УправлениеБезопасность

Как социотехническое тестирование помогает найти узкие места в информационных системах

| 15.03.2021

Как социотехническое тестирование помогает найти узкие места в информационных системах

В 2020-м стали чаще появляться новости о том, что злоумышленники используют фишинг и вишинг в рамках одной атаки. Насколько ваши сотрудники к ним готовы?

«Здравствуйте, Татьяна Игоревна! Звоню вам по просьбе руководителя Владимира Алексеевича. У нас произошел инцидент ИБ: по вашему пропуску сегодня через систему контроля управления доступом был зафиксирован проход в хранилище. Вы пользуетесь ноутбуком только как рабочим компьютером или по каким-то еще личным делам?» Собеседница ответила, что иногда также смотрит YouTube. «Да-да, я понимаю. Не переживайте. Просто возможно, что ваша доменная учетная запись была скомпрометирована и с ее помощью смогли пройти через СКУД».

Это реальный телефонный разговор, который состоялся в выходной день между специалистом департамента аудита и консалтинга Group-IB и сотрудником компании, где проводили социотехническое тестирование. Эксперт должен убедить «Татьяну Игоревну», что ее учетную запись могли взломать и пройти аутентификацию на резервном портале. Он же оказывается фишинговым ресурсом.

Человек – самое слабое звено в системе защиты любой компании, поэтому фишинг и вишинг используют не только «черные шляпы», но и пентестеры. Недавно аудиторы Group-IB решили поделиться своим опытом социотехнического тестирования, которое команда проводила в 2020 году. В качестве вектора атаки использовались рассылка фишинговых писем со ссылкой на поддельный ресурс (52%), рассылка фишинговых писем с исполняемым вложением (36%), вишинг (12%). Результаты оказались весьма впечатляющими.

Социотехническое тестирование, как правило, проводится для выявления уровня осведомленности сотрудников и их практических навыков в распознавании социотехнических атак, эффективности функционирования систем обеспечения информационной безопасности, уровня подготовки сотрудников ИТ- и ИБ-отделов к выявлению и реагированию на инциденты.

Телефон доверия

Самым результативным (отношение количества попавшихся к общему числу получателей) из представленных форматов стал вишинг – 37%. О его высокой результативности знают не только эксперты по информационной безопасности, но и реальные злоумышленники. В этом «ковидном» году легенды в рамках атак стали более разнообразными и изобретательными: предложение медицинских и юридических услуг, звонки от лица сотрудника прокуратуры, и не стоит забывать о классике – расследование подозрительного перевода банком (порядком приевшийся прием, но, к сожалению, все еще работающий).

img 

Высокая результативность вишинга объясняется несколькими аспектами. Во-первых, заранее известна информация, которую нужно получить. Это позволяет сформировать сценарий разговора, проработать вопросы, которые надо задать для достижения цели. Есть возможность подготовить пути отхода, если собеседник начнет что-то подозревать. Также большой объем работ по сбору информации о сотрудниках и компании, которая используется для формирования легенды и сценария разговора, например, о сотрудниках (ФИО, номер мобильного телефона, добавочный номер, адрес корпоративной электронной почты, ник в телеграмме, отдел, где работает сотрудник, его должность, дата рождения и фото) или о компании (наименования подразделений и имена руководителей ключевых подразделений; используемые внутренние системы).

В разговоре используется информация, которая указывает на осведомленность эксперта о внутренних процессах компании; ссылки на распоряжения, якобы полученные от начальников структурных подразделений компании.

Старый недобрый фишинг

Если сравнивать результативность рассылки фишинговых писем со ссылками на поддельный ресурс и писем с исполняемым вложением, то лидирует первый тип.

 

img

Один из ключевых факторов успеха в том, что рядовой сотрудник зачастую не разбирается в доменах, поддоменах и пр. Как следствие, он не видит разницы между portal-domain.ru и portal.domain.ru. Слова и порядок их употребления совпадают и там, и там, а вот символы можно пропустить по невнимательности или в спешке.

В свою очередь, рассылка фишинговых писем с исполняемым вложением предполагает большую вовлеченность со стороны сотрудников, поэтому данный формат тестирования показывает наименьшую результативность. Однако сотрудники, открывшие вредоносные вложения, чаще вступают в переписку с экспертами, чем при работе с фишинговым ресурсом. Это позволяет последним продолжать воздействие для достижения своих целей.

Например, в попытке спасти якобы утерянные данные об отпусках сотрудники присылали не только свой график отпуска, но и файл на весь отдел, а там тысячи сотрудников со всеми данными и структура компании. Также работники часто пересылают письма своим коллегам.

Два в одном

В 2020-м стали чаще появляться новости о том, что злоумышленники используют фишинг и вишинг в рамках одной атаки. К примеру, в начале декабря сообщалось, что преступники рассылают уведомления о долгах за ЖКУ в размере 10–20 тысяч рублей, которые якобы появились за время карантина, и просят оплатить поддельные квитанции онлайн.

Если человек проигнорировал письмо – ему звонили от имени сотрудника управляющей компании для проверки ранее совершенных платежей. На том конце провода убеждали, что долг по квартплате есть, и узнавали способы оплаты и реквизиты карты, которая использовалась для платежа, а затем предлагали сделать пробную транзакцию и сообщить им код из SMS.

Для Group-IB это не было новостью, и к тому моменту компания уже опробовала подобную схему на некоторых проектах: сначала рассылали сотрудникам фишинговые письма, а в случае низкого отклика звонили и в ходе разговора провоцировали сотрудника открыть файл или перейти по ссылке и выполнить действия, указанные в письме, или узнавали, почему он отказался выполнять инструкцию.

В результате сотрудники, которые изначально не хотели переходить по ссылке или не были заинтересованы в предлагаемой акции, меняли отношение к нашему фишинговому письму и, поддавшись на уговоры эксперта, делали то, что угрожало безопасности компании.

Таким образом, одновременное использование фишинга и вишинга оказалось более результативным, чем просто фишинга. Сотрудники, которые подозревали, что проводится тестирование, меняли свое мнение, верили в легитимность писем и охотно шли на контакт с экспертами.

Полный комплект

С чего начинается социотехническое тестирование? Первый пункт – постановка целей, ведь именно конкретные задачи определяют составляющие проверки. В список входят: время на подготовку к тестированию, объем разведывательных работ, формат проверки, условия, которые должна обеспечить компания.

В 2021 году Group-IB рекомендует бизнесу попробовать тесты «фишинг + вишинг» или только «вишинг». Это поможет сотрудникам не только в корпоративной среде, но и при подобных атаках в нерабочей обстановке.

Главное, о чем следует помнить: обучение и социотехнические тестирования должны быть направлены на формирование культуры поведения, которая позволит своевременно выявлять и эффективно реагировать на различные атаки.

Стоит сместить фокус с заучивания обязательных действий по обнаружению социотехнических атак на объяснение, почему их должен выполнять каждый сотрудник в компании. Без осознанного подхода к информационной безопасности со стороны сотрудников ни одна обучающая программа не сработает.

Обращайтесь к экспертам в области практической безопасности – они расскажут об актуальных тенденциях в социотехнических атаках, порекомендуют лучший именно для вас формат тестирования. Также не забывайте о простых правилах цифровой гигиены и рекомендациях по повышению осведомленности в ИБ.

Следует помнить о регулярном обучении и опросе сотрудников, понятной поставке материалов и гайдов (Вики-страницы, видео и т. п.), обязательной двухфакторной аутентификации, разграничении доступа и минимизации прав пользователей, хорошей фильтрации электронной почты, средствах защиты от целенаправленных атак.

 

Хакеры Фишинг Информационная безопасность Киберугрозы

Темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 03/2021], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.
Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Юникон & гейм экспо минск / unicon & game expo minsk
Минск, пр. Победителей, 20/2 (футбольный манеж)
14.05.2021 — 16.05.2021
12:00
SAS Global Forum 2021
ОНЛАЙН
18.05.2021 — 20.05.2021