Рубрика: колонка эксперта Автор: руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин |
Я пишу комментарии о том, как мошенники обманывают людей методами социальной инженерии пару раз в неделю, причем инфоповодов хватает. На эту же тему раз в пару месяцев я выступаю на всевозможных форумах и круглых столах. Со временем это превращается в ритуал — дежурные ответы на дежурные вопросы. Вот регулятор закрутил гайки — стало лучше, вот мошенники что-то новое придумали — стало хуже.
Но тема никуда не исчезнет, потому что это вообще не про технику, не про деньги и не про что. Мы представляем, что это какие-то наивные люди поддаются манипуляциям. Мы-то совсем не такие, с нами такого не случится. Друзья, жертвами становятся не «наивные», а люди в условиях перегруза, стресса и дефицита времени. Т. е. это все мы, и вы — следующие. В состоянии когнитивного истощения от информационного шума совершить ошибку не просто, а очень просто. Вы не глупые, отнюдь. Вы опытные и умные. Но социальная инженерия атакует не против ума, а против внимания. А вот своим вниманием вы вряд ли умеете виртуозно управлять. Посмотрите, как успешно проходят фишинговые атаки на перегруженных топ-менеджеров, а не на стажеров в тех же компаниях. Это вообще победа 2 в 1 — у человека доступ к закрытой информации и он, почти не сомневаясь, ею поделится. А со стажера какой прок?
Но стоп, это же корпорации. В них миллионы рублей вливаются на внедрение SOC, DLP и XDR. Они даже внутренние пентесты не хотят оплачивать, опасаясь атак именно снаружи, но никак не изнутри. А своих сотрудников или на полиграфах проверяют, или обучают, как противостоять угрозам. Ну, не совсем. Если вы хоть раз сталкивались с тем, как информационная безопасность построена в действительно крупных компаниях, вы понимаете, что это не театр. Обучение зачастую формально, тесты по противостоянию фишинга делаются для отчета, а все те дорогие технические решения зачастую настроены с параметрами по умолчанию и просто греют воздух в серверных помещениях. Да, киберстена построена вокруг самой компании и стоит очень крепко. Но вокруг людей, которых мы сами довели до выгорания, кто построит стену? И возможно ли это?
Большинство атак с помощью социальной инженерии — это вообще не про хакеров, это про психологию власти и иерархию. Зачем использовать страхи и уязвимости конкретных людей, если иерархия в компании работает круче всякой логики и можно отправить письмо со словами «Это срочно, от руководства», «Регулятор требует» или «ФСБ/налоговая/банк». Все до одного случаи фишинга в компаниях, которые мне доводилось расследовать, начинались с сообщений от топ-менеджера своему подчиненному, причем не обязательно прямому. Это базовая психология, на которую агента DLP не поставишь.
И что самое занятное — мы сами обучили преступников. Пока бизнес упорно оптимизировал свои процессы, мошенники выбрали работающие манипуляции и совершенно не собираются менять свои тактики. То, что в маркетинге называется скриптами продаж, у мошенников — скрипты обмана. У ваших продажников есть CRM? Отлично, а у мошенников — базы граждан страны, обогащенные десятками утечек из различных источников. А уж когда появился ИИ, тут вообще началась гонка за клиентов. Да, именно клиентов. Социальная инженерия вообще ничем не отличается от этапов продаж пылесоса по телефону. «Покупатель — жертва» тоже до сегодняшнего утра не догадывался, как он нуждается в том, что мы планируем ему продать.
Это целая экономика с бизнес-моделью. У мошенников свои колл-центры, KPI по закрытым жертвам, работа по воронке и A/B тестирование скриптов. Я вообще не сомневаюсь, что метрики конверсии у злоумышленников в сфере фишинга куда круче, чем у многих мировых компаний.
Да и сам термин вообще надо обновить или даже отменить. Фишингом называлась атака, когда злоумышленник закидывал удочку и ждал, кто попадется. Это были массовые рассылки из миллиона писем, 90 % из которых отсеивались спам-фильтрами, еще 5 процентов игнорировались, а вот оставшиеся могли дать какой-то результат. Сегодня мошенники не распыляются на такие атаки. Это дорого, неэстетично и бессмысленно. Сегодня у них есть голосовые дипфейки, на подходе уже полноценные видеозвонки, а также во главе — точечные атаки по соцсетям конкретных жертв с помощью данных, полученных из утечек. Это уже полноценная инженерия с настоящим математическим аппаратом. Если о вас есть хоть какие-то данные в утечках, вы уязвимы. А учитывая, что эта битва давно проиграна и данные любого россиянина есть в даркнете, то под ударом все.
И когда мы говорим, что это «человеческий фактор», то боюсь, это просто удобная ложь и возможность снять ответственность с архитектуры процессов. Человеческий фактор должен стать синонимом инженерной недоработки. Как так получается, что один человек может перевести все свои деньги без дополнительного подтверждения? Почему конкретная учетная запись имеет избыточные права? Почему контроль аномалий происходит задним числом? Это все чисто технические задачи, которые можно и нужно решить.
Потому что у классической атаки есть следы, как минимум в логах. А что с людьми? Многие жертвы не признаются и никогда не попадут в статистику. Компании, не связанные обязательствами, скрывают инциденты, потому что репутация важнее правды. Реальный масштаб и ущерб от социальной инженерии не знает никто, да и знать, скорее всего, не хочет. Потому что социальная инженерия — это зеркало общества. По темам фишинга можно писать историю страны — санкции, инвестиции, криптовалюты, дети, 8 Марта, летние каникулы, Новый год. Мошенники читают новости внимательнее, чем игроки на бирже.
Победы здесь не будет. Можно только сделать атаку максимально дорогой и невыгодной, тогда у людей есть шанс. Все меры, которые мы предлагаем, только снижают риски. MFA делает сложным подбор паролей, но имеет свои уязвимости. Курсы снижают вероятность, но не доводят ничего не автоматизма.
Я думаю, стоит признать, что социальная инженерия сегодня — это фактически налог на цифровизацию. Как заметил Бенджамин Франклин, «Неизбежны только смерть и налоги». Да, Бенджамин улыбается всему миру со стодолларовой купюры и, кажется, знает, о чем говорит. Но налоги можно и нужно не только платить. Их можно оптимизировать, прогнозировать нагрузку или даже выбирать режим налогообложения. Поэтому и существует профессия специалиста по кибербезопасности.
