В природе известно два наиболее сильных мотиватора для любых человеческих действий — это страх и любопытство. Каждый из них может побудить на нелогичные и глупые поступки, которые далеко не всегда оборачиваются чем-то хорошим.
Екатерина Рудая, эксперт лаборатории практического анализа защищенности компании «Инфосистемы Джет», рассказывает, как человеческие эмоции играют на стороне хакеров и становятся залогом успешных атак.
Последние несколько лет я провожу эксперименты по «взлому» людей — подвергаю их атакам методами социальной инженерии и проверяю, насколько они устойчивы к манипуляциям настоящих злоумышленников.
Эти атаки основаны на особенностях человеческой психологии: играя на чувствах жертвы, мошенники под различными предлогами заставляют ее действовать в своих интересах.
Способов обмана в арсенале злоумышленников довольно много. Для обычных людей это могут быть звонки якобы из банка с рекомендацией заблокировать карту, просьбы сообщить код подтверждения операции из смс-сообщения или незнакомцы, ломящиеся прямо в квартиру под видом государственных служб.
Нередко злоумышленники звонят клиентам банков от лица кредитной организации и предлагают перейти на новые, более выгодные условия по вкладу.
Они убеждают жертву, что вовсе не обязательно посещать офис кредитной организации – достаточно назвать номер карты и CVV-код. Иногда мошенники даже настаивают на проведении операции, мотивируя это ограниченным сроком действия предложения.
По нашему опыту, все то, что можно назвать мошенничеством или аферой, чаще всего идет рука об руку с методами социальной инженерии.Угроза компании
Как только человек становится работником компании, звонки с угрозами блокировки карты превращаются в сообщения от «партнеров», просьбы назвать код трансформируются в письма с фишинговыми ссылками, а «государственные службы» мутируют в «мотивированных и заинтересованных соискателей». Основной целью в таких случаях является не отдельный человек, а целая компания.
В нашей практике немало подобных примеров, когда сотрудники открывали письма с вредоносными вложениями, полученные под видом предложения к сотрудничеству. То есть работники сами открывали злоумышленникам доступ к своему компьютеру, и, как следствие, ко всем файлам и перепискам, сети предприятия.
По нашим оценкам, все больше злоумышленников атакуют именно граждан, так как это и быстрее, и эффективнее. В то же время крайне мало компаний сообщают о взломах своей инфраструктуры с помощью социальной инженерии.
Такие атаки не сразу обнаруживаются, долго устраняются и почти никогда не освещаются в СМИ, ведь информация о подобных происшествиях может принести финансовые и репутационные убытки. Так что о реальном положении дел можно только догадываться.
Тем не менее мошенникам куда интереснее и прибыльнее атаковать целую компанию, а не отдельно взятого человека.
«Взломав» одного работника, злоумышленник может получить доступ ко всей внутренней инфраструктуре и информации организации: списку партнеров и клиентов, финансовой отчетности, личным данным сотрудников, планам на следующий год, сведениям о собственных разработках и так далее.
Чтобы чем-то зацепить работника компании, создаются целые схемы и отдельные векторы:
- просматриваются все доступные социальные сети на предмет потенциально ценной информации,
- изучаются профили на профессиональных порталах.
Вся полученная информация в дальнейшем используется для выбора оптимальной «цели» или легенды, которая будет подходить под конкретную организацию.
Многие злоумышленники ходят протоптанной тропинкой и пытаются запугать своих жертв. Чаще всего в ход идут угрозы увольнения или штрафов, сообщения с пометками «нужно было еще вчера» или «очень важно», иногда на почту приходят требования проверить какой-то сервис. Но поколения сменяют друг друга, и использование страха как мотиватора все реже оправдывается.
Совсем иначе ситуация обстоит с любопытством. Мне этот мотиватор видится наиболее выигрышным, так как дает больший простор для творческой реализации. Именно его мы использовали в подавляющей части успешных проектов как толчок к некоему действию. Самые запоминающиеся случаи представлены ниже.
«Халява, приди»
На этот вектор атаки нас вдохновило студенческое нескончаемое желание получать все даром.
В одной компании, помимо основной деятельности, активно занимались мерчандайзингом – продавали те самые вещи, деньги на которые вроде тратить не хочется, но было бы приятно, если бы они просто стояли на столе. За 20 минут мы с коллегой зарегистрировали домен, создали сайт с элементами корпоративного стиля, сделали простую форму регистрации, собрали email-адреса и поработали над легендой.
На следующий день работники компании получили письма следующего содержания:
«Коллеги, в связи со скорым выходом новой коллекции наших товаров имеющиеся остатки будут розданы работникам компании. Не более трех вещей в одни руки. Для контроля раздачи на сайте добавлена форма регистрации. Спешите, количество ограничено».
Атака прошла более чем успешно. Только число работников, которые написали нам обратное письмо о том, что сайт не работает, можно исчислять десятками, не говоря уже о тех, кто доверил свои учетные данные фишинговому сайту.
«За букет роз»
К этой атаке мы долго готовились морально. В назначенный день мой коллега под видом курьера должен был доставить очень красивый букет цветов, коробку конфет и... флешку (с вредоносным ПО) сотруднице одной компании, отвечавшей за финансовые вопросы.
Мы нашли ее профиль в социальных сетях и узнали номер телефона. Затем позвонили под видом популярного косметического магазина, которым она явно пользовалась, судя по постам в соцсетях. Сообщили, что ее ждет подарок за частые заказы, лояльность и посты в социальных сетях, уточнили удобное время для доставки, специально выбрав рабочее время.
Мой коллега под видом курьера доставил девушке флешку, цветы и конфеты. А через 15 минут мы получили доступ к ее рабочему компьютеру и всей внутренней сети компании.
Надо ли говорить, что нами были скомпрометированы финансовые документы, учетные данные для доступа к различным финансовым порталам и получен доступ в 1С.
«Новый год»
Накануне Нового года я подготовила праздничные постеры, на которых были изображены свинки (символ наступающего года), надпись «2019», логотип компании Z и предложение принять участие в розыгрыше.
Последнее подразумевало переход по фишинговой ссылке, где далее нужно было зарегистрироваться под своей учетной записью. С этими постерами размера А3 и двусторонним скотчем я отправилась на собеседование в указанную компанию.
Собеседование прошло очень плохо: мне постоянно звонили, отвлекали, приходилось выходить из кабинета, я случайно перепутала этаж, кабинет, лифт, дверь в женский туалет, а после встречи меня никто не проводил до выхода. Всего этого времени мне хватило, чтобы развесить 14 постеров в коридорах, лифтах и на дверях компании.
Уже через час у меня был доступ к почтам ИТ-специалистов, бухгалтеров, рекрутеров.
В основном в почте обсуждалась нерабочая ссылка из новогоднего постера. Например, так выглядело сообщение одного из ИТ-специалистов: «Я перешел по ссылке, ввел пароль – ничего не происходит».
Там же в почте был найден VPN во внутреннюю сеть, пароли от всех Wi-Fi-точек, планы компании на следующий год, учетные данные для доступа к панели управления корпоративным сайтом. Еще через 15 минут на главной странице внутреннего корпоративного портала компании Z красовался мой постер со свинками и предложение поучаствовать в розыгрыше.
Заключение
И напоследок мне бы хотелось поделиться несколькими лайфхаками, которые помогут читателям противостоять манипуляциям мошенников.
Чек-лист: пять лайфхаков для защиты от атак методами социальной инженерии
- Не стесняйтесь спрашивать у коллег, какие нововведения внедряются в вашей компании и новые конкурсы проводятся. Если вы видите сообщение о конкурсе, розыгрыше, появлении нового ресурса или сервиса, не поленитесь узнать у ответственного за это событие, соответствует ли эта информация действительности.
- Если вы не уверены в достоверности ресурса, на который вас просят зайти, введите неверный логин и пароль. Чаще всего фишинговые страницы перенаправляют жертву на достоверный сайт после ввода данных.
- Постарайтесь забыть о флешках на рабочем месте. Если же вам пришлось воспользоваться таким устройством, обязательно проверьте его с помощью антивируса.
- Если вам приходит письмо с каким-либо требованием от незнакомого коллеги, поищите его в адресной книге. Сверьте адрес электронной почты из адресной книги с адресом из письма.
- Старайтесь относиться скептически к письмам от ИТ- или ИБ-служб, требующих срочно проверить какой-либо сервис. Очень маловероятно, что о действительно срочной проверке вас будут уведомлять по почте.
Материалы по теме:
Как можно остановить телефонных мошенников
Как хакеры воруют популярные аккаунты в Instagram
Как выбрать SEO-компанию для продвижения сайта и не столкнуться с мошенниками?
Как мы создали антифрод-систему для защиты бизнеса и его клиентов от мошенников в интернете
Как защитить деньги от киберпреступников: несколько простых способов
Фото на обложке: Unsplash
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025