Социальная инженерия: новые тренды и тактики

Логотип компании
 Социальная инженерия: новые тренды и тактики
Социальная инженерия: новые тренды и тактики

Методы социальной инженерии за последние годы существенно усложнились, став настоящим вызовом для информационной безопасности. Атаки фокусируются на эксплуатации человеческого фактора, который остается наиболее уязвимым звеном в защите данных.

Сегодня злоумышленники используют более изощренные подходы, которые сложно распознать даже опытным специалистам.  О новых трендах социальных манипуляций IT World рассказал Кирилл Тимофеев, директор департамента информационных технологий «ОБИТ».

Эволюция методов, используемых  злоумышленниками, неразрывно связана с развитием технологий, изменениями в социальном устройстве и экономическими процессами. На ранних этапах истории хакерства основными движущими силами были идеализм, стремление к свободе информации, желание исследовать и демонстрировать собственные навыки. С развитием капитализма появились экономические интересы, когда кража данных, финансовые махинации и шантаж были главным мотиватором и источником прибыли злоумышленников. А сегодня хакеры действует не только ради финансовой наживы, сколько для продвижения национальных интересов, что сделало киберпространство ареной современных международных конфликтов.

Даже один из самых знаменитых хакеров Кевин Митник, которого позже признали «самым разыскиваемым киберпреступником в мире», использовал не столько технологии, сколько психологию, чтобы обмануть сотрудников компаний и получить доступ к закрытым системам.

В связи с развитием технологий и мотиваций социальных инженеров их методы эксплуатации человеческого фактора постоянно эволюционируют. Рассмотрим некоторые тренды социальной инженерии, которые сегодня наиболее распространены:

Социальные сети: цифровой след жертвы

Социальные сети остаются богатым источником информации, в котором пользователи сами предоставляют хакерам данные для персонализированных атак: от геолокации и увлечений до списка коллег и родственников.

Не меньшую опасность представляют атаки через мессенджеры и чаты, которые стали сильно популярны для использования в корпоративных целях В этом году был зафиксирован ряд случаев, когда мошенники создавали фальшивые аккаунты в Telegram, маскируясь под топ-менеджеров или руководителей отделов, входили в доверие к сотрудникам, убеждая их раскрыть конфиденциальную информацию или перевести деньги на «временные счета» для «срочного проекта». Например, злоумышленники с помощью поддельного профиля генерального директора могут запросить у сотрудников доступ к облачному хранилищу. и под видом «временных технических работ» получить доступ к корпоративным данным и сервисам. 

В одном из наших кейсов мошенники создали фальшивую учетную запись сотрудника ИТ-отдела и распространили сообщение с просьбой установить «новое обновление безопасности». На деле это обновление оказалось вредоносным ПО, которое дало злоумышленникам доступ к внутренней переписке компании. Атаки через мессенджеры до сих пор остаются успешными, потому что привычные платформы часто воспринимаются сотрудниками как безопасные инструменты для работы. 

Deepfake и фальсификация голоса

Сложность и опасность современных атак кратно увеличивают технологии, в основе которых лежит искусственный интеллект. Теперь несложно представить и даже реализовать видео с участием топ-менеджера банка, в котором он дает распоряжение о переводе крупной суммы на неизвестные счета, или голосовую запись, имитирующую голос главного бухгалтера, который просит перейти рядового сотрудника по фишинговой ссылке.  

ИИ-технологии становятся всё доступнее для обычных пользователей, а их качество всё сложнее отличить от оригинала. Более того, бесплатные открытые платформы уже позволяют добиться реалистичного воспроизведения речи и мимики. На данный момент пока не разработаны 100-процентные механизмы определения фальсификаций, в связи с чем первоочередный упор многие компании делают на развитии базовой кибер грамотности у сотрудников.

Эмоции как оружие: атаки через страх и срочность

Глобальные кризисные ситуации и «черные лебеди» нашего времени являются одним из главных факторов, вызывающих страх неопределенности и приводящих к необдуманным действиям. Так, во время пандемии COVID-19 мошенники активно рассылали письма от имени государственных органов и медицинских учреждений, требуя срочно предоставить личные данные. В 2022 году, в разгар частичной мобилизации, также распространялись фальшивые письма от государственных органов с требованием срочно подтвердить данные через подозрительные ссылки, что очевидно привело к утечке всех «подтвержденных» данных. 

Игра на страхе помогает взломщикам обойти логическое мышление жертвы, подталкивая ее к быстрому решению без проверки подлинности сообщения.

Baiting (приманки) через файлы и цифровые устройства

Если раньше были популярны зараженные флешки, то теперь основным методом стали вредоносные вложения в электронных письмах. Для этого взламывается почтовый ящик сотрудника или контрагента и доступ к истории переписки, чтобы при получении письма у потенциальной жертвы не возникло никаких подозрений.

Удаленная работа, ставшая нормой после пандемии, открыла новые возможности для этого метода в виде:

-        фальшивых писем от «технического отдела» с инструкциями по установке программ для безопасности, которые на самом деле являются вредоносными;

-        атак через домашние сети сотрудников с целью доступа к корпоративной информации;

Домашние сети часто менее защищены и соответственно удаленные сотрудники не обладают тем же уровнем защиты, что и офисные, что делает их легкой целью.

Микроцелевые атаки (Whaling): охота на «китов»

Таргетинг на высокопоставленных лиц направлен на людей, обладающих критическим доступом к ресурсам компании и потому требует бОльшей изощренности и высокого уровня подготовки, но может принести огромные дивиденды хакерам, если цель попадется на удочку. При таком методе чаще всего многоступенчатые продуманные схемы, которые имитируют внутренние корпоративные коммуникации, и в которых руководителей просят выполнить действия, например, перевести деньги или подписать поддельные документы.

Так, руководитель может получить фишинговое письмо с квартальным финансовым отчетом, для доступа к которому нужно пройти авторизацию. А на поддельной странице авторизация уже заполнена якобы автосохраненным именем пользователя, что в итоге полностью усыпляет бдительность получателя.

Квишинг (Quishing): атаки через QR-коды

Атаки с использованием QR-кодов становятся всё более популярными. При сканировании такого QR пользователи перенаправляются на вредоносную платформу, которая может запрашивать номера кредитных карт и другие учетные данные для входа. В некоторых  странах были зафиксированы случаи появления на парковках поддельных QR-кодов для оплаты услуг. Сканируя их, пользователи попадали на фальшивые сайты, где злоумышленники получали введенные данные банковских карт.

В условиях, когда QR распространены повсеместно, у злоумышленников существует огромный простор для использования данного инструмента. Например, на общественных мероприятиях могут быть размещены поддельные QR-коды подключения к Wi-Fi. После подключения через такие ссылки чаще всего и происходит заражение устройств вредоносным ПО.

***

Человек был и будет главной мишенью для хакеров, потому что технологии можно усилить, а человеческие слабости остаются постоянными. Неосторожность, доверчивость и страх — это три составляющие, которые всегда будут эксплуатироваться. Противодействие новым методам и тактикам социальных инженеров требует многогранного подхода, который включает как технологические решения, так и организационные меры. Обучение сотрудников, внедрение двухфакторной аутентификации, использование антифишинговых фильтров, регулярные тесты на проникновение и контроль данных — это ключевые элементы, которые помогут минимизировать риски атак с подключением социальной инженерии. И, несомненно, личная осознанность и осведомленность в новых правилах игры имеют не последнее значение.

Опубликовано 24.12.2024

Похожие статьи