Что именно означает социальная инженерия и почему она считается такой быстро растущей угрозой ведущими экспертами в области кибербезопасности?
Если вы являетесь системным администратором, то вы должны рассматривать безопасность как совокупность задач по установке инструментов безопасности, их настройке для защиты от новейших угроз, установке исправлений для серверов и конечных пользователей, а также пересоздания образов системы при заражении вирусом. Это непростая задача, но ее параметры, по крайней мере, простые.
Если вы выполняете все эти задачи, вы все равно выполняете лишь половину работы. Некоторые из наиболее эффективных кибератак, с которыми вы можете когда-нибудь столкнуться, не нацелены на аппаратное или программное обеспечение – они нацелены на людей. Атаки социальной инженерии часто включают в себя не более, чем телефон или учетную запись электронной почты.
Атаки социальной инженерии выглядят таким образом: сначала злоумышленник звонит или отправляет e-mail в техническую поддержку и выдает себя за свою цель. Он говорит, что он забыл свой пароль и рассказывает правдоподобную историю, связанную с этим. Он использует это для того, чтобы убедить службу поддержки изменить зарегистрированный электронный адрес своей цели на адрес, принадлежащий злоумышленнику, чтобы получить ссылку для смены пароля на этот адрес. Таким образом злоумышленник может завладеть целевой учетной записью.
Как вы подвергаетесь атакам социальной инженерии?
Атаки социальной инженерии работают надежно и не требуют специальных навыков программирования. Технология, известная как VoIP spoofing, позволяет злоумышленнику сделать так, чтобы его вызов выглядел как исходящий номер с телефона получателя – эта технология широко доступна и также не требует специальных навыков. Поэтому неудивительно, что распространенность этих атак высока и увеличивается. В 2017 году 76% специалистов по информационной безопасности выявили атаки социальной инженерии по телефону или электронной почте, причем электронная почта была основным вектором. В 2018 году эта цифра выросла до 83%.
Такой рост в социальной инженерии и фишинговых атак электронной почты привел к соответственному росту громких инцидентов, с жертвами, включая:
- Blackrock
Крупнейший в мире управляющий активами стал жертвой атаки активистов-экологов, которые обманули The Financial Times и CNBC. Активисты разослали убедительный фальшивый пресс-релиз, в котором говорилось, что компания имела отношение к портфелю защитников окружающей среды, вызвав большое недовольство. - Криптовалюта
Пользователи цифровых кошельков для криптовалюты, известной как Ethereum, получали фишинговые атаки, замаскированные под фальшивые сообщения об ошибках. Была использована форма электронного письма, в котором пользователям предлагалось установить исправление. Вместо этого прилагаемая ссылка фактически вела к небезопасной версии программного обеспечения кошелька, которая позволяла злоумышленникам получить цифровые доходы пользователей. - Спецслужбы
Еще в 2015 году хакеру-подростку удалось позвонить в Verizon, найти личную информацию, принадлежащую Джону Бреннану – тогдашнему директору ЦРУ, – и украсть доступ к его адресу электронной почты AOL. Этот адрес, как оказалось, содержал конфиденциальную информацию, в том числе детали для допуска. Хакер даже смог немного поговорить с Бреннаном по телефону. Прошло более двух лет, прежде чем злоумышленник был найден и арестован.
Такие случаи показывают, как легко нанести ущерб, используя самые простые инструменты, которые только можно себе представить. Хакеры могут украсть деньги, обмануть средства массовой информации и выведать секреты самых влиятельных людей на Земле, используя всего лишь телефон и адрес электронной почты.
Защита от атак социальной инженерии
Есть два способа защитить себя от атак социальной инженерии.
В первую очередь, существует технологическое решение известное как DMARC (Domain-based Message Authentication, Reporting & Conformance) которое разработано для обнаружения и помещения в карантин поддельных электронных писем, а именно тех, чей адрес, видимый для получателя, фактически не является адресом откуда письмо было отправлено. Хотя эта технология защищает потребителей бренда, гарантируя, что их электронные письма не могут быть использованы для причинения вреда, тем не менее процент использования этой технологии – до 50% во всех отраслях.
В дополнение к технологиям, существует также политика – в данном случае, обучение аспектам безопасности. Здесь администраторы, отвечающие за безопасность, обучают своих работников, проверяя их на примерах поддельных электронных писем. Цель состоит в том, чтобы сотрудники могли отличить поддельное электронное письмо от подлинного. Уровень эффективности тренингов по обучению аспектам безопасности намного выше среднего – количество открытых фишинговых писем после тренинга по информированию о безопасности снижается на 75%, но злоумышленникам всего лишь нужно обмануть только одного человека, чтобы совершить взлом.
И в завершение: снижение вреда и быстрое реагирование на инциденты принесут наибольшую пользу против фишинговых и социальных атак. Несмотря на то, что решительный злоумышленник имеет очень хорошие шансы обмануть сотрудников поддельными электронными письмами или поддельными телефонными звонками, хорошие администраторы по-прежнему смогут обнаруживать захваты учетных записей, когда это происходит. И хотя злоумышленникам может и легко украсть учетные записи пользователей, но все еще есть возможность ограничить степень ущерба, который они могут причинить.