Соціальна інженерія
October 06, 2023
Соціальна інженерія - це маса підходів і технік, які описують способи впливу на думки та дії інших. Це можуть бути як окремі особини, так і натовпи. Ці методи, як правило, акцентують увагу на проблемах і пропонують обране як рішення цієї проблеми. Завдяки розвитку комунікацій стало елементарно проводити заходи соціальної інженерії – у месенджерах, соціальних мережах, електронною поштою чи навіть телефоном. Соціальна інженерія – це специфічний метод прямої реклами.
У сфері кібербезпеки соціальна інженерія відіграє велику роль у поширенні зловмисного програмного забезпечення. Його універсальність дозволяє хакерам використовувати його як для кібератак на корпорації, так і для масових спам-кампаній проти окремих осіб. А загальна кількість інженерних методів дозволяє зробити його ефективним у різних середовищах. Це також відносно легко застосувати - все, що вам потрібно, це текст, який буде мотивувати жертву або навіть змусити її відреагувати. Жодного складного програмного забезпечення, жодної надії на випадкові події – він ідеальний для будь-якої категорії кіберзлочинців.
Як працює соціальна інженерія?
Важливо зазначити, що ми розглянемо методи соціальної інженерії, які використовуються під час кібератак. Є багато інших методів, але вони здебільшого схожі, а загальні відмінності криються в тому, як вони використовуються. Як ми зазначали вище, кіберзлочини з використанням інженерії можуть здійснюватися через електронну пошту або у вигляді повідомлень по різних каналах зв’язку (месенджери, форуми, внутрішньоігрові чати). Однією з найпоширеніших цілей соціальної інженерії є змусити людей довіряти вам і робити те, що ви говорите. Це не миттєва річ і може зайняти дні або навіть тижні. Але варто витратити певний час, коли націлені на велику аудиторію. Очевидно, що чим більше довіри ви завойовуєте - тим більше шансів, що люди з'їдять вашу наживку. Однак чим більше людей ви намагаєтеся обдурити, тим більше часу вам потрібно.
Під час здійснення спуфінгу електронної пошти вам потрібно набагато менше зусиль, щоб змусити когось повірити вам. Ви не збираєтесь на прямий контакт – все, що вам потрібно зробити, це замаскувати своє повідомлення як повідомлення від доброчесного відправника. Деякі аналітики навіть відокремлюють спуфінг від соціальної інженерії, оскільки він надто простий. Але над усіма іншими практиками вам доведеться працювати набагато більше. Давайте розглянемо кілька прикладів соціальної інженерії, які мали місце в реальному житті.
Приклади атак соціальної інженерії:
1. Фішинг
Найпоширеніший спосіб застосування тактики соціальної інженерії полягає в тому, що хакери використовують оманливі електронні листи, веб-сайти та текстові повідомлення, щоб викрасти конфіденційну особисту чи організаційну інформацію від нічого не підозрюючих жертв.
2. Цільовий фішинг
Це шахрайство електронною поштою використовується для цілеспрямованих атак на окремих осіб або компанії. Цільовий фішинг є складнішим, ніж звичайний масовий фішинговий електронний лист, оскільки вимагає поглибленого дослідження потенційних цілей та їхніх організацій. Окрім того, такий вид фішингу зазвичай вимагає ретельно розробленої легенди.
Ми згадали спуфінг електронної пошти як один із прикладів елементарної соціальної інженерії. Однак під час різних кібератак траплялися набагато складніші випадки. Під час атаки на компанію через підроблене повідомлення електронної пошти вам потрібно виконати багато роботи, щоб змусити читача повірити, що повідомлення та відправник є законними. Наприклад, шахрай може представитися офіційним дистриб'ютором певної компанії і запропонувати вам укласти з нею договір. Зрештою ви отримаєте файл із «умовами та деталями договору» – документ Word або таблицю Excel, яка містить макрос. Останній є одним із найбільш експлойтованих продуктів Microsoft. Хакери додають скрип, що завантажує шкідливе ПЗ, до макросів; щойно ви відкриваєте файл і дозволите виконання макросів, ваш ПК заражається.
3. Приманювання
Цей тип атаки може бути здійснений онлайн або у фізичному середовищі. Жертва зазвичай обіцяє винагороду в обмін на конфіденційну інформацію або знання про її місцезнаходження.4. Зловмисне програмне забезпечення
У категорії атак програм-вимагачів жертвам надсилається термінове повідомлення та обманом змушується встановити зловмисне програмне забезпечення на їхні пристрої. За іронією долі, популярна тактика полягає в тому, щоб повідомити жертві, що зловмисне програмне забезпечення вже встановлено на її комп’ютері, і що відправник видалить програмне забезпечення, якщо він сплатить комісію.
Наприклад, Discord став місцем спілкування для різних категорій людей. Проте більшу частину його аудиторії складають геймери та програмісти. Користувачі можуть приєднатися до каналу, щоб поставити запитання в обох категоріях. Як це налаштувати, пройти цей рівень, який фреймворк найкращий – ці теми типові для тієї соціальної мережі. І водночас для відповідей на ці запитання можуть знадобитися спеціальні програми.
Останнє є основною поверхнею атаки. Ви можете підставити зловмисне програмне забезпечення замість усієї програми та заразити багатьох користувачів одним повідомленням. А щоб усі повірили, що цей файл заслуговує довіри, можна застосувати соціальну інженерію. Група шахраїв зробила це в лютому 2021 року. Ланцюжок чатів атакували з облікових записів, які були присутні протягом кількох місяців і завоювали довіру учасників. Звичайно, ті самі атаки траплялися раніше й пізніше, але ніколи у такому великому масштабі. Цей випадок призвів до появи терміну «Вірус Discord».
5. Претекст
Ця атака полягає в тому, що зловмисник видає себе за іншу особу, щоб обманом змусити жертв надати інформацію. Претекстування часто використовують проти організацій, які мають багато клієнтських даних, як-от банки, постачальники кредитних карток і комунальні компанії.
6. Quid Pro Quo (Щось за щось)
Ця атака спрямована на обмін інформацією чи послугами, щоб переконати жертву діяти. Зазвичай кіберзлочинці, які реалізують ці схеми, не проводять поглиблених цільових досліджень і пропонують надати «допомогу», припускаючи себе як спеціалісти з технічної підтримки.
7. Захист
Ця атака спрямована на особу, яка може надати злочинцю фізичний доступ до безпечної будівлі чи території. Ці шахрайства часто досягають успіху завдяки помилковій ввічливості жертви, наприклад, якщо вона затримує двері для незнайомого «співробітника».
8. Вішинг
У цьому сценарії кіберзлочинці залишатимуть термінові повідомлення голосової пошти, щоб переконати жертв, що вони повинні діяти швидко, щоб захистити себе від арешту чи іншого ризику. Крім того, банки, державні установи та правоохоронні органи зазвичай видають за себе під час шахрайства.
9. Очищення води
Ця атака використовує передові методи соціальної інженерії для зараження веб-сайту та його відвідувачів зловмисним програмним забезпеченням. Інфекція зазвичай поширюється через спеціальний сайт для індустрії жертв, як-от популярний веб-сайт, який регулярно відвідують.
10. Телефонні дзвінки
Ви, мабуть, чули про фільм "Вовк з Уолл-стріт". Він показує, що означає соціальна інженерія через телефонні дзвінки. Жертва отримує дзвінок, де гарантується, що вона щось купить або передасть гроші абоненту. У часи, зображені у фільмі (90-ті), продаж по телефону був дуже ефективним. Досить легко переконати людину, що ви експерт у певній галузі, переважно якщо ви використовуєте багато професійних термінів і ваша мова дуже послідовна. Потім, коли людина вірить у ваш професіоналізм, її легко підштовхнути робити те, що ви хочете.
Найпомітнішим прикладом соціальної інженерії по телефону є шахрайство з технічною підтримкою. Він з’явився наприкінці 2021 року й існує в різних формах сьогодні. На початку ви бачите страшний банер над вікном веб-переглядача з повідомленням, що у вас є комп’ютер заражений і повинен звернутися до служби підтримки. Крім того, ці заяви можуть сповіщати вас про незаконний акт перегляду порно або відвідування заборонених веб-сайтів. У будь-якому випадку, вам пропонують зателефонувати за номером, вказаним на банері.
По телефону шахраї переконають вас, що все, що ви побачили на банері, правдиве. Вони детально опишуть, як це сталося та які катастрофічні події стануться, якщо ви не будете виконувати їхні вказівки. Встановіть «ось цю програму» (яка насправді є шкідливим ПЗ), сплатіть «штраф» або навіть дайте шахраям повну інформацію про вашу особу - вони можуть запитати у наляканої жертви будь-що.
Чи є соціальна інженерія незаконною?
Після наведених вище абзаців ви можете подумати, що соціальна інженерія використовується здебільшого кіберзлочинцями і шахраями. Однак справжня суть цієї техніки полягає лише в мистецтві навіювання. У деяких випадках його можна використовувати в доброзичливих цілях - наприклад, щоб відрадити людей від протизаконних дій або вживання наркотиків. Різні релігії є чудовим прикладом доброзичливого використання соціальної інженерії – наприклад, аббат гарантує, що люди діють так, як каже Бог. Це просто ввічливий спосіб життя, тому практично релігія направляє парафію на правильний шлях.
Тим не менш, це точно можна назвати палкою з двома кінцями. Будучи сформованим як доброзичливий метод взаємодії з оточуючими, він знаходив застосування в багатьох сумнівних ситуаціях, часто навіть зловмисних. Ви не отримаєте покарання за соціальну інженерію як таку, але ймовірно зіткнетеся з судовим позовом за шахрайство, якщо ви використовуєте її, щоб обдурити когось. Однак це не заважає кіберзлочинцям використовувати її тут і там.
Як захистити себе?
На це запитання неможливо відповісти однозначно. Кожна людина має свій рівень довірливості. Тому кожен матиме свої способи віддзеркалити спробу обдурити. Тому ми вирішили описати лише основні поради.
- Ніколи не нехтуйте перевіркою альтернативних шляхів. Навіть якщо хтось пропонує вам дуже ефективний спосіб вирішення проблеми, було б чудовою ідеєю переглянути цей спосіб і знайти кілька інших. Можливо, перегляд запропонованого дозволить виявити шахрайство.
- Ніколи не довіряйте пропонованим програмам. На вищезгаданих платформах онлайн-комунікації люди можуть запропонувати використовувати власні програми. Оскільки навіть легальні програми можуть активувати антивірусні програми, порада ігнорувати або вимикати антивірус не звучить як загроза. Тим не менш, все одно важливо переконатися, що ця програма в порядку.
- Мисліть раціонально. Ніхто не дасть вам безкоштовну пораду інвестувати в щось або придбати універсальну річ просто так. Навіть якщо такі пропозиції могли бути актуальними протягом останнього десятиліття, вони не є хорошими сьогодні. І вони повинні викликати ще більше підозр, якщо пропозиція дає вам якийсь нереальний прибуток або близько того. Якщо це звучить надто добре, щоб бути правдою, можливо, це так.
- Перевірте інформацію про особу, яка пропонувала вам річ. Якщо у вас є тільки номер телефону - перевірте його. Цього може бути достатньо, щоб зрозуміти, чого очікувати. Інтернет дав можливість перевіряти кожен номер, і чим більше людей отримувало дзвінки з цього номера - тим більше шансів побачити повну інформацію про абонента та його наміри.< /li>
- Постійно оновлюйте своє антивірусне/антишкідливе ПЗ – переконайтеся, що ввімкнено автоматичні оновлення, або візьміть за звичку щодня завантажувати найновіші сигнатури. Періодично перевіряйте, чи застосовано оновлення, і скануйте систему на наявність можливих інфекцій.
3 способи, як організації запобігають атакам соціальної інженерії
Наведені нижче заходи можуть допомогти запобігти атакам соціальної інженерії на вашу організацію:
1️⃣ Навчання з безпеки
Навчання з питань безпеки повинно бути постійним заходом будь-якої компанії. Співробітники можуть не усвідомлювати небезпеки соціальної інженерії, а якщо й усвідомлюють, то з часом можуть забути деталі. Тому проведення та постійне оновлення обізнаності про безпеку серед працівників є першою лінією захисту від соціальної інженерії. Співробітники всіх рівнів компанії повинні бути навчені уникати передачі будь-якої інформації через електронну пошту або по телефону «продавцям» на тему того, яке апаратне забезпечення, програмне забезпечення, програми та ресурси зазвичай використовуються.
2️⃣ Антивірусні засоби та інструменти безпеки кінцевих точок
Основним заходом є встановлення антивірусного/антишкідливого програмного забезпечення та інших засобів безпеки ендпоінтів на пристроях користувача. Сучасні засоби захисту кінцевих точок можуть ідентифікувати та блокувати очевидні фішингові повідомлення або будь-які повідомлення, які посилаються на шкідливі веб-сайти чи IP-адреси в базах даних аналізу загроз. Вони також можуть перехоплювати та зупиняти шкідливі процеси, що виконуються на пристрої користувача. Хоча складні атаки призначені для обходу або вимкнення кінцевих точок і AV-агентів, ці атаки, як правило, залишають інші сигнальні ознаки успішної атаки.
3️⃣ Тестування на проникнення
Існує незліченна кількість творчих способів проникнення в захист організації за допомогою соціальної інженерії. Використання етичного хакера для проведення тестування на проникнення дозволяє людині з хакерськими навичками виявити та використати слабкі місця у вашій організації. Коли тест на проникнення успішно скомпрометує чутливі системи, він може допомогти вам виявити співробітників або методи, на захисті яких ви повинні зосередитися, або методи соціальної інженерії, до яких ви можете бути особливо чутливі.
