СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

Социальная инженерия представляет собой вид атаки, которая опирается на взаимодействие людей и часто сопровождается манипулированием этими людьми в нарушение нормальной процедуры безопасности и является передовой практикой в целях получения доступа к системам, сетям или для получения финансовой выгоды.

Злоумышленники используют методы социальной инженерии, чтобы скрыть свои истинные личности и мотивы и выдать себя за доверенного человека или источник информации. Цель атаки заключается в том, чтобы манипуляцией или обманным путем вынудить пользователя предоставить конфиденциальную информацию или доступ злоумышленнику в пределах организации. Многие удачные атаки в области социальной инженерии просто полагаются на готовность людей быть полезными. Например, злоумышленник может претендовать на роль сотрудника, у которого есть какая-то срочная проблема, требующая доступа к дополнительным сетевым ресурсам.

Социальная инженерия очень популярна среди хакеров, потому что часто легче использовать слабости пользователей, чем найти уязвимость сети или программного обеспечения. Хакеры часто используют тактику социальной инженерии в качестве первого шага в большой кампании для проникновения в систему или сеть и крадут конфиденциальные данные или распространяют вредоносное программное обеспечение.

Злоумышленники используют разнообразные тактики для совершения атак.

Первым шагом в большинстве атак социальной инженерии является проведение исследования или своеобразной разведки, с целью узнать об объекте атаки как можно больше. Например, если целью является предприятие, хакер может собирать информацию о структуре сотрудников, внутренних операциях, общем жаргоне, используемом внутри отрасли и возможных деловых партнерах. Среди злоумышленников, использующих социальную инженерию, популярна тактика, которая заключается в том, чтобы сосредоточиться на поведении сотрудников с низким уровнем, но с начальным доступом, например, охранником или человеком, который сидит на стойке регистрации. Хакеры могут просматривать профили в социальных сетях этих сотрудников, с целью получения информации, и, таким образом, изучать их поведение онлайн и лично.

На основе собранной информации, хакер может разработать план нападения, воспользовавшись уязвимостями, выявленными в ходе этапа разведки.

Если атака проходит успешно, хакеры получают доступ к конфиденциальным данным – таким, как кредитные карты или банковская информация, и воспользовавшись этими данными крадут деньги или получают доступ к защищенным систем или сетям.

К популярным типам атак социальной инженерии относятся:

• Приманка: Приманка — это когда злоумышленник оставляет зараженное вредоносными программами физическое устройство, такое как USB-накопитель, в месте, которое обязательно найдет объект атаки. Затем нашедший поднимает устройство и открывает его на своем компьютере, непреднамеренно устанавливая вредоносное программное обеспечение.
• Фишинг: Фишинг — это когда злоумышленник отправляет мошенническое электронное письмо, замаскированное под законный адрес электронной почты. Например, выдавая себя за сотрудника банка, злоумышленник может потребовать подтвердить что-то, отправив ему в ответном письме реквизиты своей банковской карты. Сообщение предназначено для обмана получателя в обмен личной или финансовой информации, или содержит ссылку, устанавливающую вредоносное программное обеспечение.
• Целевой фишинг: целевой фишинг подобен фишингу, но направлен на определенного человека или организацию.
• Вишинг: Вишинг также известен как голосовой фишинг, и это использование социальной инженерии по телефону, с целью собрать личную или финансовую информацию.
• Претекстинг: Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает) с тем, чтобы обеспечить доверие цели.
• Quid pro quo (услуга за услугу): данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.
• Сладкая ловушка: нападение, в котором злоумышленник выдает себя за привлекательного человека для взаимодействия с жертвой онлайн, поддерживает иллюзию онлайновых отношений и занимается сбором конфиденциальной информации через эти отношения.
• Хвост: – это когда хакер входит в защищенное здание, следуя за кем-то с авторизованной карточкой доступа. Эта атака предполагает, что человек с законным доступом к зданию достаточно вежлив, чтобы держать дверь открытой для человека, стоящего за ним.

Примеры атак социальной инженерии

Возможно, самым известным примером нападения с использованием социальной инженерии может послужить легендарная Троянская война, в ходе которой греки смогли попасть в город Трою и выиграть войну, скрывшись в гигантской деревянной лошади, которая была представлена троянской армии как дар мира.

Фрэнк Абигнейл считается одним из ведущих экспертов в области социальной инженерии. В 1960-х годах он использовал различные способы для того, чтобы выдавать себя как минимум за восемь различных людей, в числе которых были: пилот авиакомпании, врач и адвокат. В течение этого времени Абигнейл также занимался фальсификацией банковских чеков. После своего тюремного заключения он стал консультантом по вопросам безопасности для ФБР и начал вести свою консультацию по финансовому мошенничеству. История его незаурядной жизни легла в основу автобиографии «Поймай меня, если сможешь» (англ. Catch Me If You Can), по которой оскароносный режиссёр Стивен Спилберг снял одноимённый фильм.

Одним из недавних примеров успешной атаки с использованием социальной инженерии может послужить взлом серверов компании RSA в 2011 году. Злоумышленник отправил два разных фишинговых письма в течение двух дней небольшим группам сотрудников RSA. В письмах была указана тема «План найма 2011 года» и содержалась вставка документа Excel. Электронная таблица содержала вредоносный код, который устанавливал бэкдор Poison Ivy через уязвимость Adobe Flash Player. Среди похищенной информации были сведения о новейших решениях для двухфакторной проверки подлинности. И надежность цифровых подписей RSA SecurID была поставлена под угрозу. Позже с помощью украденных ключей пытались взломать серверы крупнейшего в мире предприятия ВПК, корпорации Lockheed Martin. Компания потратила примерно 66 миллионов долларов на восстановление после атаки.

В 2013 году Сирийская электронная армия смогла получить доступ к учетной записи «Ассошиэйтед Пресс» в твиттере, включив вредоносную ссылку в фишинговое электронное письмо. Письмо было отправлено сотрудникам «Ассошиэйтед Пресс» под прикрытием того, что оно от их коллеги. Затем хакеры опубликовали в твиттере «Ассошиэйтед Пресс» фальшивую новость, в которой говорилось, что в Белом доме произошло два взрыва, а затем, что президент Барак Обама получил ранения. Это вызвало такую значительную реакцию, что фондовый рынок упал на 150 пунктов менее чем за пять минут.

В 2015 году хакеры получили доступ к личному AOL e-mail аккаунту директора ЦРУ Джона Бреннана. Один из хакеров рассказал СМИ, что он использовал методы социальной инженерии, чтобы выдавать себя за техника Verizon и запрашивать информацию об учетной записи Бреннана у телекоммуникационного гиганта. Как только хакеры получили данные учетной записи Бреннана от Verizon, они связались с AOL и использовали ранее полученную информацию для того, чтобы дать правильные ответы на вопросы безопасности для получения доступа к учетной записи электронной почты Бреннана.

Предотвращение атак

Эксперты по безопасности рекомендуют ИТ-отделам регулярно проводить тестирование на проникновение с использованием методов социальной инженерии в своей организации. Это поможет администраторам узнать, какие типы пользователей представляют наибольший риск для конкретных типов атак, а также определить, какие сотрудники требуют дополнительного обучения.

Если люди будут знать, какие именно формы нападений, связанных с социальной инженерией, наиболее вероятно применимы к ним, они будут менее склонны становиться жертвами.

Как минимум, организации должны иметь защищенные почтовые и веб-шлюзы, которые будут сканировать электронные письма на наличие вредоносных ссылок и фильтровать их, тем самым уменьшая вероятность того, что сотрудник нажмет на него. Также важно следить за обновлениями программного обеспечения и прошивки на всех устройствах, так же как и отслеживать сотрудников, которые работают с конфиденциальной информацией и обеспечить более сложную систему их аутентификации.

Список литературы:

1. Социальная инженерия [Электронный ресурс]. – Режим доступа: https://4brain.ru/blog/%D1%81%D0%BE%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F-%D0%B8%D0%BD%D0%B6%D0%B5%D0%BD%D0%B5%D1%80%D0%B8%D1%8F/ (дата обращения: 17.08.2018)
2. Ананьин Е. В., Кожевникова И. С., Лысенко А. В., Никишова А. В., Мартынова Л. Е., Назарова К. Е., Попков С. М., Белозёрова А. А. Основные виды атак социальной инженерии // Молодой ученый. — 2017. — №1. — С. 15-17. — URL https://moluch.ru/archive/135/37948/ (дата обращения: 17.08.2018).
3. Краткое введение в социальную инженерию [Электронный ресурс]. – Режим доступа: https://habr.com/post/83415/ (дата обращения: 17.08.2018)
4. Абигнейл, Фрэнк [Электронный ресурс]. – Режим доступа: https://ru.wikipedia.org/wiki/%D0%90%D0%B1%D0%B8%D0%B3%D0%BD%D0%B5%D0%B9%D0%BB,_%D0%A4%D1%80%D1%8D%D0%BD%D0%BA (дата обращения: 18.08.2018)
5. Статистика уязвимостей в 2011 году [Электронный ресурс]. – Режим доступа: https://www.securitylab.ru/analytics/422328.php (дата обращения: 18.08.2018)