хакер предлагает что-то в обмен на доступ или информацию. Мошенничество с техподдержкой является типичным примером атаки quid pro quo.
- Тейлгейтинг — это форма социальной инженерии в реальной жизни, при которой злоумышленник обманывает сотрудника, заставляя его следовать за ним в здание, отсюда и название «tailgating». Это достигается, например, путем притворства курьером или сотрудником, который забыл свой бейдж, и пользуется человеческим желанием быть полезным и любезным.
Как обнаружить атаки социальной инженерии
Компания по безопасности Norton проделала довольно хорошую работу, определив некоторые красные флажки, которые могут быть признаком атаки социальной инженерии. Они применимы к социальным и технологическим методам, и их полезно иметь в виду, когда вы пытаетесь оставаться начеку:- Кто-то из ваших знакомых отправляет необычное сообщение: украсть или подделать чью-то онлайн-личность, а затем добывать информацию из их социальных кругов — это относительно простая задача для целеустремленного злоумышленника, поэтому, если вы получили сообщение от друга, родственника или коллеги, которое кажется странным, убедитесь, что вы действительно с ним разговариваете, прежде чем действовать. Возможно, ваша внучка действительно находится в отпуске, о котором она вам не рассказала, и нуждается в деньгах, или ваш босс действительно хочет, чтобы вы перевели шестизначную сумму новому поставщику в Беларуси, но это то, что вам следует трижды проверить, прежде чем нажать «отправить».
- Незнакомец делает предложение, которое слишком хорошо, чтобы быть правдой: Опять же, мы все смеемся над электронными письмами о нигерийском принце, но многие из нас все еще попадаются на уловки мошенников, которые обманывают нас, сообщая, что мы собираемся получить то, чего мы никогда не ожидали и не просили. Будь то электронное письмо, сообщающее, что вы выиграли в лотерею, в которой не участвовали, или сообщение со странного номера, предлагающее вам бесплатную подарочную карту только за своевременную оплату счета за телефон, если это кажется слишком хорошим, чтобы быть правдой, вероятно, так оно и есть.
- Ваши эмоции обостряются, и вам нужно действовать немедленно: мошенники, занимающиеся социальной инженерией, играют на сильных эмоциях — страхе, жадности, сочувствии — чтобы внушить вам чувство срочности, чтобы вы не останавливались и не думали дважды о сценариях, подобных тем, которые мы только что описали. Особенно пагубный прием в этой области — мошенничество с техподдержкой, которое нацелено на людей, которые и так нервничают из-за взломов, но не очень разбираются в технологиях: вы слышите агрессивного человека, который утверждает, что он из Google или Microsoft, говорит вам, что ваша система была взломана, и требует, чтобы вы немедленно сменили пароли, — обманывая вас в процессе, чтобы вы раскрыли им свои учетные данные.
Как не стать жертвой социальной инженерии
Борьба со всеми этими методами требует бдительности и мышления нулевого доверия. Это может быть трудно привить обычным людям; в корпоративном мире обучение по вопросам безопасности является способом номер один, чтобы не дать сотрудникам стать жертвой высокорисковых атак. Сотрудники должны знать о существовании социальной инженерии и быть знакомыми с наиболее часто используемыми тактиками.Вот несколько основных советов, которые помогут вам не стать жертвой атак социальной инженерии:
- Не поддавайтесь искушению нажимать на ссылки в подозрительных электронных письмах.
- Прежде чем посещать целевой веб-сайт, проверьте веб-адрес ссылки (наведя на нее курсор мыши) и адрес электронной почты отправителя.
- Посещайте веб-сайты напрямую, а не нажимайте на ссылки в электронных письмах.
- Будьте осторожны с вложениями в электронные письма, даже если кажется, что отправитель вам знаком.
- Проверьте наличие таких признаков, как плохое качество логотипа или электронного письма, плохая грамматика или орфографические ошибки.
К счастью, осознание социальной инженерии поддается повествованию. А истории гораздо легче понять и они гораздо интереснее объяснений технических недостатков. Тесты и привлекающие внимание или юмористические плакаты также являются эффективными напоминаниями о том, что не стоит считать всех теми, за кого себя выдают.
Но не только среднестатистическому сотруднику нужно знать о социальной инженерии. Как мы увидели, социальные инженеры фокусируются на высокоценных целях, таких как генеральные и финансовые директора. Высшее руководство часто сопротивляется посещению обязательных для своих сотрудников тренингов, но им нужно знать об этих атаках больше, чем кому-либо.
Как защититься от социальной инженерии
Дэн Лорманн, сотрудник CSO, дает следующий совет:- Тренируйтесь и еще раз тренируйтесь, когда дело касается осведомленности о безопасности.
Убедитесь, что у вас есть комплексная программа обучения осведомленности о безопасности, которая регулярно обновляется для решения как общих угроз фишинга, так и новых целевых киберугроз. Помните, речь идет не только о переходе по ссылкам. - Предоставьте подробный брифинг «роуд-шоу» о новейших методах онлайн-мошенничества для ключевых сотрудников.
Да, включите старших руководителей, но не забудьте всех, кто имеет полномочия совершать банковские переводы или другие финансовые транзакции. Помните, что многие из реальных историй, связанных с мошенничеством, происходят с сотрудниками низшего звена, которых обманывают, заставляя поверить, что руководитель просит их выполнить срочные действия — обычно в обход обычных процедур и/или контроля. - Пересмотрите существующие процессы, процедуры и разделение обязанностей для финансовых переводов и других важных транзакций.
Добавьте дополнительные элементы управления, если необходимо. Помните, что разделение обязанностей и другие меры защиты могут быть в какой-то момент скомпрометированы внутренними угрозами, поэтому обзоры рисков могут потребовать повторного анализа с учетом возросших угроз. - Рассмотрите новые политики, связанные с транзакциями «вне диапазона» или срочными запросами руководства.
Электронное письмо с учетной записи Gmail генерального директора должно автоматически поднять красный флаг для персонала, но им нужно понимать новейшие методы, применяемые темной стороной. Вам нужны авторизованные процедуры действий в чрезвычайных ситуациях, которые хорошо понятны всем. - Просмотрите, усовершенствуйте и протестируйте свои системы управления инцидентами и отчетности о фишинге.
Регулярно проводите настольные учения с руководством и ключевым персоналом. Тестируйте элементы управления и проводите обратную разработку потенциальных областей уязвимости.
Статистика социальной инженерии
50% - Атаки по взлому корпоративной электронной почты (BEC) составляют 50% всех атак социальной инженерии (источник: DBIR компании Verizon за 2023 год).50 миллиардов долларов - В период с октября 2013 года по декабрь 2022 года в результате атак BEC было потеряно 50 миллиардов долларов (источник: ФБР)
39% - Смишинг составляет 39% мобильных угроз (источник: SlashNext)
45%- Количество атак с использованием социальной инженерии увеличилось на 45% в 2023 году, что совпало с запуском ChatGPT (источник: SlashNext)
17% - Фишинг является вторым по распространенности вектором первоначального заражения вредоносным ПО — на него приходится 17% всех вторжений (источник: отчет Mandiant M-Trends 2024).
Ресурсы социальной инженерии
Ряд поставщиков предлагают инструменты или услуги, помогающие проводить упражнения по социальной инженерии и/или повышать осведомленность сотрудников с помощью таких средств, как плакаты и информационные бюллетени.Также стоит обратить внимание на Social Engineering Toolkit от social-engineer.org, который можно загрузить бесплатно. Этот набор инструментов помогает автоматизировать тестирование на проникновение с помощью социальной инженерии, включая атаки целевого фишинга, создание легитимно выглядящих веб-сайтов, атаки с использованием USB-накопителей и многое другое.
Еще один хороший ресурс — «Структура социальной инженерии».
В настоящее время лучшей защитой от атак социальной инженерии является обучение пользователей и уровни технологической защиты для лучшего обнаружения и реагирования на атаки. Обнаружение ключевых слов в электронных письмах или телефонных звонках может использоваться для отсеивания потенциальных атак, но даже эти технологии, вероятно, будут неэффективны для остановки опытных социальных инженеров.
Источник
