В интервью с руководителем сектора по безопасности приложений и инфраструктуры НПЦ «Кейсистемс – Безопасность» Анной Абрамовой поговорили об искусстве убеждения и обмана – социальной инженерии. Читайте далее и вы узнаете, какие виды атак чаще всего используют злоумышленники и как защитить себя от них.
− Добрый день, Анна! Социальная инженерия остаётся главной угрозой для частных лиц и одним из основных векторов атаки на организации. Скажи, пожалуйста, что же такое социальная инженерия?
− Социальная инженерия – это метод атаки, целью которого является заставить человека что-то сделать для злоумышленника. Например, перейти по ссылке, передать конфиденциальную информацию или перевести деньги на чужой счёт. Методы манипулирования могут быть разные, но главная их суть – использовать человеческие чувства и качества: доверие, страх, панику, желание получить выгоду, сострадание, невнимательность или, наоборот, ответственность и т. д.
Пожалуй, социальная инженерия является одним из старейших методов атаки на человека. С древних времён манипулирование ради собственной выгоды использовалось в различных сферах деятельности, а то, что мы видим сейчас в среде информационных технологий, – это закономерное развитие этой атаки в современном цифровом мире.
− По-вашему, насколько сильно распространена социальная инженерия?
− Очень. Человечество и его деятельность в современном мире завязаны на информационных технологиях. Это не только работа, но и государственные услуги, промышленность, общение и хобби, финансы, транспорт… Сложно представить себе сферу жизни, в которой нет участия ИТ. Само собой, злоумышленник не мог обойти вниманием такой лакомый кусочек.
Многие годы социальная инженерия занимает лидирующие позиции по количеству совершаемых атак. Если обратиться к статистике Kaspersky за прошлый год, «45,60% писем по всему миру и 46,59% писем в Рунете были спамом». Согласно аналитике Positive Technologies, «в 2023 году почти половина (43%) всех успешных атак на организации были проведены с использованием социальной инженерии». Это не удивительно. Можно очень хорошо защитить себя техническими средствами защиты, но какой от этого толк, когда сотрудник, например, введёт свои пароли не в то окно «смены пароля от windows» или, работая из дома, скачает и запустит «квартальный_отчет.exe» и предоставит злоумышленнику доступ к информационным ресурсам.
− Какие опасности представляет социальная инженерия?
− Я бы сказала, что опасность социальной инженерии равна доступам и знаниям человека, на которого она может подействовать. Представьте, что будет в вашей организации, если поведётся коммерческий директор, ИБ-специалист, системный администратор или ведущий инженер. И даже немного больше, так как их можно убедить повлиять на коллег, семью или друзей.
Не стоит также забывать про психологические опасности для жертвы. Человек может получить сильный стресс от влияния на него и испытывать серьёзное чувство вины после осознания последствий.
− Давайте поговорим о методах социальной инженерии. Какие виды атак чаще всего используются злоумышленниками?
− Методов очень много. Расскажу о наиболее популярных:
1. Фишинг. Само название отлично отражает суть атаки – поймать жертву «на крючок», например: заставить перейти по ссылке, запустить вредоносный файл, ввести пароли или данные банковской карточки на поддельном сайте, перевести деньги на «безопасный» счёт и т. д. Для атаки активно используются почтовые рассылки, сообщения в мессенджерах и телефонные звонки, в которых злоумышленник пытается притвориться кем-то доверенным или, наоборот, запугать.
2. Претекстинг. Злоумышленник в рамках штатного общения (например, притворившись коллегой, аудитором или якобы проводя опрос населения) пытается втереться в доверие и ненавязчиво выведать конфиденциальную информацию. Жертва может даже не заметить, что у неё спросили что-то не то или попросили предоставить доступ к какой-то системе, так как уже доверилась злоумышленнику или посчитала, что делает всё правильно.
3. Услуга за услугу. Здесь упор уже на получение какой-то выгоды взамен. У данной атаки может быть как социальный вектор: обмен конфиденциальной информации или доступов за деньги или услуги, которые по итогу, скорее всего, никто не предоставит, и злоумышленник исчезнет, получив желаемое; так и технический: вредоносный файл, который в обмен на запуск предлагает, например, майнить жертве крипту или удалить все вирусы на компьютере.
4. Приманка («дорожное яблоко»). Самый «физический» из перечисленных способов. Злоумышленник подкидывает носители информации (например, флешки), а жертва, нашедшая носитель, вставляет его в свой компьютер (из любопытства, желания найти хозяина или чтобы присвоить его себе), после чего может запускаться вредоносный сценарий и, например, открываться удалённый доступ.
Стоит упомянуть ещё и тот момент, что специфика атак не стоит на месте и развивается вместе с технологиями. Например, сейчас набирают повсеместную популярность QR-коды, поэтому появился квишинг. Это тоже фишинг, но уже с использованием вредоносного контента, спрятанного внутри QR-кодов. Также для организации социальной инженерии стал использоваться искусственный интеллект. Например, ChatGPT для организации более качественных фишинговых рассылок.
− Скажи, пожалуйста, какие меры можно принять для защиты от атак социальной инженерии? Возможно обезопасить себя от них?
− Самой важной мерой защиты от социальной инженерии является обучение: повышение осведомлённости о методах атак, о том, как их распознать, о способах реагирования и действиях, если всё-таки потеряли бдительность и повелись. Раз точкой воздействия является человек, то он и будет являться первым эшелоном защиты и зачастую наиболее действенным.
Но и средства защиты тут играют большую роль. Например, в борьбе с почтовым фишингом принесут пользу спам-фильтры, антивирус остановит действие вредоносных файлов и сайтов, DLP проконтролирует потоки конфиденциальной информации, правильное разграничение прав не позволит получить избыточный доступ, межсетевой экран ограничит удалённый доступ, а мониторинг заметит подозрительную активность.
Разумеется, нельзя надеяться только на один метод защиты. Необходимо как проводить обучение сотрудников, так и внедрять средства защиты.
− Благодарю за интервью, Анна! До новых встреч!
Беседовала Людмила Егорова