Социальная инженерия – метод старый как мир, потому что как мир стары слабости человека, которыми манипулируют мошенники. Но само понятие «социнженерия» закрепилось недавно – в нашу цифровую эпоху. Несмотря на то, что СМИ чуть ли ни каждый день пишут о «новом способе мошенничества», на поверку это вариации старых приемов, считает руководитель отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. Но время никак не ослабляет их действенность. Почему – разберемся в статье.
– Для начала освежим в памяти матчасть. Социнженерия – совокупность приемов и методов, которые вынуждают человека действовать в пользу мошенника: сообщать информацию, переходить по ссылкам, переводить деньги и т.д. Методов и их вариаций – огромное множество. Но все они основаны на ошибках восприятия (фишинг, метод «Кви Про Кво»), любопытстве («троянский конь», «дорожное яблоко»), корысти (реверсивная социнженерия) и других.
Информацию о всех перечисленных методах вы без труда найдете, они хорошо описаны и в специализированных изданиях, и в научных статьях, и в «Википедии». Я бы хотел поднять другую тему: почему несмотря на такую изученность методов против этого «лома» до сих пор не нашли приема, а люди по-прежнему так легко попадаются на уловки мошенников?
Первая причина эффективности социальной инженерии – в обществе всегда неизменен процент тех людей, которые оказываются легкой добычей для любого мошенника, будь он наперсточником или киберпреступником. Когда видишь очередной спам в почте, иногда диву даешься: кто на них клюет? Но не было бы спроса, не было бы и писем.
В своей книге ученый – популяризатор науки Александр Панчин дает ответ, почему письма от «нигерийского принца» по-прежнему эффективны, с точки зрения психологии. Мошенники специально целят в тех, кто верит в самое невероятное и даже не пытаются тратить время на скептиков и пытаться придать сообщениям правдоподобия. Среди тысяч и миллионов адресатов всегда найдется тот, кто на письмо откликнется. В 2006 году «принц» даже попал в рейтинг пятнадцати богатейших вымышленных персонажей по данным журнала Forbes. С тех пор сценарии писем изменились, но принцип их остался тот же: жадность, любопытство застит глаза, и люди заглатывают наживку.
Но даже если человек скептик, шансы его стать жертвой мошенника не ниже. Слабым местом может стать нехватка времени на проверку информации, невнимательность, ошибки восприятия, техническая неграмотность, халатное отношение к информации, страх. И конечно, комбинация всего.
Буквально на днях антивирусная компания Eset описала новую атаку, направленную на пользователей системы MasterCard по всему миру. Мошенники отправляют электронное письмо с уведомлением об обновлении, и предупреждают, что внедрена новая система безопасности и возможны отключения аккаунтов. Мошенники предлагают пользователям перейти по ссылке и заполнить несколько форм, сообщив персональные данные, логин, пароль и другую важную информацию. Чтобы ввести пользователя в заблуждение, злоумышленники даже имитируют процесс верификации на подменном сайте. Кроме того, адрес электронной почты не совпадает ни с одним из официальных адресов Masterсard, так же, как и используемый почтовый сервер. Они также использовали сертификат SSL, за счет которого браузер считает открытые страницы безопасными.
Таким образом, мошенники собирают необходимые им сведения, позволяющие получить доступ к счетам жертв и похитить их средства.
Или вот пример «на злобу дня». Азиатские киберпреступники стали активно эксплуатировать тему короновируса. Первая атака была реализована еще в середине февраля, и уже понятно, что они смогут паразитировать на теме достаточно долго.
Когда жертвой мошенника оказывается не просто физлицо, а лицо должностное, проблемы приобретают и вовсе громадные масштабы. По данным компании HackerU, ущерб российских компаний от методов социальной инженерии – 1,26 млрд рублей, они составили основу 70% успешных кибератак. Такая высокая конверсия объясняется HackerU тем, что 76% работающих россиян получили образование в эпоху до цифровой трансформации и не обладают навыками защиты собственных данных.
Один из самых успешных и опасных видов атак социнженеров на компании – т.н. BEC-атаки, компрометация корпоративной почты. Таким образом в 2019 году злоумышленники выручили почти 1,5 млрд долларов. Центр приема жалоб на мошенничество в Интернете при ФБР называет BEC самой серьезной проблемой среди всех мошеннических схем в сети. Число атак постоянно растет, среди жертв в том числе самые известные компании, например, Facebook и Google. Им фальшивый контрагент выставил счета на оплату $23 млн и $99 млн. Бухгалтеры купились, т.к. название «партнера» оказалось очень похожи на настоящего.
Вот еще пара недавних кейсов. Государственный музей Твенте в течение нескольких месяцев вел переговоры с арт-дилером Simon Dickinson по электронке, но в какой-то момент мошенники получили доступ к его почте и вмешались в переписку. Под видом арт-дилера они отправили музею поддельные сообщения, после чего тот перевел $3,1 млн (186 млн рублей) на банковский счет «продавцу». Во второй истории жилищная ассоциация в Великобритании перевела по требованию злоумышленника, который умело смоделировал переписку, 932 тыс. фунтов стерлингов (больше 76 млн рублей).
Из примеров выше видно, что даже если человек супер-скептик, часть атак ему распознать очень сложно, организованы они филигранно: идеально подогнаны домены, качественно сделан подменный сайт, использован сертификат безопасности.
В прошлом году впервые была реализована deep-fake атака (подделка аудио или видеоизображения), которая и вовсе выводит угрозу на невиданный ранее уровень. В сентябре состоялось первое мошенничество с использованием deepfake: генеральному директору британской компании позвонил «немецкий коллега» и попросил перевести третьей стороне $243 тыс. Качество подделки голоса было настолько хорошим, что злоумышленник подозрений не вызвал. Пока это единственный пример, но очень вероятно, что о других пока просто не стало известно. Проблема в том, что повторить такую по большому счету не сложно. Исходники алгоритмов для синтеза речи есть в свободном доступе, и мошенничество может стать массовым в ближайшее время. Сейчас одни компании работают над усовершенствованием технологии для индустрии развлечений и кинематографа, другие – разработкой технологий разоблачения deepfake.
Но вернемся к уже распространенным типам социнженерии. Технических способов отражения атак немного. В первую очередь это спам-фильтры на уровне почтового сервера и антивирусные программы. Помогают в деле системы с функционалом поведенческой аналитики и профилирования сотрудников, которые выявляют группы риска особенно уязвимых к манипуляциям. Последний рубеж обороны – программы контроля действий сотрудников за компьютерами.
Но пока это технический предел, потому что программы все же решают страховочную задачу, чтобы сотрудник по незнанию или глупости не оказался жертвой мошенника. Сложные признаки обмана может пока увидеть только человек.
Обнаружить подделки, фейки манипуляции, как мы видели из примеров выше, становится все сложнее, потому что мошенники все успешнее преодолевают барьеры доверия. А значит любые меры по борьбе с мошенничеством лишь частично обезопасят пользователей.
Вот условная схема фишинга, самого популярного метода социнженерии (в целом описывает и принцип работы любого другого метода).
Определение цели – разведка и сбор информации о жертве – подготовка – выбор повода и варианта «входа» (звонок, письмо, сообщение в мессенджере) – обман с призывом к действию – авторизация.
На каждом этапе мошенник мог бы запнуться, но он все чаще без труда преодолевает препятствия. Найти информацию, чтобы втереться в доверие, становится все проще. В результате злоумышленник, представляясь оператором колл-центра, знает о жертве столько же, сколько реальный сотрудник банка.
В этом и проблема самых «безобидных» утечек. Кажется, что нет проблемы, когда в сеть утек список адресов сотрудников департаментов банка. Но следом бухгалтеру может прийти ссылка на акт-сверки от человека, который будет обращаться к сотруднику по имени и отчеству. Считается, что рассылка писем по открытому списку адресатов это безалаберность, но не опасность. В результате следом за письмом с программой конференции с похожего адреса может прийти письмо: «простите, коллеги, ошиблись файлом». Только новый окажется зараженным.
Почти за каждой утечкой информации следует волна атак социальных инженеров: фишинговых писем, смс-сообщений, звонков от «сотрудников банка». Пользователи сервисов будут попадаться на эти удочки, потому что это в природе человека. Технические средства могут подстраховать, но корень проблемы – в бардаке с персональными данными. Пока он сохраняется, социальная инженерия будет процветать.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных