Атаки соціальної інженерії: експлуатація людської психології

Хакеру не потрібно зламувати ваше шифрування. Йому достатньо переконати одного працівника допомогти.

Атаки соціальної інженерії експлуатують людську психологію замість технічних вразливостей. Поки ваша команда безпеки оновлює програмне забезпечення та моніторить мережі, зловмисники вивчають вашу оргструктуру, профілі LinkedIn та навіть відгуки вашої компанії на Glassdoor. Вони шукають способи маніпулювати людьми за вашими захисними лініями.

Ці атаки працюють, тому що вони націлені на те, що жоден файрвол не може захистити: природні людські схильності довіряти, допомагати та підкорятися авторитету.

Традиційне хакерство націлене на системи. Соціальна інженерія націлена на людей.

Найвитонченіша інфраструктура безпеки стає марною, коли працівник добровільно надає облікові дані, вимикає контролі або переказує кошти, тому що переконливий зловмисник його попросив.

Соціальні інженери не використовують контроль розуму. Вони використовують добре задокументовані когнітивні упередження, які впливають на кожного.

Люди підкоряються тим, кого сприймають як авторитетні фігури. Лист, який виглядає як від CEO з вимогою термінового банківського переказу, працює, тому що працівники привчені виконувати розпорядження керівників без запитань.

Тиск часу вимикає раціональний аналіз. “Ваш обліковий запис буде заблоковано через 30 хвилин” або “Ця угода закривається сьогодні” створює паніку, що перевершує обережність.

Коли хтось робить щось для нас, ми відчуваємо зобов’язання відповісти. Зловмисник, який “допомагає” з фіктивною IT-проблемою, може попросити облікові дані у відповідь.

Ми припускаємо, що дії правильні, якщо інші їх виконують. “Усі у вашому відділі вже оновили свої облікові дані” робить підпорядкування нормальним.

Ми більш схильні виконувати прохання людей, які нам подобаються. Зловмисники будують взаєморозуміння, знаходять спільні інтереси та відзеркалюють стиль спілкування для створення штучної довіри.

Найпоширеніший вектор атак. Шахрайські листи імітують довірені організації (банки, постачальники, колеги) для викрадення облікових даних або розгортання шкідливого ПЗ.

Типова фішингова атака слідує передбачуваній послідовності. Зловмисник досліджує цільову організацію. Він створює переконливий лист, що імітує довіреного відправника. Лист включає шкідливе посилання або вкладення. Коли жертва натискає, вона передає облікові дані або встановлює шкідливе ПЗ.

У 2020 році працівники Twitter отримали дзвінки від зловмисників, що видавали себе за внутрішню IT-підтримку. Ті направили працівників на фішинговий сайт, який захопив їхні облікові дані, що призвело до компрометації гучних облікових записів, включаючи Барака Обаму та Ілона Маска.

Цілеспрямований фішинг, зосереджений на конкретних особах, з використанням особистої інформації для підвищення довіри.

Те, що відрізняє спрямований фішинг від загальних фішингових кампаній, це дослідження. Ці листи посилаються на конкретні проекти, колег або нещодавні активності. Вони виглядають як від відомих контактів. Вони містять точні організаційні деталі. Все адаптоване під роль та обов’язки жертви.

Спрямований фішинг, що таргетує керівників (“китів”) з доступом до значних коштів або конфіденційних рішень. Вейлінг-атаки серед найдорожчих за наслідками.

У 2016 році FACC, австрійська аерокосмічна компанія, втратила 50 мільйонів євро, коли зловмисники переконали фінансовий персонал, що CEO санкціонував екстрені банківські перекази для конфіденційної угоди. І CEO, і CFO були звільнені.

Атаки по телефону, де зловмисники видають себе за IT-підтримку, керівників, державні органи чи інші довірені організації. Поширені приводи включають “дзвінок з IT-підтримки щодо проблеми безпеки”, “HR перевіряє вашу інформацію про пільги” або “відділ шахрайства вашого банку виявив підозрілу активність”. Шахрайство техпідтримки серед найпоширеніших приводів вішингу, де зловмисники видають себе за Microsoft, Apple або внутрішній IT для отримання віддаленого доступу. Клонування голосу AI зробило ці атаки значно переконливішими, з можливістю зловмисників відтворювати конкретні голоси із секунд аудіо. Наш посібник з вішингу охоплює традиційні тактики, а наш посібник з дипфейк-соціальної інженерії розглядає імітацію голосу та відео з використанням AI.

Атаки через текстові повідомлення, що використовують терміновість та сприйняту легітимність SMS. Люди довіряють текстовим повідомленням більше, ніж email. Мобільні екрани приховують підозрілі деталі URL. SMS відчувається більш особистим та терміновим, а посилання можуть виглядати як скорочені URL, що маскують справжні адреси. Ми детальніше розглядаємо це в нашому роз’ясненні смішингу.

Створення вигаданого сценарію для встановлення довіри перед фактичним запитом.

Уявіть: зловмисник дзвонить на ресепшн, стверджуючи, що він з IT-відділу. Він пояснює, що вирішує проблему, яка впливає на кілька відділів, і потрібно перевірити деяку інформацію. Після налагодження взаєморозуміння протягом кількох дзвінків про “вирішення” фіктивної проблеми, він запитує облікові дані для “завершення виправлення”.

Використання фізичної або цифрової “приманки” для доставки шкідливого ПЗ або збору облікових даних.

Фізична приманка означає залишення інфікованих USB-накопичувачів на парковках, у вестибюлях або конференц-залах з позначками “Зарплатна відомість” або “Конфіденційно”. Цифрова приманка пропонує безкоштовне ПЗ, ігри або медіа, що містять шкідливе ПЗ.

Отримання фізичного доступу шляхом прослідковування за авторизованим персоналом через захищені двері.

Зловмисник, що несе коробки, підходить до дверей з бейдж-доступом саме коли працівник виходить. Соціальні умовності роблять незручним вимагати підтвердження особи від когось, хто виглядає як свій, тому працівник притримує двері. Просто як це.

Зловмисники надіслали фішингові листи невеликим групам працівників RSA з темою “Plan набору 2011”, що містив шкідливий файл Excel. Один працівник дістав лист зі спам-папки та відкрив його.

Результат: зловмисники отримали доступ до системи автентифікації RSA SecurID, що зрештою вплинуло на оборонних підрядників та державні агентства, що використовували токени RSA.

Урок: технічні контролі (фільтрація спаму) спрацювали. Людська цікавість їх перемогла.

Зловмисники використовували спрямовані фішингові листи, націлені на керівників Sony, з повідомленнями, що виглядали як від Apple щодо верифікації ID.

Результат: масивний витік даних, що розкрив невипущені фільми, дані працівників, листи керівників та конфіденційну ділову інформацію. Орієнтовна вартість перевищила $100 мільйонів.

Урок: навіть технологічно підковані організації вразливі до добре створеної соціальної інженерії.

Зловмисники, що видавали себе за керівників, надсилали листи з вимогою банківських переказів на закордонні рахунки для нібито угоди. Це підручникова атака компрометації ділової пошти.

Результат: вкрадено $46,7 мільйонів. Частину коштів вдалося повернути, але значні збитки залишились.

Урок: запити на банківські перекази через email вимагають позаканальної верифікації незалежно від уявного відправника.

Навчіть працівників розпізнавати ці тривожні сигнали.

Шукайте адреси відправників, що не відповідають заявленій ідентичності, незвичну терміновість або тиск часу, запити на конфіденційну інформацію або незвичні дії, граматику та форматування, що не відповідають нормальному стилю відправника, та посилання, що не відповідають очікуваним адресам (наведіть для перевірки).

Зверніть увагу на непроханий контакт із запитом конфіденційної інформації, тиск діяти негайно, спротив верифікації зворотним дзвінком, прохання обійти нормальні процедури та запити інформації, що здаються надмірними для заявленої мети.

Будьте напоготові щодо незнайомих людей, що запитують доступ або інформацію, заявленого авторитету, який не можна верифікувати, емоційної маніпуляції (терміновість, лестощі, залякування) та прохань обійти процедури безпеки.

Технологія не може зупинити соціальну інженерію, але може зменшити поверхню атаки.

Щодо email-безпеки: розгорніть розширене виявлення загроз для фішингу, DMARC, DKIM та SPF для верифікації відправника, попередження для зовнішніх листів та перезапис посилань з пісочницею.

Для контролю доступу впровадьте багатофакторну автентифікацію всюди, принцип найменших привілеїв, окремі облікові дані для конфіденційних систем та контроль фізичного доступу з управлінням відвідувачами.

Політики, що створюють тертя для зловмисників, так само важливі. Для верифікації вимагайте позаканальне підтвердження для банківських переказів, процедури зворотного дзвінка для конфіденційних запитів, верифікацію особи для дзвінків у службу підтримки та політики реєстрації та супроводу відвідувачів. Для ескалації встановіть чіткі процедури повідомлення про підозрілі контакти, політику відсутності репресій за хибні спрацювання та зробіть контактну інформацію команди безпеки легкодоступною.

Це найважливіший рівень захисту.

Ефективне навчання включає розпізнавання технік атак, психологічну обізнаність (розуміння того, чому ми всі вразливі), практичні вправи на зразок симульованого фішингу, чіткі процедури звітування та регулярне закріплення замість щорічного навчання для галочки. Наш посібник з навчання з кібербезпеки охоплює дизайн програми від початку до кінця.

Ви можете вимірювати ефективність через показники кліків у фішингових симуляціях, показники звітування про підозрілу активність, час до повідомлення про потенційні інциденти та аналіз успішних атак після інцидентів.

Політики та навчання важливі, але культура визначає результати.

Керівники повинні помітно дотримуватися процедур безпеки. Коли CEO ігнорує політики, працівники роблять висновок, що безпека насправді не важлива.

Відзначайте працівників, які повідомляють про підозрілу активність, навіть хибні спрацювання. Працівник, який повідомляє про 10 підозрілих листів (включно з 9 легітимними), захищає організацію. Працівник, який ніколи не повідомляє, ймовірно, пропускає реальні загрози. Саме так на практиці виглядає побудова людського файрвола.

Працівники, які потрапили на атаку, повинні отримувати підтримку та додаткове навчання, а не покарання. Страх звинувачення призводить до приховування, що подовжує доступ зловмисника та збільшує збитки.

Обізнаність з безпеки — не навчальний захід. Це постійна розмова. Регулярні оновлення про поточні загрози, нещодавні інциденти (анонімізовані) та нові техніки тримають безпеку в фокусі уваги. Перегляньте наші заходи з кібербезпеки для працівників для практичних способів підтримки розмови.

Коли атаки успішні (і зрештою це станеться), швидкість має значення.

1. Стримайте збитки, ізолюючи уражені системи та облікові записи
2. Збережіть докази. Не видаляйте логи, листи чи файли
3. Негайно повідомте команду безпеки
4. Задокументуйте часову шкалу та всі вжиті дії

Визначте масштаб атаки та уражені системи. Ідентифікуйте, як зловмисник отримав початковий доступ. Оцініть, яка інформація була доступна або вкрадена. Задокументуйте все для потенційних судових процесів.

Скиньте уражені облікові дані. Виправте скомпрометовані системи. Усуньте процедурні прогалини, що дозволили атаку. Оновіть навчання на основі отриманих уроків. Розгляньте зобов’язання щодо повідомлень, як юридичних, так і регуляторних.

Атаки соціальної інженерії успішні, тому що вони таргетують людську природу, а не технології. Ті ж якості, що роблять нас хорошими колегами (довіра, готовність допомогти, повага до авторитету), стають вразливостями при експлуатації вмілими зловмисниками.

Захист вимагає рівнів: технічні контролі для зменшення поверхні атаки, процедури для верифікації конфіденційних запитів, навчання для розвитку навичок розпізнавання та культура для заохочення пильності без створення параної.

Ваші працівники завжди будуть ціллю. З правильним навчанням та культурою вони стають вашою системою раннього попередження замість найслабшої ланки. Спробуйте нашу безкоштовну вправу з соціальної інженерії, щоб побачити, як виглядає це навчання на практиці.

Хочете відчути симуляції атак соціальної інженерії на власному досвіді? Спробуйте нашу безкоштовну вправу з соціальної інженерії, щоб попрактикуватись у протистоянні маніпуляціям під тиском, або протестуйте свій захист проти фішингу, вішингу та компрометації ділової пошти. Перегляньте наш повний каталог навчання з кібербезпеки з 46 інтерактивними вправами.