Одной из составляющих многих кибератак являются социотехники – методы социальной инженерии. С их помощью злоумышленники пытаются убедить человека, выбранного в качестве объекта кибератаки, совершить то или иное действие, приводящее к заражению системы или раскрытию ценной информации.
Несмотря на то, что при устранении последствий атаки основное внимание уделяется техническим проблемам, человеческий фактор приводит к тому, что в случившемся начинают винить сотрудника, ставшего объектом атаки, а от остальных требуют большей осторожности в вопросах безопасности. Проблема, однако, в том, что в большинстве организаций мало что предпринимается для выяснения причин, по которым злоумышленникам удалось успешно атаковать объект и, что более важно, как снизить риски новых атак.
Эксперты Радж Самани (Raj Samani), главный технический директор компании McAfee в регионе EMEA, и Чарльз Макфарланд (Charles McFarland), старший инженер-исследователь McAfee Threat Intelligence Service, дают термину «социотехника» следующее определение. Это намеренное использование методов, нацеленных на то, чтобы обманным путем подтолкнуть человека к раскрытию информации или совершению действий, которые могут привести к раскрытию информации.
В ходе социотехнической атаки объект атаки не осознает, что его действия являются вредоносными. Методы социотехники основаны на злоупотреблении доверчивостью объекта атаки, а не на использовании его преступных инстинктов. Атаки можно разделить на две категории: «охота» и «животноводство». «Охота» предполагает получение информации при минимальном взаимодействии с объектом атаки. При таком подходе взаимодействие, как правило, сводится к одиночному контакту атакующего с атакуемым, и после получения информации атакующий сразу прекращает общение с атакуемым. «Животноводство» предполагает установление продолжительных отношений с объектом атаки с целью его «доения» (т. е. получения информации) на протяжении длительного периода времени.
Ход атаки
Социотехнические атаки с использованием электронной почты в качестве средства связи чаще всего носят характер «охоты». Конечно, есть исключения вроде «нигерийских писем», в которых делаются попытки продлить контакт с целью извлечения большего количества денег. Социотехнические атаки в категориях «охота» и «животноводство» проводятся, как правило, в четыре этапа.
Первый этап – сбор информации. Цель этого необязательного этапа — сбор об объекте атаки информации, которая поможет «зацепить» его: увлечения, место работы, поставщики финансовых услуг и т. п.
Второй этап – «зацепка». Цель «зацепки» — успешно «развести» объект атаки, вступив с ним в контакт и создав повод для взаимодействия. Психолог Роберт Чалдини (Robert Cialdini) описал шесть рычагов влияния на объект атаки: взаимность (получив что-либо, люди чувствуют себя обязанными и стремятся дать что-нибудь взамен), дефицит (люди склонны выполнять просьбу, если считают, что речь идет о чем-то редком), последовательность (если объект атаки пообещал что-то сделать, то он будет стремиться выполнить обещание, чтобы не казаться неблагонадежным), симпатия (объект атаки охотнее выполняет просьбу, если злоумышленник ему симпатичен), власть (люди склонны выполнять просьбы, поступающие от представителей власти), социальное доказательство (склонность выполнять просьбу, если другие делают то же самое).
Третий этап – «разводка». Суть его заключается в выполнении основной части атаки. Это может быть раскрытие информации, переход по ссылке, перечисление денежных средств и т.д.
Четвертый этап – выход. Завершение взаимодействия. Во многих атаках, относящихся к категории «животноводство», злоумышленнику выгодно выходить из игры так, чтобы не вызывать подозрений. Однако это не всегда необходимо. Например, когда злоумышленнику удается убедить объект атаки раскрыть данные платежной карты, он, как правило, не хочет вызывать подозрений, чтобы объект атаки не заблокировал карту, объявив ее потерянной или украденной. Но если злоумышленнику удалось украсть исходный код или личную информацию, то объект атаки не сможет восстановить украденные данные даже в том случае, если у него возникли подозрения.
Василий Окулесский: Социнженерия стала самостоятельным видом кибермошенничества
Василий Окулесский, эксперт в области информационной безопасности, считает, что социальная инженерия занимает все более значимое место в организации кибератак.
CNews: По вашему мнению, усиливается ли роль социальной инженерии в кибермошенничестве, кибератаках?
Василий Окулесский: Я бы даже усилил акцент – социальная инженерия сейчас стала вполне самостоятельным видом мошеннического бизнеса. «Добровольный» увод персональных и учетных данных, увод денег, отработка нетехнических способов получения критически важных данных до проведения специальных «тематических» атак на банковские структуры – эти методы используются мошенниками все чаще.
Читать далее
Сергей Крамаренко: Регулярная проверка осведомленности сотрудников снижает число нарушений в сфере ИБ
Сергей Крамаренко, руководитель службы контроля ИБ «Вымпелкома», рассказал об опыте борьбы с инцидентами, в которых весомую роль играют методы социальной инженерии.
CNews: Насколько часто оператор сталкивается с инцидентами в сфере информационной безопасности, инициированными с помощью социальной инженерии?
Сергей Крамаренко: Инциденты в сфере ИБ в любой крупной компании, такой как «Вымпелком», случаются регулярно. Конечно, они не одинаковы по масштабу и влиянию на бизнес. Но в сфере обеспечения ИБ гораздо важнее то, как быстро происходит идентификация инцидентов и насколько эффективно компания способна их предотвращать, минимизируя негативные последствия. Также важно проводить пост-фактум «работу над ошибками» и планировать на будущее проведение необходимых мероприятий. К счастью, крупные по своим последствиям инциденты с использованием социальной инженерии единичны. Мелкие инциденты случаются в среднем раз в месяц, но мы с ними быстро разбираемся.
Читать далее
Станислав Павлунин: Наиболее сложные – APT-атаки с элементом социальной инженерии
Станислав Павлунин, вице-президент по безопасности Тинькофф Банка, рассказал CNews, что за последние пару лет банк зафиксировал более 10 кибератак с применением методов социальной инженерии. Все они были вовремя идентифицированы и безуспешны.
CNews: Сколько раз за 2013-2014 года вы сталкивались с инцидентами в сфере информационной безопасности, инициированными с помощью социальной инженерии?
Станислав Павлунин: За это время было 12 серьезных попыток, которые привели к ИБ-инцидентам в банке. Часть их мы эмулировали сами, искусственно, а 4 атаки были внешними.
Читать далее
Дмитрий Лазуков: Помогает программа по информированию и обучению персонала по вопросам ИБ
Дмитрий Лазуков, руководитель службы информационной безопасности в банке, высказал мнение об отношении российской банковской отрасли к проблемам, связанным с распространением методов социальной инженерии.
CNews: Сталкивались ли вы с инцидентами в сфере ИБ, инициированными с помощью методов социальной инженерии?
Дмитрий Лазуков: У нас таких случаев не было.
Читать далее
Источник: CNEWS