Социальная инженерия (в кибербезопасности)

Социальная инженерия / Манипуляционная атака описывает ряд нетехнических методов атак, которые используются киберпреступниками для манипулирования пользователями с целью переопределения параметров безопасности или других протоколов бизнес-процессов, выполнения вредоносных действий или передачи конфиденциальной информации.

5-минутное чтение

5 min read

Как работает социальная инженерия?

Большинство методов социальной инженерии не требуют каких-либо технических навыков со стороны злоумышленника, а это означает, что любой человек, начиная с мелких воров и заканчивая наиболее искушенными злоумышленниками, может заниматься этой деятельностью.

Обобщающее понятие «социальная инженерия в кибербезопасности» включает множество методов. Среди наиболее известных – спам и фишинг:

Спам – это любая форма нежелательных сообщений, отправляемых в большом количестве. Чаще всего спам – это электронное письмо, которое отправляется как можно большему числу пользователей, но также оно может доставляться с помощью мгновенных сообщений, SMS и социальных сетей. Спам не является социальной инженерией как таковой, но в некоторых спам-кампаниях используются методы социальной инженерии, такие как фишинг, адресный фишинг, вишинг, смишинг или распространение вредоносных вложений или ссылок.

Фишинг – это форма кибератаки, при которой преступник выдает себя за заслуживающее доверие лицо, которое запрашивает у жертвы конфиденциальную информацию. В этих типах мошенничества обычно пытаются создать ощущение безотлагательности или используют тактику запугивания, чтобы заставить жертву выполнить запросы злоумышленника. Фишинговые кампании могут быть нацелены на большое количество анонимных пользователей или на конкретную жертву или конкретных жертв.

Но есть и другие методы. Остерегайтесь также и этого:

Адресный фишинг – это целенаправленная форма фишинга, при которой злоумышленник отправляет настраиваемые сообщения ограниченной группе людей или даже одному человеку с целью сбора их данных или манипулирования ими для выполнения вредоносных действий.

Вишинг и смишинг – это методы социальной инженерии, похожие на фишинг, но осуществляемые с помощью иных средств, чем электронная почта. Вишинг (голосовой фишинг) использует мошеннические телефонные звонки, в то время как смишинг (SMS-фишинг) использует текстовые SMS-сообщения, содержащие вредоносные ссылки или содержимое.

Имперсонация (выдача себя за другое лицо) в кибербезопасности имеет значение, аналогичное ее эквиваленту в физическом мире. Киберпреступники действуют от имени заслуживающего доверия лица и обманывают жертв, совершая действия, наносящие вред жертвам или их организации. Типичный пример – злоумышленник, выдающий себя за генерального директора компании, когда того нет на месте, поручает и одобряет выполнение мошеннических операций.

К мошенничеству с технической поддержкой обычно относятся фальшивые телефонные звонки или реклама в Интернете, в которых злоумышленники предлагают жертвам незапрашиваемые услуги технической поддержки. На самом деле киберпреступники пытаются заработать, продавая поддельные услуги и устраняя несуществующие проблемы.

Фиктивный антивирус – это программное обеспечение, которое использует различные методы для того, чтобы вызывать у жертвы беспокойство и заставить ее установить дополнительный вредоносный код на свои устройства, параллельно требуя плату за нефункциональное или откровенно вредоносное программное обеспечение. Типичным примером является фальшивый антивирусный продукт, созданный для того, чтобы заставить пользователей думать, что их устройства взломаны и что для устранения проблемы им необходимо установить специальное (обычно вредоносное) программное обеспечение.

(Кибер)мошенничество – это мошеннические схемы, которые часто используют один или даже несколько методов социальной инженерии, описанных в этом разделе.

Почему МСП следует беспокоиться о социальной инженерии?

Согласно исследованию, проведенному организацией Zogby Analytics в 2019 году по поручению Национального альянса по кибербезопасности США, МСП все больше осознают, что они становятся мишенью для киберпреступников. Почти половина (44%) компаний с числом сотрудников от 251 до 500 заявили, что за последние 12 месяцев они сталкивались со случаями уязвимости официальных данных. Опрос показал, что 88% малых предприятий считают, что они являются, по крайней мере, «довольно вероятной» целью для киберпреступников, включая почти половину (46%), которые считают, что они являются «очень вероятной» целью.

А ущерб является реальным и значительным, что хорошо видно из годового отчета Центра ФБР по приему жалоб на мошенничество в Интернете (IC3). По оценкам ФБР, только в 2018 году из-за кибератак американские компании потеряли более 2,7 млрд долларов, в том числе 1,2 млрд долларов в результате взлома корпоративной электронной почты (BEC)/взлома учетных записей электронной почты (EAC), что привело к несанкционированному переводу денежных средств.

Как распознать атаку на основе социальной инженерии?

Есть несколько красных флажков, которые могут сигнализировать об атаке на основе социальной инженерии. К числу демаскирующих признаков относится наличие грамматических и орфографических ошибок. К этим признакам также относится ощущение безотлагательности, призванное побудить получателя действовать беспрекословно. Любой запрос конфиденциальных данных – это тревожный звоночек: солидные компании обычно не запрашивают пароли или личные данные по электронной почте или с помощью текстовых сообщений.

Некоторые красные флажки, которые указывают на социальную инженерию:

1. Неграмотный и обобщенный язык

Как правило, злоумышленники не уделяют должного внимания деталям, отправляя сообщения, содержащие опечатки, пропущенные слова и грамматические ошибки. Другим лингвистическим элементом, который может сигнализировать о попытке атаки, являются обобщенные приветствия и формулировки. Поэтому, если электронное письмо начинается с «Уважаемый получатель» или «Уважаемый пользователь», будьте осторожны

2. Странный адрес отправителя

Большинство спамеров не тратят время на подделку имени или домена отправителя, чтобы те выглядели заслуживающими доверия. Таким образом, если электронное письмо приходит с адреса, который представляет собой комбинацию случайных чисел и символов или неизвестен получателю, оно должно идти прямиком в папку со спамом и о нем необходимо сообщить в ИТ-отдел.

3. Ощущение безотлагательности

Преступники, стоящие за кампаниями социальной инженерии, часто пытаются запугать жертв, используя фразы, вызывающие беспокойство, такие как «отправьте нам свои данные немедленно, в противном случае ваша посылка будет утилизирована» или «если вы не обновите свой профиль прямо сейчас, мы закроем вашу учетную запись». Банки, курьерские службы, государственные учреждения и даже внутренние отделы в коммуникации обычно используют нейтральный язык и оперируют фактами. Поэтому, если сообщение пытается заставить получателя действовать быстро, оно, вероятно, является вредоносным и потенциально опасным мошенничеством.

4. Запрос конфиденциальной информации

Учреждения и даже другие отделы вашей собственной компании обычно не запрашивают конфиденциальную информацию по электронной почте или телефону – если только этот контакт не был инициирован самим сотрудником.

5. Если что-то звучит слишком хорошо, чтобы быть правдой, то, скорее всего, это неправда

Это верно как для незапрашиваемых бесплатных раздач подарков в социальных сетях, так и для «превосходной, но ограниченной во времени возможности для бизнеса», которая только что попала в ваш почтовый ящик.

5 способов, как защитить вашу организацию от атак на основе социальной инженерии

1. Регулярное обучение кибербезопасности ВСЕХ сотрудников, включая топ-менеджеров и ИТ-персонал. Помните, что такое обучение должно показывать или имитировать реальные сценарии. Учебные темы должны быть практически осуществимыми и, прежде всего, активно тестироваться за пределами учебного класса: методы социальной инженерии основываются на низкой осведомленности своих жертв в вопросах кибербезопасности.

2. Просканируйте слабые пароли, которые потенциально могут оказаться открытой дверью в сеть вашей организации для злоумышленников. Кроме того, защитите пароли с помощью дополнительного уровня безопасности, применив многофакторную аутентификацию.

3. Внедрите технические решения для борьбы с мошенническими сообщениями, чтобы спам и фишинговые сообщения обнаруживались, помещались на карантин, обезвреживались и удалялись. Решения для обеспечения безопасности, в том числе многие, которые предоставляет компания ESET, имеют частичный или полный набор этих возможностей.

4. Создайте понятные политики безопасности, которые сотрудники могут использовать и которые помогут сотрудникам определить, какие шаги им необходимо предпринять, когда они сталкиваются с социальной инженерией.

5. Используйте решение для обеспечения безопасности и инструменты администрирования, такие как ESET Cloud Administrator, для защиты рабочих станций и сетей вашей организации, предоставляя администраторам полный обзор и возможность обнаруживать и устранять потенциальные угрозы в сети.

Начните бороться с социальной инженерией

ESET PROTECT
Advanced

Защитите свою организацию от социальной инженерии, используя многоуровневые решения ESET для обеспечения безопасности рабочих станций, включая защиту LiveGrid®, с помощью облачной защиты и защиты от сетевых атак, а также ESET Cloud Administrator, предоставив вашим администраторам полный и детальный обзор сети 24/7.