Атаки социальной инженерии: как от них защититься и как дать отпор

Опубликовано: 3 Апреля, 2023
Атаки социальной инженерии: как от них защититься и как дать отпор

Лучший способ защититься от преступного ума — попытаться проникнуть внутрь него. Конечно, это не без опасностей, потому что вы не хотите в конечном итоге стать преступником! Социальная инженерия — это особенно мощный способ изменения человеческого поведения, и многие из самых серьезных нарушений ИТ-безопасности, которые произошли в крупных организациях, были результатом действий одного лживого и манипулятивного человека. Чтобы помочь нам понять некоторые способы, которыми киберпреступники могут попытаться взломать ваш разум, чтобы заставить вас делать то, что вы не должны делать с помощью атак социальной инженерии, я попросил Сергея Нестеренко поделиться с нами некоторыми своими мыслями. Сергей — консультант по кибербезопасности и пентестер с большим опытом работы в сфере информационной безопасности. Он консультировал международные бизнес-компании, военных, неправительственные организации, политиков, членов парламента, правоохранительных органов и других высокопоставленных лиц по вопросам безопасности. Его обширные знания в области информационных технологий и психологии человека позволяют ему разрабатывать эффективные технологии для предотвращения и преодоления даже самых коварных кибератак. Сергей также является автором видеокурса Cybersecurity Attacks (Red Team Activity), выпущенного издательством Packt Publishing в феврале. Он также известен своими публикациями и лекциями по вопросам кибербезопасности, борьбы с мошенничеством и кибершпионажем. В настоящее время Сергей работает техническим писателем и писателем по кибербезопасности в Comodo. Вы можете найти больше информации о нем и атаках социальной инженерии на его веб-сайте, в его профиле LinkedIn и на Facebook.

Коды для взлома людей: как остановить атаки социальной инженерии

Изображение 10174
Что является самым слабым звеном в цепи кибербезопасности? Сетевой периметр? Нисколько. Собственно, его можно назвать самым сильным. Существует множество инструментов для защиты сети, и они постоянно модифицируются. Усовершенствованные брандмауэры, IDS/IPS, SIEMS и SOC обеспечивают защиту сетей.

Может быть, самым слабым звеном является веб-приложение? Опять неправильно. Да, он более уязвим, чем сетевой периметр, но есть много способов и инструментов для его защиты. При правильной настройке веб-приложение становится практически неприступной крепостью для большинства видов атак.

Каждый день поставщики кибербезопасности создают все больше и больше инструментов безопасности для технической защиты. Но есть территория, которую они не могут защитить: человеческий мозг. У людей есть много уязвимостей, которые киберпреступники охотно используют, используя методы социальной инженерии. Сегодня очень немногие атаки редко происходят без уловок социальной инженерии.

Почему социальная инженерия становится цифровой

Социальная инженерия — это набор психологических приемов злонамеренных хакеров, позволяющих манипулировать поведением своих целей. Это множество манипулятивных и обманных уловок, направленных на то, чтобы повлиять на жертву, чтобы она бессознательно помогала злоумышленникам завладеть ее собственными цифровыми активами. Как это возможно?

Чтобы лучше это понять, давайте рассмотрим человеческий мозг как мощный биокомпьютер, а поведенческие паттерны — как программу. Подобно настоящему компьютеру, мозг имеет множество программ, встроенных в него с рождения или установленных во время взросления. Эти программы представляют собой эмоциональные и поведенческие реакции на внешние события. Точно так же, как вы запускаете компьютерную программу, нажимая на ярлык, социальный инженер запускает программу человеческого мозга со специально подобранными кодами человеческого общения — словами, фразами, жестами, эмоциями, изображениями и т. д. Используя эти приемы, социальный инженер может заставить жертву выдать секретную информацию, запустить вредоносный файл — вообще почти все что угодно.

Изначально социальная инженерия была связана с прямыми контактами между людьми. Он использовался в основном для физического проникновения на объекты или манипулирования сотрудниками по телефону. Но в наши дни ситуация изменилась. Прямой контакт стал опасен не в последнюю очередь из-за тотального видеонаблюдения и записи телефонных разговоров, которые впоследствии могут быть использованы в качестве неопровержимых доказательств в суде. Вот почему мы можем наблюдать новую тенденцию в социальной инженерии: она стала цифровой.

Теперь преступники используют методы социальной инженерии дистанционно, по электронной почте или в социальных сетях. Причины изменений очевидны. Такого рода атаки социальной инженерии значительно снижают шансы на поимку хакера. Эти методы могут быть использованы в любом типе атаки для распространения вредоносного ПО любого типа. Круг потенциальных целей (и, соответственно, шансы на успешную атаку) увеличивается фантастически. Кроме того, все, что нужно сделать киберпреступникам, — это создать социальную инженерию, добавить вредоносный файл или ссылку и отправить сообщение как можно большему количеству пользователей.

Основным методом здесь является электронная почта. Оно должно быть достаточно убедительным, чтобы заманить жертву и заставить запустить вредоносный файл или перейти по отравленной ссылке. Давайте посмотрим, какие манипулятивные приемы используют для этого преступники.

Существует некий загадочный парадокс. Многие люди уверены, что они достаточно умны или образованны и не клюнутся на удочку. И именно эти люди часто становятся жертвами таких атак социальной инженерии. Почему? Потому что секрет не в интеллекте или образовании. Все дело в эмоциональном состоянии.

Взлом человеческого разума: хитрости и причины

Правда в том, что критическое мышление и эмоциональное возбуждение не могут существовать одновременно. Вы не можете принять разумное решение, когда вас переполняют гнев или страх. И вы не можете испытывать непреодолимую радость или страх, когда занимаетесь какой-то интеллектуальной работой. Это означает, что даже самые интеллектуально одаренные люди не могут критически мыслить, когда испытывают эмоциональное возбуждение. Итак, что нужно сделать киберпреступнику, так это разжечь эмоциональный огонь в целевом человеке. Чем сильнее эмоция, тем больше шансов, что жертва нажмет на вредоносный файл.

Киберпреступники достигают этой цели, играя на чувствительных струнах человеческой психики. Наиболее популярными из этих строк являются страх, доверие, любопытство, жадность и секс. Каждый из них вызывает сильное эмоциональное возбуждение и отключает критическое мышление. Используя эти компоненты, злоумышленники готовят свои отравленные электронные письма. Итак, каковы типичные признаки таких отравленных писем?

Доверять

Если вы получите информацию от человека или организации, которых хорошо знаете и полностью доверяете, будете ли вы тщательно проверять эту информацию? Скорее всего, не. Киберпреступники используют эту особенность человеческого поведения, имитируя солидную, хорошо известную сущность с хорошей репутацией отправителя вредоносного сообщения. DHL, FedEx, различные банки часто используются хакерами для маскировки своих сообщений.

Страх

Большинство людей привыкли подчиняться правительству и другим властям, потому что они знают: за неповиновением часто следует наказание. Чтобы использовать этот поведенческий стереотип, преступники выбирают в качестве отправителя название авторитетной организации, такой как IRS, федеральный суд, министерство юстиции и т. д.

Тело таких сообщений может информировать получателя о каком-то «долге» перед IRS, имитировать судебную повестку или штраф. Он может имитировать сообщение от Google или любой другой организации, где у вас есть учетная запись и вас просят «подтвердить ваши данные» на веб-сайте по ссылке в письме. Разумеется, сайт является поддельной копией настоящего и создан специально для кражи вашего логина и пароля.

Жадность

Изображение 1694
Шаттерсток

Еще одна популярная тема этих фишинговых писем — деньги. Человек всегда испытывает эмоциональное возбуждение, когда речь идет о деньгах. Вот почему много фишинговых писем приходит от «банков» и других финансовых учреждений. Здесь жадность - король.

В этом случае сообщения киберпреступников обычно сообщают вам о получении денежного перевода или «фантастическом» деловом предложении. Это также может быть «деловое письмо от ваших коллег». Или счет-фактура. Или вам говорят, что вы выиграли в лотерею. Все, что связано с деньгами, обычно хорошо работает для злоумышленников.

Секс

Следующая приманка — темы сексуального характера. В этом случае электронное письмо обычно имитирует сообщение от друга или сексуального партнера.

Обычно он пытается соблазнить жертву открыть какие-нибудь пикантные картинки, которые находятся в прикрепленном файле или доступны по ссылке в сообщении. Это можно описать как несколько обнаженных фотографий знаменитости, сексуального партнера или даже «ваших собственных сексуальных фотографий». В последнем случае для усиления эмоционального возбуждения добавляются любопытство и страх, и эта взрывоопасная смесь обычно очень эффективна. В частности, эта приманка печально известна тем, что распространяет вредоносное ПО под видом «Ваше видео» среди пользователей социальных сетей для заражения их аккаунтов.

Все эти сообщения могут сильно различаться по эффективности в зависимости от того, насколько опытны преступники. На самом низком уровне электронная почта злоумышленника может представлять собой несколько безграмотных штрихов на ломаном английском языке с десятком ошибок в каждом слове. Но на верхнем уровне вы можете встретить сообщение, которое отличается от настоящего только фальшивой ссылкой в нем, а все остальное, включая логотип компании, будет неотличимо от оригинала. Однако паттерны психологической манипуляции остаются прежними.

Дефицит

Многие из этих сообщений сопровождаются игрой на строке дефицита. Он может прийти в самых разных формах. Например, «вы должны заплатить завтра, иначе штраф вырастет», «ссылка действительна всего два часа», «сразу нужен ответ» и так далее.

Причина привлечения дефицита та же: поднять эмоциональный уровень и заставить жертв действовать не задумываясь.

Брандмауэр для человеческого мозга

Как видите, у нас сейчас парадоксальная ситуация в сфере кибербезопасности. Методы атак социальной инженерии день ото дня становятся все более изощренными, и все больше и больше сотрудников становятся их жертвами. Но большинство компаний продолжают ужесточать только технические элементы.

Сети защищены. Веб-приложения защищены. Но умы сотрудников — нет. Можем ли мы предотвратить атаки такого рода? Можем ли мы установить ментальные брандмауэры в человеческом сознании?

Да мы можем. Как? По специальной подготовке, направленной на три цели:

Повышать осведомленность

Для профессионалов в области кибербезопасности это может показаться странным, но на самом деле множество людей по всему миру до сих пор не осознают тот факт, что вся корпоративная сеть может быть заражена одним щелчком мыши по зараженному электронному письму. Многие люди даже не догадываются, что любой адрес электронной почты можно подделать за секунду. Конечно, эти люди являются легкой и привлекательной мишенью для киберпреступников и легкой добычей для атак социальной инженерии.

Создать компетенцию

Сотрудник должен знать, что такое фишинговое письмо и как оно выглядит (можно использовать описание и типичные признаки, о которых я упоминал выше). Также они должны знать хотя бы простейшие приемы проверки электронной почты на подлинность.

Развивать навыки

Знания бесполезны, пока они не станут навыком. Таким образом, обучение предотвращению атак социальной инженерии должно сопровождаться тестовыми проверками, когда отдел безопасности периодически имитирует фишинговые атаки на электронные письма сотрудников. Работники, не прошедшие тестирование, должны пройти переподготовку.

Итак, первый шаг в предотвращении атак социальной инженерии — это осознание того, что защиты только на техническом уровне сегодня недостаточно. В настоящее время кибератаки разворачиваются не только в киберпространстве, но и в сфере человеческого разума. Соответственно, любая хорошая система защиты должна охватывать не только технические средства, но и человеческий разум.

Специальное предложение для читателей TechGenix

Вы можете посмотреть курс Сергея Cybersecurity Attacks (Red Team Activity) [видео] на Packt. Используйте код ORTGA09 при оформлении заказа, чтобы получить рекомендуемую розничную цену видео всего за 9 долларов США (действует до 15 июля 2018 г.).

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023