Все мы знаем о злоумышленнике, который использует свой технический опыт для проникновения в защищенные компьютерные системы и взлома конфиденциальных данных. Этот тип злоумышленников постоянно делает новости, побуждая нас противостоять их подвигам, инвестируя в новые технологии, которые укрепят нашу сетевую защиту.
Однако есть еще один тип злоумышленников, которые используют разные тактики, чтобы обойти наши инструменты и решения. Их называют «социальными инженерами», потому что они используют одну слабость, которая есть в каждой организации: человеческая психология. Используя телефонные звонки и другие средства общения с пользователями, эти злоумышленники вынуждают людей передавать доступ к конфиденциальной информации организации.
Социальная инженерия —термин, который охватывает широкий спектр вредоносных действий. Для целей этой статьи давайте сосредоточимся на пяти наиболее распространенных типах атак, которые используют социальные инженеры.
1. Фишинг
Фишинг является наиболее распространенным типом атаки социальной инженерии, которая происходит сегодня. Но что именно? На высоком уровне большинство фишинг-мошенников пытаются выполнить три вещи:
Получить личную информацию, такую как имена, адреса и номера социального страхования.
Использовать сокращенные или вводящие в заблуждение ссылки, которые перенаправляют пользователей на подозрительные веб-сайты, на которых размещаются фишинговые целевые страницы.
Включить угрозы, страх и чувство срочности в попытке заставить пользователя реагировать как можно быстрее.
Нет двух одинаковых фишинговых писем. На самом деле существует как минимум шесть различных подкатегорий фишинговых атак . Кроме того, мы все знаем, что некоторые из них плохо обработаны, поскольку в них сообщения страдают от орфографических и грамматических ошибок. Тем не менее, эти электронные письма обычно имеют одну и ту же цель — использовать поддельные веб-сайты или формы для кражи учетных данных пользователя и других личных данных.
В недавней фишинг кампании используется скомпрометированная учетная запись электронной почты, чтобы отправить атакующее письмо. В этих сообщениях просили получателей просмотреть предложенный документ, щелкнув встроенный URL-адрес. Этот вредоносный URL-адрес, защищенный URL-адресом Symantec для защиты от кликов, перенаправил получателей на взломанную учетную запись SharePoint, которая доставила второй вредоносный URL-адрес, встроенный в документ OneNote. Этот URL, в свою очередь, перенаправляет пользователей на фишинговую страницу, изображающую портал входа в систему Microsoft Office 365.
2. Предлоги
Предлог — это еще одна форма социальной инженерии, где злоумышленники концентрируются на создании хорошего предлога или сфабрикованного сценария, который они используют, чтобы попытаться украсть личную информацию своих жертв. В этих типах атак мошенник обычно говорит, что им нужно определенное количество информации от своей цели, чтобы подтвердить свою личность. На самом деле они крадут эти данные и используют их для совершения кражи личных данных или проведения вторичных атак.
Более продвинутые атаки иногда пытаются обмануть своих целей, делая что-то, что злоупотребляет цифровыми и / или физическими недостатками организации. Например, злоумышленник может выдать себя за внешнего аудитора ИТ-услуг, чтобы он мог убедить группу физической безопасности целевой компании пустить их в здание.
В то время как фишинговые атаки в основном используют страх и срочность в своих интересах, атаки с предлогом основываются на создании ложного чувства доверия к жертве. Это требует от злоумышленника построить достоверную историю, которая оставляет мало места для сомнений со стороны их цели.
Предлог может принимать и принимает различные формы. Несмотря на это, многие субъекты угроз, принимающие этот тип атаки, решают маскироваться под кадры или сотрудников отдела развития финансов. Эта маскировка позволяет им ориентироваться на руководителей уровня С, как Verizon нашел в своем Отчете о расследованиях нарушений данных за 2019 год (DBIR) .
3. Приманка
Приманка во многом похожа на фишинговые атаки. Однако то, что отличает их от других видов социальной инженерии, — это обещание какого-либо предмета или блага, которые злоумышленники используют для соблазнения жертв. Приманки могут использовать предложение бесплатной загрузки музыки или фильмов, например, чтобы обманом заставить пользователей передать свои учетные данные для входа.
Злоумышленники могут также сосредоточиться на использовании человеческого любопытства с помощью физических средств.
Например, еще в июле 2018 года KrebsOnSecurity сообщил о кампании по нападению на государственные учреждения и органы местного самоуправления в Соединенных Штатах. Операция разослала китайские почтовые маркированные конверты, которые содержали запутанное письмо вместе с компакт-диском (CD). Цель состояла в том, чтобы разбудить любопытство получателей, чтобы они загружали компакт-диск и тем самым непреднамеренно заражали свои компьютеры вредоносным ПО.
4. Quid Pro Quo
Подобно травле, нападения quid pro quo обещают выгоду в обмен на информацию. Эта выгода обычно принимает форму услуги, тогда как травля обычно принимает форму пользы.
Один из наиболее распространенных типов атак «quid pro quo», появившихся в последние годы, — это когда мошенники выдают себя за Администрацию социального обеспечения США (SSA) . Эти поддельные сотрудники SSA связываются со случайными лицами, сообщают им, что с их стороны возникла проблема с компьютером, и просят, чтобы эти лица подтвердили свой номер социального страхования, все это направлено на кражу личных данных. В других случаях, обнаруженных Федеральной торговой комиссией (FTC), злоумышленники создают поддельные веб-сайты SSA, которые говорят, что могут помочь пользователям подать заявку на новые карты социального обеспечения, но вместо этого просто воруют их личную информацию.
Тем не менее, важно отметить, что злоумышленники могут использовать предложения quid pro quo, которые гораздо менее изощренны, чем уловки на тему SSA. Как показали предыдущие атаки, офисные работники более чем готовы отдать свои пароли за дешевую ручку или даже плитку шоколада .
5. Tailgating
Наш последний тип социальной атаки на сегодняшний день известен как «Tailgating». В этих типах атак кто-то без надлежащей аутентификации следует за проверенным сотрудником в ограниченную область. Злоумышленник может выдать себя за водителя службы доставки и подождать снаружи здания, чтобы начать работу. Когда сотрудник получает одобрение службы безопасности и открывает дверь, злоумышленник просит сотрудника придержать дверь, тем самым получая доступ в здание.
Tailgating не работает во всех корпоративных условиях, таких как крупные компании, входы в которые требуют использования карты-ключа. Однако на средних предприятиях злоумышленники могут завязать разговор с сотрудниками и использовать эту демонстрацию знакомства, чтобы обойти стойку регистрации.
Фактически, Колин Гринлесс, консультант по безопасности в Siemens Enterprise Communications, использовал эту тактику, чтобы получить доступ к нескольким этажам и комнате данных в финансовой компании, зарегистрированной на бирже FTSE. Он даже смог открыть магазин в зале заседаний на третьем этаже и работать там в течение нескольких дней .
Рекомендации по социальной инженерии
Злоумышленники, которые участвуют в атаках социальной инженерии, охотятся на человеческую психологию и любопытство, чтобы поставить под угрозу информацию. Помня об этом ориентированном на человека фокусе, организации должны помочь своим сотрудникам противостоять атакам такого типа.
Вот несколько советов, которые организации могут включить в свои обучающие программы по безопасности, которые помогут пользователям избежать схем социальной инженерии:
Не открывайте электронные письма из ненадежных источников. Свяжитесь с другом или членом семьи лично или по телефону, если вы получили от них подозрительное электронное сообщение.
Не верьте предложениям от незнакомых людей. Сомневайтесь! Если предложения кажутся слишком хорошими, чтобы быть правдой, они, вероятно, это мошенничество.
Заблокируйте свой ноутбук, когда вы находитесь покидаете рабочее место.
Купить антивирусное программное обеспечение. Ни одно AV-решение не может защитить от любой угрозы, которая ставит под угрозу информацию пользователей, но они могут помочь защитить от некоторых атак.
Прочитайте политику конфиденциальности вашей компании, чтобы понять, при каких обстоятельствах вы можете или должны впустить незнакомца в здание.
