Колонки

Социальная инженерия: как не попасться на удочку мошенников?

Колонки
Екатерина Рудая
Екатерина Рудая

Эксперт Лаборатории практического анализа защищенности компа...

Софья Федосеева

В природе известно два наиболее сильных мотиватора для любых человеческих действий — это страх и любопытство. Каждый из них может побудить на нелогичные и глупые поступки, которые далеко не всегда оборачиваются чем-то хорошим.

Екатерина Рудая, эксперт лаборатории практического анализа защищенности компании «Инфосистемы Джет», рассказывает, как человеческие эмоции играют на стороне хакеров и становятся залогом успешных атак.

Социальная инженерия: как не попасться на удочку мошенников?

Последние несколько лет я провожу эксперименты по «взлому» людей — подвергаю их атакам методами социальной инженерии и проверяю, насколько они устойчивы к манипуляциям настоящих злоумышленников. 

Эти атаки основаны на особенностях человеческой психологии: играя на чувствах жертвы, мошенники под различными предлогами заставляют ее действовать в своих интересах.

Способов обмана в арсенале злоумышленников довольно много. Для обычных людей это могут быть звонки якобы из банка с рекомендацией заблокировать карту, просьбы сообщить код подтверждения операции из смс-сообщения или незнакомцы, ломящиеся прямо в квартиру под видом государственных служб.

Чтобы вы не ошиблись при выборе, Rusbase рекомендует своим читателям надежных юристов и адвокатов.
Фото: Unsplash

Нередко злоумышленники звонят клиентам банков от лица кредитной организации и предлагают перейти на новые, более выгодные условия по вкладу.

Они убеждают жертву, что вовсе не обязательно посещать офис кредитной организации – достаточно назвать номер карты и CVV-код. Иногда мошенники даже настаивают на проведении операции, мотивируя это ограниченным сроком действия предложения.

По нашему опыту, все то, что можно назвать мошенничеством или аферой, чаще всего идет рука об руку с методами социальной инженерии.

Угроза компании

Как только человек становится работником компании, звонки с угрозами блокировки карты превращаются в сообщения от «партнеров», просьбы назвать код трансформируются в письма с фишинговыми ссылками, а «государственные службы» мутируют в «мотивированных и заинтересованных соискателей». Основной целью в таких случаях является не отдельный человек, а целая компания.

Фото: Unsplash

В нашей практике немало подобных примеров, когда сотрудники открывали письма с вредоносными вложениями, полученные под видом предложения к сотрудничеству. То есть работники сами открывали злоумышленникам доступ к своему компьютеру, и, как следствие, ко всем файлам и перепискам, сети предприятия.

По нашим оценкам, все больше злоумышленников атакуют именно граждан, так как это и быстрее, и эффективнее. В то же время крайне мало компаний сообщают о взломах своей инфраструктуры с помощью социальной инженерии.

Такие атаки не сразу обнаруживаются, долго устраняются и почти никогда не освещаются в СМИ, ведь информация о подобных происшествиях может принести финансовые и репутационные убытки. Так что о реальном положении дел можно только догадываться.

Тем не менее мошенникам куда интереснее и прибыльнее атаковать целую компанию, а не отдельно взятого человека.

«Взломав» одного работника, злоумышленник может получить доступ ко всей внутренней инфраструктуре и информации организации: списку партнеров и клиентов, финансовой отчетности, личным данным сотрудников, планам на следующий год, сведениям о собственных разработках и так далее.

Чтобы чем-то зацепить работника компании, создаются целые схемы и отдельные векторы:

  • просматриваются все доступные социальные сети на предмет потенциально ценной информации,
  • изучаются профили на профессиональных порталах.

Вся полученная информация в дальнейшем используется для выбора оптимальной «цели» или легенды, которая будет подходить под конкретную организацию.

Фото: Unsplash

Многие злоумышленники ходят протоптанной тропинкой и пытаются запугать своих жертв. Чаще всего в ход идут угрозы увольнения или штрафов, сообщения с пометками «нужно было еще вчера» или «очень важно», иногда на почту приходят требования проверить какой-то сервис. Но поколения сменяют друг друга, и использование страха как мотиватора все реже оправдывается.

Совсем иначе ситуация обстоит с любопытством. Мне этот мотиватор видится наиболее выигрышным, так как дает больший простор для творческой реализации. Именно его мы использовали в подавляющей части успешных проектов как толчок к некоему действию. Самые запоминающиеся случаи представлены ниже.

«Халява, приди»

На этот вектор атаки нас вдохновило студенческое нескончаемое желание получать все даром.

В одной компании, помимо основной деятельности, активно занимались мерчандайзингом – продавали те самые вещи, деньги на которые вроде тратить не хочется, но было бы приятно, если бы они просто стояли на столе. За 20 минут мы с коллегой зарегистрировали домен, создали сайт с элементами корпоративного стиля, сделали простую форму регистрации, собрали email-адреса и поработали над легендой.

На следующий день работники компании получили письма следующего содержания:

«Коллеги, в связи со скорым выходом новой коллекции наших товаров имеющиеся остатки будут розданы работникам компании. Не более трех вещей в одни руки. Для контроля раздачи на сайте добавлена форма регистрации. Спешите, количество ограничено».

Атака прошла более чем успешно. Только число работников, которые написали нам обратное письмо о том, что сайт не работает, можно исчислять десятками, не говоря уже о тех, кто доверил свои учетные данные фишинговому сайту.

«За букет роз»

К этой атаке мы долго готовились морально. В назначенный день мой коллега под видом курьера должен был доставить очень красивый букет цветов, коробку конфет и... флешку (с вредоносным ПО) сотруднице одной компании, отвечавшей за финансовые вопросы.

Фото: Unsplash

Мы нашли ее профиль в социальных сетях и узнали номер телефона. Затем позвонили под видом популярного косметического магазина, которым она явно пользовалась, судя по постам в соцсетях. Сообщили, что ее ждет подарок за частые заказы, лояльность и посты в социальных сетях, уточнили удобное время для доставки, специально выбрав рабочее время.

Мой коллега под видом курьера доставил девушке флешку, цветы и конфеты. А через 15 минут мы получили доступ к ее рабочему компьютеру и всей внутренней сети компании.

Надо ли говорить, что нами были скомпрометированы финансовые документы, учетные данные для доступа к различным финансовым порталам и получен доступ в 1С.

«Новый год»

Накануне Нового года я подготовила праздничные постеры, на которых были изображены свинки (символ наступающего года), надпись «2019», логотип компании Z и предложение принять участие в розыгрыше.

Последнее подразумевало переход по фишинговой ссылке, где далее нужно было зарегистрироваться под своей учетной записью. С этими постерами размера А3 и двусторонним скотчем я отправилась на собеседование в указанную компанию.

Фото: Unsplash

Собеседование прошло очень плохо: мне постоянно звонили, отвлекали, приходилось выходить из кабинета, я случайно перепутала этаж, кабинет, лифт, дверь в женский туалет, а после встречи меня никто не проводил до выхода. Всего этого времени мне хватило, чтобы развесить 14 постеров в коридорах, лифтах и на дверях компании.

Уже через час у меня был доступ к почтам ИТ-специалистов, бухгалтеров, рекрутеров.

В основном в почте обсуждалась нерабочая ссылка из новогоднего постера. Например, так выглядело сообщение одного из ИТ-специалистов: «Я перешел по ссылке, ввел пароль – ничего не происходит».

Там же в почте был найден VPN во внутреннюю сеть, пароли от всех Wi-Fi-точек, планы компании на следующий год, учетные данные для доступа к панели управления корпоративным сайтом. Еще через 15 минут на главной странице внутреннего корпоративного портала компании Z красовался мой постер со свинками и предложение поучаствовать в розыгрыше.

Заключение

И напоследок мне бы хотелось поделиться несколькими лайфхаками, которые помогут читателям противостоять манипуляциям мошенников.

Чек-лист: пять лайфхаков для защиты от атак методами социальной инженерии

  1. Не стесняйтесь спрашивать у коллег, какие нововведения внедряются в вашей компании и новые конкурсы проводятся. Если вы видите сообщение о конкурсе, розыгрыше, появлении нового ресурса или сервиса, не поленитесь узнать у ответственного за это событие, соответствует ли эта информация действительности.
  2. Если вы не уверены в достоверности ресурса, на который вас просят зайти, введите неверный логин и пароль. Чаще всего фишинговые страницы перенаправляют жертву на достоверный сайт после ввода данных.
  3. Постарайтесь забыть о флешках на рабочем месте. Если же вам пришлось воспользоваться таким устройством, обязательно проверьте его с помощью антивируса.
  4. Если вам приходит письмо с каким-либо требованием от незнакомого коллеги, поищите его в адресной книге. Сверьте адрес электронной почты из адресной книги с адресом из письма.
  5. Старайтесь относиться скептически к письмам от ИТ- или ИБ-служб, требующих срочно проверить какой-либо сервис. Очень маловероятно, что о действительно срочной проверке вас будут уведомлять по почте.

Материалы по теме:

Как можно остановить телефонных мошенников

Как хакеры воруют популярные аккаунты в Instagram

Как выбрать SEO-компанию для продвижения сайта и не столкнуться с мошенниками?

Как мы создали антифрод-систему для защиты бизнеса и его клиентов от мошенников в интернете

Как защитить деньги от киберпреступников: несколько простых способов

Фото на обложке: Unsplash

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Актуальные материалы —
в Telegram-канале @Rusbase

ПРОГРАММЫ И КУРСЫ

13 ноября 2019 — 29 января 2020

Performance-маркетинг для бизнеса

16 ноября 2019

Website Optimization