Социальная инженерия — это набор психологических приемов, с помощью которых злоумышленник убеждает человека добровольно выполнить нужные ему действия. Вместо того чтобы искать сложные технические уязвимости, атакующий воздействует на самое слабое звено любой системы — человека.
У каждого пользователя есть доступ к корпоративным ресурсам, определенные права и возможность выполнять различные операции. Именно поэтому сотрудник становится первой линией защиты. Если злоумышленнику удается обойти ее, безопасность всей организации оказывается под угрозой. В этом разделе вы познакомитесь с основными методами социальной инженерии, узнаете, как строятся подобные атаки и почему даже современные средства защиты не всегда способны их предотвратить.
Каким бы надежным ни было оборудование и сколь бы тщательно специалисты по информационной безопасности ни настраивали защиту, полностью исключить человеческий фактор невозможно. Именно человек чаще всего становится тем самым уязвимым элементом, через который злоумышленник получает доступ к системе.
Социальная инженерия не требует глубоких технических знаний, поэтому круг потенциальных нарушителей значительно шире, чем может показаться. Конечно, наибольшую опасность представляют специалисты по информационной безопасности, системные администраторы и другие сотрудники ИТ‑подразделений, поскольку они обладают расширенными правами доступа. Но не меньшую угрозу могут создавать и обычные сотрудники компании.
Особое внимание стоит уделять недовольным или разочарованным работникам. Причинами могут быть конфликт с руководством, неудовлетворенность зарплатой, карьерой или увольнение. Подобные сотрудники иногда становятся источником внутренних угроз. Исследования показывают, что часть работников после увольнения сохраняет корпоративные документы, копирует рабочие материалы или продолжает использовать личную почту для передачи служебной информации. Конфиденциальные данные чаще всего выносятся на бумажных носителях, внешних жестких дисках или USB‑накопителях.
Информационные брокеры
Даже если компания не подвергается атаке прямо сейчас, это вовсе не означает, что о ней никто не собирает информацию. Существуют организации, специализирующиеся исключительно на поиске и продаже различных сведений о людях и компаниях. Среди известных примеров можно назвать LexisNexis, MasterFiles и другие подобные сервисы. Сами по себе такие компании не являются злоумышленниками, однако собранные ими данные могут использоваться самыми разными людьми. Именно поэтому злоумышленники нередко начинают подготовку атаки с изучения открытых источников информации.
Охотники за головами (рекрутеры)
Отдельного внимания заслуживают специалисты по подбору персонала. Рекрутинговые агентства хорошо знают структуру компаний, их подразделения, требования к сотрудникам и особенности внутренних процессов. На первый взгляд эта информация кажется безобидной, однако в руках злоумышленника она может стать ценным источником сведений.
Например, атакующий способен создать профессиональный профиль в LinkedIn, полностью соответствующий требованиям открытой вакансии. Во время общения с рекрутером или прохождения собеседования он может незаметно получить дополнительную информацию о внутреннем устройстве организации, технологиях, корпоративной культуре и даже отдельных сотрудниках.
Фазы социальной инженерии
Чтобы успешно провести атаку на человека, злоумышленник обычно проходит несколько последовательных этапов:
1.Собрать максимум информации о цели;
2.Установить доверительные отношения;
3.Получить необходимые сведения;
4.Добиться выполнения нужного действия.
Сбор информации
Подготовка начинается задолго до непосредственного контакта с жертвой. Источником сведений могут стать корпоративный сайт, социальные сети, публикации сотрудников, форумы, открытые документы и даже обычный мусор.
На первый взгляд это может показаться странным, однако выброшенные бумаги иногда содержат огромное количество полезной информации. Старые счета, банковские выписки, рецепты врачей, фотографии, резюме и другие документы позволяют узнать адрес человека, номер телефона, финансовое положение, состояние здоровья и множество других деталей.
Иногда злоумышленник неделями пытается подобрать способ проникновения в систему, а затем случайно обнаруживает в корзине листок с записанными логином и паролем. Именно поэтому правильное уничтожение документов остается важной частью информационной безопасности.
Установление доверия
Создание доверительных отношений далеко не всегда требует длительного общения. Иногда достаточно одного телефонного разговора. Хороший пример связан с атакой на компанию AOL. Злоумышленник более часа общался с сотрудником технической поддержки, постепенно располагая его к себе. Во время разговора он упомянул, что продает автомобиль. Сотрудник заинтересовался и попросил отправить фотографии. Вместо фотографий злоумышленник прислал вредоносный файл. После его открытия получил доступ к внутренней сети компании.
Получение информации
После того как доверие установлено, начинается сбор необходимых сведений. Однажды злоумышленник позвонил по общедоступному номеру организации и представился новым сотрудником. Сначала он попросил соединить его с технической поддержкой, а затем сообщил, что недавно устроился на работу и ему нужны контакты руководителя ИТ‑отдела для согласования подключения к локальной сети.
Получив нужные данные, он сделал следующий звонок. Теперь злоумышленник сообщил сотруднику технической поддержки, что ему срочно необходимо провести презентацию, но учетную запись еще не успели создать. Он также добавил, что уже получил устное разрешение руководителя ИТ‑службы на создание временного аккаунта. Желая помочь новому коллеге, сотрудник службы поддержки выполнил просьбу. В результате злоумышленник получил доступ к внутренней сети без использования каких‑либо технических методов взлома.
Манипулирование людьми
Социальная инженерия строится прежде всего на психологии. Поэтому злоумышленники активно используют различные способы влияния на человека.
Ограничение по времени
Если создать ощущение срочности, вероятность того, что человек начнет тщательно проверять информацию, значительно снижается.
Для этого используются фразы вроде:
·«Это займет всего несколько секунд»;
·«Очень срочно»;
·«Нужно сделать прямо сейчас».
При личном общении подобный эффект могут усиливать постоянные взгляды на часы или демонстрация спешки.
Поддержка самооценки
Людям нравится чувствовать себя компетентными. Поэтому злоумышленник может намеренно показать собственную неосведомленность и попросить помощи. Когда человеку дают возможность почувствовать себя экспертом, он становится более открытым и охотнее делится информацией.
Не менее эффективно работают комплименты:
·«Только вы хорошо разбираетесь в этом вопросе».
·«Без вашей помощи я точно не справлюсь».
Правильные вопросы
Закрытые вопросы позволяют получить совсем немного информации.
Гораздо полезнее вопросы, начинающиеся словами:
·«Как?»
·«Почему?»
·«Когда?»
Такие вопросы заставляют собеседника рассказывать больше деталей, зачастую даже тех, которые его никто напрямую не просил сообщать.
Чувство долга
Еще один распространенный прием — апелляция к служебным обязанностям. Например, злоумышленник может сказать, что сотрудник обязан помочь, поскольку этого требуют должностные инструкции или распоряжение руководства.
Угрозы
Хотя многие атаки строятся на дружелюбном общении, иногда применяется и давление. Если человек испытывает страх наказания, увольнения или других неприятных последствий, вероятность выполнения требований значительно возрастает.
Вознаграждение
Не всегда человека нужно запугивать.
Иногда достаточно предложить небольшую награду. Во время одного эксперимента прохожим дарили недорогие сувениры в обмен на просьбу написать пароль на листке бумаги. Удивительно, но около 90% участников согласились выполнить эту просьбу.
Типы атак социальной инженерии
Социальная инженерия включает множество способов получения доступа к информации или ресурсам организации. Несмотря на разнообразие методов, их объединяет одно — злоумышленник использует доверчивость, невнимательность или желание человека помочь.
Получение конфиденциальной информации
Один из самых распространенных сценариев — выманивание необходимых данных во время разговора. Например, злоумышленник нашел в мусоре банковскую квитанцию и позвонил владельцу карты, представившись сотрудником банка. Он сообщил, что срок действия банковской карты якобы подходит к концу и предложил оформить новую.
Жертва ответила, что карта еще действительна, и сама назвала настоящий срок ее окончания. После этого мошенник сослался на ошибку в базе данных и попросил уточнить номер карты. Не подозревая подвоха, человек добровольно сообщил все необходимые сведения.
Подобные атаки строятся не на технических знаниях, а на умении вести разговор и вызывать доверие.
Подделка принадлежности к организации
Очень эффективным методом остается выдача себя за сотрудника известной компании.
Сегодня совсем несложно приобрести фирменную одежду службы доставки, коммунальной организации или технической поддержки. Например, куртку DHL можно свободно купить через интернет. Человек в такой форме редко вызывает подозрения. Охрана, сотрудники и посетители автоматически начинают воспринимать его как своего.
Находясь внутри офиса, злоумышленник может спокойно искать незаблокированные рабочие станции, оставленные без присмотра ноутбуки, документы или другие ценные объекты.
Фишинг (Phishing)
Фишинг — это одна из самых известных разновидностей социальной инженерии.
Его цель — заставить пользователя самостоятельно раскрыть конфиденциальные данные. Для этого создаются поддельные электронные письма, сайты или формы авторизации, внешне практически не отличимые от настоящих. Типичный пример — письмо, в котором сообщается, что учетная запись пользователя заблокирована. Для восстановления доступа предлагается перейти по указанной ссылке.
Подобные сообщения могут приходить якобы от:
‑банков;
‑почтовых сервисов;
‑интернет‑магазинов;
‑социальных сетей;
‑игровых платформ;
‑государственных организаций.
Зачастую мошенники используют специальные приемы, позволяющие скрыть настоящий адрес отправителя. Большинство пользователей не анализируют технические детали письма и видят только знакомое название компании, чем и пользуются злоумышленники. Иногда вместо ссылки в письмо добавляют вложение, содержащее вредоносное программное обеспечение.
«Письма счастья»
Еще одна классическая разновидность мошенничества — так называемые «письма счастья».
В них отправитель сообщает, что неожиданно получил огромное наследство или выиграл крупную сумму денег, но для оформления выплаты ему нужен доверенный представитель.
Пользователю обещают значительное вознаграждение — иногда несколько миллионов долларов — если он согласится помочь. Для этого необходимо лишь отправить личные данные, реквизиты счета или копии документов. Хотя вероятность того, что кто‑то поверит такому сообщению, невелика, массовая рассылка делает подобные схемы достаточно прибыльными.
Поддельные сайты
Даже опытный пользователь не всегда способен отличить настоящий сайт от качественной подделки. Современные мошенники легко регистрируют похожие доменные имена, которые отличаются всего одной буквой или используют символы, визуально практически неотличимые друг от друга.
Например, доменное имя известного банка может выглядеть абсолютно привычно, хотя одна из букв будет заменена похожим символом другого алфавита. Дополнительную убедительность придает наличие SSL‑сертификата. Многие пользователи считают, что значок замка в браузере гарантирует безопасность сайта. На самом деле сертификат лишь подтверждает защищенное соединение, но вовсе не говорит о том, что сайт принадлежит настоящей организации.
После создания такой копии злоумышленники рассылают письма с просьбой ознакомиться с новыми правилами обслуживания или подтвердить данные учетной записи. Пользователь переходит по ссылке и самостоятельно вводит логин, пароль или банковские реквизиты.
Телефонный фишинг
Телефонный фишинг основан на использовании автоматических телефонных систем.
Во многих банках клиенту предлагают пройти идентификацию еще до соединения с оператором. Обычно для этого необходимо ввести номер клиента, PIN‑код или другие данные.
Злоумышленник создает собственную автоматическую телефонную систему, которая записывает все введенные пользователем значения. Затем потенциальным жертвам отправляются сообщения с просьбой срочно связаться с банком по указанному номеру.
Пользователь звонит, вводит необходимые данные, после чего соединение неожиданно обрывается. Хотя человек может повторить попытку несколько раз, злоумышленник уже успевает сохранить всю введенную информацию.
Приманка (Baiting)
Любопытство часто оказывается сильнее осторожности.
Именно на этом основана атака с использованием приманки.
Известен случай, когда злоумышленник оставил яркую флешку на парковке крупного предприятия. Один из сотрудников нашел ее перед началом рабочего дня и решил посмотреть содержимое прямо на своем рабочем компьютере.
На накопителе находилось вредоносное программное обеспечение.
После подключения вирус быстро распространился по внутренней сети организации и нарушил работу предприятия. Этот пример показывает, насколько опасным может оказаться обычный найденный USB‑накопитель.
Подглядывание (Shoulder Surfing)
Иногда для получения пароля не требуется использовать сложные программы. Достаточно просто увидеть, как пользователь вводит его. Такой метод получил название Shoulder Surfing («подглядывание через плечо»).
Пароль можно подсмотреть:
‑стоя рядом с человеком;
‑через окно с использованием оптики;
‑при помощи камер видеонаблюдения;
‑наблюдая за экраном устройства в общественном месте.
Поэтому при вводе конфиденциальной информации всегда стоит следить за окружающей обстановкой.
Проход «паровозиком» (Tailgating)
Этот метод применяется для проникновения на охраняемые объекты. Представьте организацию, где вход осуществляется по электронным пропускам через турникет. Злоумышленник подходит к сотруднику и говорит, что забыл или потерял свою карту, а сейчас очень спешит на важное совещание. Во многих случаях человек, желая помочь, придерживает дверь или проходит через турникет вместе с незнакомцем. В результате посторонний получает доступ в защищенную зону без каких‑либо пропусков.
Именно поэтому правила физической безопасности требуют, чтобы каждый сотрудник проходил систему контроля доступа только по своему пропуску, независимо от обстоятельств.
После успешного проникновения в систему злоумышленнику нередко требуется загрузить дополнительные файлы. Это могут быть самые разные инструменты: вредоносные программы, снифферы, кейлоггеры, средства удаленного управления или другие компоненты, необходимые для дальнейшего развития атаки.
На практике выполнить такую задачу не всегда просто. Одним из главных препятствий становится антивирусное программное обеспечение, которое сегодня используется практически во всех организациях. Большинство современных антивирусов работают по принципу сравнения цифровых сигнатур файлов со своей базой данных. Если обнаруживается совпадение с известной угрозой, файл автоматически блокируется или удаляется.
Ситуация становится еще серьезнее, если защита управляется централизованно. В этом случае при обнаружении подозрительного файла администратор информационной безопасности практически мгновенно получает уведомление о возможном инциденте. Поэтому злоумышленники обычно используют один из двух подходов. Первый — применять уникальное вредоносное программное обеспечение, которое отсутствует в антивирусных базах. Второй — использовать легальные системные утилиты и встроенные средства операционной системы, не вызывающие подозрений у защитного ПО.
Передача файлов
После получения доступа к командной строке атакованной системы злоумышленник практически сразу сталкивается с новой задачей — нехваткой необходимых инструментов для дальнейшей работы. В UNIX‑подобных операционных системах эта проблема возникает значительно реже. Как правило, там уже присутствуют такие утилиты, как wget, curl и netcat, позволяющие скачивать файлы и взаимодействовать с сетью. В среде Windows ситуация обычно сложнее. Необходимых инструментов может просто не оказаться, поэтому приходится искать альтернативные способы передачи данных и загрузки нужных компонентов.
Уровни сбора информации (PETS)
Методология PETS выделяет три уровня подготовки к атаке.
Первый уровень — это самый простой этап.
На нем используются автоматизированные средства сбора информации и наиболее популярные интернет‑ресурсы. Основная задача — быстро получить общее представление о цели без глубокого анализа.
Второй уровень. На этом этапе автоматического поиска уже недостаточно.
Большая часть времени уходит на ручной анализ найденной информации. Изучаются публикации, документы, инфраструктура компании, сотрудники и особенности ее деятельности.
Такой подход позволяет гораздо лучше понять устройство организации и выявить потенциально слабые места.
Третий уровень — это наиболее трудоемкий и продолжительный этап.
Главная задача — определить наиболее уязвимые элементы системы и подготовиться к дальнейшим действиям. Здесь анализ проводится максимально подробно, поскольку именно от качества собранной информации во многом зависит успех последующих этапов.
Подготовка к сбору информации
Прежде чем приступать к поиску данных, необходимо определить цель исследования.
Если задача сформулирована четко, работа значительно упрощается. Однако на практике цели нередко бывают расплывчатыми. В этом случае важно заранее определить, какую именно информацию необходимо получить.
Если анализ проводится по заказу сторонней организации, следует сразу обозначить границы допустимых действий и понимать, какие методы использовать запрещено.
Не менее важно заранее оценить объем предстоящей работы и время, необходимое для ее выполнения.
К окончанию этапа желательно иметь структурированный набор информации, полученной из различных источников.
Какие сведения необходимо собрать
В идеале, собранная информация должна включать несколько основных категорий:
1.Публичная информация — официальные сведения, размещенные самой организацией.
2.Данные из открытых источников (OSINT) — любая информация, доступная в интернете или других общедоступных ресурсах.
3.Специфическая информация — сведения об особенностях деятельности компании, используемом оборудовании и программном обеспечении.
4.Сетевая информация — IP‑адреса, DNS‑записи, сведения о доменах, сетевых сервисах и инфраструктуре.
5.Потенциальные уязвимости — слабые места, которые могут быть использованы на следующих этапах тестирования.
6.Результаты социальной инженерии — информация, полученная непосредственно от сотрудников организации.
Анализ уязвимостей
После завершения этапа сбора информации начинается непосредственное взаимодействие с исследуемой системой. Основная цель этого этапа — обнаружить и классифицировать возможные уязвимости. Ими могут быть ошибки конфигурации, недостатки программного обеспечения или другие слабые места инфраструктуры.
Очень важно заранее определить:
‑какие проверки будут проводиться;
‑какие инструменты планируется использовать;
‑какие результаты необходимо получить.
Без четкого плана легко увлечься исследованием отдельных компонентов системы и потратить много времени без заметного результата.
Обычно на этом этапе выполняются:
‑сканирование портов;
‑определение используемых сервисов;
‑сбор сведений об установленном программном обеспечении;
‑поиск известных уязвимостей;
‑анализ конфигурации системы.
Несмотря на желание как можно скорее проверить найденные недостатки на практике, спешить не стоит. Пока основная задача заключается в сборе информации, а не в эксплуатации обнаруженных уязвимостей.
Моделирование
Следующий этап — создание тестовой среды.
Она позволяет безопасно проверить выбранные методы атаки до их применения в реальной инфраструктуре.
Особенно это важно при использовании методов социальной инженерии. Предварительная отработка сценариев помогает избежать ошибок, повысить эффективность действий и снизить вероятность того, что злоумышленник или специалист по тестированию будет замечен.
Во время моделирования обычно выполняются четыре основных шага:
‑изучение необходимой документации;
‑определение основных и резервных методов атаки;
‑выявление главных и второстепенных уязвимостей;
‑выбор наиболее подходящего способа эксплуатации каждой обнаруженной слабости.
По сути, моделирование является более глубоким продолжением этапа сбора информации.
Полученные сведения желательно представить в наглядной форме: построить карту сети, схему бизнес‑процессов, структуру подразделений и взаимосвязи между сотрудниками. Такой подход значительно облегчает дальнейшее планирование.
Эксплуатация уязвимостей
Когда вся необходимая информация собрана, инструменты подготовлены, а цели определены, можно переходить к следующему этапу. Теперь обнаруженные уязвимости используются для получения доступа к системе.
Если найдено несколько потенциальных целей, важно выбрать ту, компрометация которой принесет наибольший эффект. Например, взлом сервера обычно открывает значительно больше возможностей, чем компрометация отдельной рабочей станции.
После выбора цели начинается непосредственная эксплуатация уязвимости.
Не всегда первая попытка оказывается успешной. Иногда приходится проверять различные подходы и комбинировать несколько методов, прежде чем удается получить необходимый доступ.
Наиболее распространенными способами компрометации являются:
‑подбор или взлом паролей;
‑перехват передаваемых данных;
‑перехват пользовательских сессий;
‑атаки, связанные с переполнением буфера.
Важно помнить, что многие современные атаки сочетают технические методы с элементами социальной инженерии, используя одновременно как программные уязвимости, так и человеческий фактор.
Обучение и постоянное развитие
Информационная безопасность — это не задача, которую можно выполнить один раз и забыть. Это постоянный процесс, требующий внимания, обновления знаний и регулярного совершенствования защиты.
Мир ИТ развивается очень быстро. Новые технологии, уязвимости и методы атак появляются практически ежедневно. Поэтому специалисту по информационной безопасности важно постоянно следить за изменениями и своевременно адаптироваться к ним. Это не означает, что нужно каждую неделю читать огромные книги по кибербезопасности. Гораздо эффективнее регулярно получать актуальную информацию из надежных источников.
Хорошей практикой станет подписка на рассылки специализированных ресурсов, посвященных информационной безопасности. Например, SecurityLab, Dark Reading, Security Week и другие подобные площадки регулярно публикуют новости об обнаруженных уязвимостях, новых методах атак и современных средствах защиты.
Не менее важно следить за сообщениями производителей программного обеспечения, которое используется в вашей организации. Именно они первыми публикуют информацию о критических уязвимостях, обновлениях безопасности и необходимых исправлениях. Такие уведомления требуют особого внимания, поскольку позволяют вовремя устранить проблему еще до того, как ей воспользуются злоумышленники.
Регулярное обучение должно касаться не только специалистов по ИБ, но и всех сотрудников компании. Даже самая современная система защиты окажется малоэффективной, если пользователи не знают элементарных правил безопасной работы. Именно поэтому обучение персонала должно стать частью общей политики информационной безопасности.
Особое место занимают практические тренировки. Теоретических знаний недостаточно — сотрудники должны понимать, как действовать в реальных ситуациях. Например, полезно регулярно проводить учебные проверки, моделировать попытки фишинговых атак, отрабатывать действия при обнаружении подозрительных писем или других признаков компрометации.
Подобные тренировки помогают не только проверить уровень подготовки персонала, но и выявить слабые места в существующей системе защиты. После каждого такого мероприятия желательно проводить разбор результатов, обсуждать допущенные ошибки и объяснять, как избежать их в будущем.
Не стоит забывать и о развитии самих специалистов по информационной безопасности. Посещение профильных конференций, участие в вебинарах, изучение новых технологий, получение профессиональных сертификатов и обмен опытом с коллегами позволяют поддерживать высокий уровень компетентности и быть готовыми к современным угрозам.
Информационная безопасность никогда не стоит на месте. Поэтому организация, которая регулярно обучает сотрудников, совершенствует свои процессы и следит за актуальными угрозами, всегда оказывается значительно лучше подготовлена к возможным инцидентам, чем компания, где вопросам обучения уделяют внимание лишь время от времени.
Постоянное совершенствование системы безопасности
Одних технических средств недостаточно, чтобы обеспечить надежную защиту организации. Даже самое современное оборудование и программное обеспечение со временем устаревают, а методы злоумышленников постоянно совершенствуются. Поэтому систему информационной безопасности необходимо регулярно пересматривать, обновлять и адаптировать к новым условиям.
Любые изменения в инфраструктуре компании — внедрение новых сервисов, обновление программного обеспечения, расширение сети или появление новых сотрудников — могут повлиять на уровень защищенности. Именно поэтому важно периодически проводить аудит безопасности, анализировать существующие риски и проверять, насколько эффективно работают действующие меры защиты.
Не менее важно своевременно устанавливать обновления операционных систем, приложений и средств защиты. Многие успешные атаки становятся возможными лишь потому, что организации продолжают использовать устаревшее программное обеспечение с уже известными уязвимостями. Производители регулярно выпускают исправления, и их своевременная установка значительно снижает вероятность компрометации системы.
Стоит помнить, что безопасность — это ответственность не только специалистов по информационной безопасности. Каждый сотрудник компании влияет на общий уровень защиты. Именно поэтому важно формировать культуру безопасного поведения, при которой соблюдение правил становится привычкой, а не обязанностью.
Регулярный анализ произошедших инцидентов также играет важную роль. Если в организации произошел случай утечки данных, заражения вредоносным ПО или успешной фишинговой атаки, необходимо не просто устранить последствия, но и разобраться в причинах произошедшего. Такой анализ помогает понять, какие меры оказались недостаточными и что следует изменить, чтобы подобная ситуация не повторилась.
Эффективная система информационной безопасности строится на нескольких взаимосвязанных элементах: грамотной документации, современных технических средствах защиты, постоянном обучении персонала, регулярном контроле и своевременном обновлении всех компонентов инфраструктуры. Только комплексный подход позволяет обеспечить устойчивость организации перед современными киберугрозами.
Главный вывод прост: информационная безопасность — это непрерывный процесс. Она требует постоянного внимания, регулярного совершенствования и участия каждого сотрудника. Чем раньше организация начинает развивать культуру безопасности и поддерживать высокий уровень подготовки персонала, тем выше ее шансы успешно противостоять как техническим, так и социальным методам атак.
ссылка на оригинал статьи https://habr.com/ru/articles/1054020/