Как взламывают «операционную систему» человека

[Eternity]

Киберпреступники зачастую пользуются методами социальной инженерии – рядом приемов, позволяющих подтолкнуть человека к раскрытию ценной информации. Опасность таких атак высока, а жертва обычно не понимает, что ее действия наносят вред. Эксперты компании McAfee постарались разобраться в этой проблеме и выделили основные виды атак, каналы, которыми пользуются злоумышленники, а также разработали методы защиты.
Одной из составляющих многих кибератак являются социотехники – методы социальной инженерии. С их помощью злоумышленники пытаются убедить человека, выбранного в качестве объекта кибератаки, совершить то или иное действие, приводящее к заражению системы или раскрытию ценной информации.
Несмотря на то, что при устранении последствий атаки основное внимание уделяется техническим проблемам, человеческий фактор приводит к тому, что в случившемся начинают винить сотрудника, ставшего объектом атаки, а от остальных требуют большей осторожности в вопросах безопасности. Проблема, однако, в том, что в большинстве организаций мало что предпринимается для выяснения причин, по которым злоумышленникам удалось успешно атаковать объект и, что более важно, как снизить риски новых атак.


В ходе социотехнической атаки объект атаки не осознает, что его действия являются вредоносными. Методы социотехники основаны на злоупотреблении доверчивостью объекта атаки, а не на использовании его преступных инстинктов. Атаки можно разделить на две категории: «охота» и «животноводство». «Охота» предполагает получение информации при минимальном взаимодействии с объектом атаки. При таком подходе взаимодействие, как правило, сводится к одиночному контакту атакующего с атакуемым, и после получения информации атакующий сразу прекращает общение с атакуемым. «Животноводство» предполагает установление продолжительных отношений с объектом атаки с целью его «доения» (т. е. получения информации) на протяжении длительного периода времени.
Ход атаки
Социотехнические атаки с использованием электронной почты в качестве средства связи чаще всего носят характер «охоты». Конечно, есть исключения вроде «нигерийских писем», в которых делаются попытки продлить контакт с целью извлечения большего количества денег. Социотехнические атаки в категориях «охота» и «животноводство» проводятся, как правило, в четыре этапа.
Первый этап – сбор информации. Цель этого необязательного этапа — сбор об объекте атаки информации, которая поможет «зацепить» его: увлечения, место работы, поставщики финансовых услуг и т. п.
Второй этап – «зацепка». Цель «зацепки» — успешно «развести» объект атаки, вступив с ним в контакт и создав повод для взаимодействия. Психолог Роберт Чалдини (Robert Cialdini) описал шесть рычагов влияния на объект атаки: взаимность (получив что-либо, люди чувствуют себя обязанными и стремятся дать что-нибудь взамен), дефицит (люди склонны выполнять просьбу, если считают, что речь идет о чем-то редком), последовательность (если объект атаки пообещал что-то сделать, то он будет стремиться выполнить обещание, чтобы не казаться неблагонадежным), симпатия (объект атаки охотнее выполняет просьбу, если злоумышленник ему симпатичен), власть (люди склонны выполнять просьбы, поступающие от представителей власти), социальное доказательство (склонность выполнять просьбу, если другие делают то же самое).
Третий этап – «разводка». Суть его заключается в выполнении основной части атаки. Это может быть раскрытие информации, переход по ссылке, перечисление денежных средств и т.д.
Четвертый этап – выход. Завершение взаимодействия. Во многих атаках, относящихся к категории «животноводство», злоумышленнику выгодно выходить из игры так, чтобы не вызывать подозрений. Однако это не всегда необходимо. Например, когда злоумышленнику удается убедить объект атаки раскрыть данные платежной карты, он, как правило, не хочет вызывать подозрений, чтобы объект атаки не заблокировал карту, объявив ее потерянной или украденной. Но если злоумышленнику удалось украсть исходный код или личную информацию, то объект атаки не сможет восстановить украденные данные даже в том случае, если у него возникли подозрения.



Попытки применения методов социотехники не всегда линейны: та или иная отдельная атака может быть частью более крупной кампании по сбору взаимосвязанных данных. Например, злоумышленники могут провести одну атаку, получить необходимую информацию и исчезнуть. Или же они могут провести ряд атак, относящихся к категории «охота», а затем, используя собранную информацию, инициировать атаку, относящуюся к категории «животноводство».
Каналы атаки
Для проведения атак злоумышленники могут использовать разные каналы. Нередко для социотехнических атак используются вредоносные веб-сайты. Согласно отчету компании Verizon о расследовании утечек данных за 2014 г. (2014 Verizon Data Breach Investigations Report), в 20% атак, проводимых с целью шпионажа, для доставки вредоносного ПО используются механизмы стратегического взлома веб-сайтов.
Самыми распространенными видами социотехнических атак с использованием электронной почты являются фишинг вообще и целенаправленный фишинг в частности. Рассылка электронных почтовых сообщений – эффективный метод проведения атаки, поскольку, согласно отчету Verizon, по ссылкам в фишинговых электронных сообщениях переходит 18% пользователей.
Телефон в качестве канала связи пользуется популярностью у информационных посредников. Бывает, что злоумышленники встречаются с сотрудником компании лично, тогда они могут принудительно или обманным путем заставить его предоставить информацию. Почтовая служба не столь популярна, как другие каналы связи, но тоже присутствует в общей статистике по атакам. Также злоумышленники используют факс – примером такой атаки может быть поддельное сообщение от системы электронных платежей.
Защита от социотехнических атак
Эксперты компании McAfee Радж Самани и Чарльз Макфарланд выделяют средства, которые можно использовать для уменьшения опасности социотехнических атак. Условно они разделены на три категории: люди, процессы и технологии.
Людям эксперты советуют устанавливать четкие границы. Все сотрудники должны быть ознакомлены с принятыми в организации правилами раскрытия информации и иерархическим порядком обработки запросов, выходящих за пределы их полномочий. Также должна быть разработана и внедрена программа повышения осведомленности сотрудников в вопросах безопасности, предполагающая постоянное обучение сотрудников. Для привлечения внимания сотрудников McAfee разработал специальный тест на умение распознавать фишинг.
Сотрудники не должны бояться сомневаться даже в самых безобидных на вид запросах. Например, сотрудник должен не бояться расспросить человека, пытающегося вслед за ним пройти в служебное помещение. Даже самая незначительная на вид информация, такая как номера телефонов (информация, дающая новые возможности), может быть использована для проведения атаки, поэтому полезно объяснять важность любых сведений.
Важно также не заниматься поиском виновных. Объекты социотехнических атак являются жертвами. Наказывая отдельных сотрудников, ставших жертвами обмана, работодатель создает атмосферу, в которой сотрудники не будут готовы признаваться в разглашении информации. Будучи один раз обманутыми, они могут попасть под контроль злоумышленника, который затем может начать их шантажировать.
С точки зрения процессов рекомендуется при обнаружении подозрительных действий составлять отчеты с указанием всех подробностей. Это помогает расследовать инциденты. Также при переходе на вредоносную веб-страницу у сотрудника должна отобразиться блокирующая страница с информацией о причинах блокировки.
Компаниям также рекомендуется оповещать клиентов. Когда организация отказывает звонящим в предоставлении информации, она должна сообщить им об этом и проверить, имеет ли звонящий право на получение запрашиваемой информации. Кроме того, организациям следует установить порядок обмена информацией с клиентами. Например, PayPal предоставляет пользователям следующую инструкцию по проверке подлинности получаемых электронных сообщений: «в своих электронных письмах мы никогда не запрашиваем информацию следующего типа: номера банковских карт, номера банковских счетов, номера водительских удостоверений, адреса электронной почты, пароли, ваше полное имя».
Для персонала, непосредственно работающего с клиентами, должен быть разработан простой порядок передачи потенциально мошеннических сообщений на рассмотрение в вышестоящие инстанции. Кроме того, стоит регулярно проводить проверки на уязвимость сотрудников к социотехническим атакам.
Избежать утечек информации также помогут простые технологические решения. Необходимо регулярно записывать входящие телефонные звонки – это помогает расследовать инциденты. Подозрительные звонки должны перенаправляться на контролируемый номер. Электронные сообщения, содержащие известные и неизвестные вредоносные программы, стоит сразу удалять. В компании должна быть настроена фильтрация веб-трафика и заблокирован доступ к вредоносным сайтам. Кроме того, нужна строгая проверка подлинности. Не устраняя полностью риск того, что в результате социотехнической атаки пользователи могут раскрыть злоумышленникам свои учетные данные, многофакторная проверка подлинности, однако, значительно усложняет злоумышленникам задачу получения учетных данных.
Опасность социотехнических атак очень серьезна. С их помощью киберпреступники незаконно получают доступ к информации, используемой в различных вредоносных целях. Для эффективной борьбы с этой проблемой необходимо понимать природу социотехнических атак. Это значит, что необходимо уметь выявлять наиболее вероятные действующие лица, используемые ими методы проведения атак и имеющиеся у них ресурсы, а затем принимать соответствующие меры по снижению уровня риска, связанного с такими атаками.