Соціальна інженерія з точки зору бізнесу - персонал як вразлива ланка

Поняття соціальної інженерії має у собі досить широке значення. Найчастіше його основний принцип полягає у використанні психологічних методів з метою впливу на людей. Такий спосіб використовується, щоб змусити несвідомих громадян вчинити певні дії з метою отримання певної вигоди. Іноді така "вигода" передбачає отримання конфіденційної інформації або іншого роду злочинні дії.

Соціальна інженерія, як спосіб шахрайства, потрібна зловмисникам, щоб отримати довіру у потенційної жертви. Найчастіше маніпуляція з боку кіберзлочинця базується на впливі на природні людські емоції: страх, вдячність та бажання допомогти. Прикладами цього можуть служити дзвінки з банку, коли зловмисники видають себе за працівників тієї чи іншої мережі банків вашого міста, фальшиві покупки в онлайн-магазинах або заклики до внесення внесків від імені нібито благодійних фондів.

Схожі схеми, зловмисники більш "вузької спеціалізації" можуть застосовувати і проти працівників різних підприємств з метою отримання цінної інформації, важливої документації або паролів, комп'ютерних систем, доступу до системи охорони та сигналізації, відомостей про майбутні контракти тощо. Всього цього можна уникнути. Але спершу потрібно зрозуміти процес і "механіку" впливу.

Захист корпоративних даних, мереж і робочих пристроїв від постійно змінюваних зовнішніх і внутрішніх загроз подібний до стрільби по рухомій мішені. Соціальна інженерія робить це завдання майже нездійсненним, оскільки її методи по суті є непомітним "зломом" людської свідомості та здатні проникати глибоко в структуру компанії.

Частина 1: Соціальна інженерія як спосіб атаки на підприємство

Зловмисники обходять системні вразливості, цілячись замість цього у самих працівників підприємства, які ненавмисно можуть відкрити доступ до офісів, корпоративних систем або мереж. Методи соціальної інженерії, які застосовують зловмисники, завжди індивідуально адаптовані та ретельно сплановані, на відміну від застосування стандартних фішингових розсилок. Операції з використанням методів соціальної інженерії вимагають значної підготовки, але і ймовірність успіху зламу системи захисту, у разі вмілого використання таких методів, значно вища.

Процес незаконного проникнення в компанію починається зі збору інформації про підприємство, його спеціалізації та діяльності, а також про його загальну структуру та працівників. Атаки можуть бути спрямовані на цілі відділи або на окремих працівників, навіть з обмеженим доступом до даних. Навіть через таких представників компанії можна досягти вищих рівнів безпеки та зламати їх. Основна мета злочинців — не слабке місце в системі, а вразлива людина, на чиєму страху, жадібності чи цікавості можна вміло зіграти, щоб змусити такого громадянина порушити протоколи безпеки компанії, в якій він працює.

Для цього зловмисники ретельно аналізують онлайн і офлайн джерела, визначаючи потенційних жертв. З бурхливим розвитком інтернету та соціальних мереж, як LinkedIn, Twitter, Instagram і Facebook, стало легше отримати необхідну інформацію. Наприклад, через LinkedIn можна дізнатися, хто і як довго працює в певному відділі, а на Facebook — вивчити поведінку цих людей і виявити найбільш довірливих. Потім достатньо отримати їхні контактні дані.

Після цього зловмисники таємно прагнуть завоювати довіру жертви або викликати у неї почуття терміновості якоїсь невідкладної справи та страху, щоб вона не встигла ретельно обдумати ситуацію та погодилася на пропозицію кіберзлодіїв. Як тільки це стається — злочинці вже однією ногою всередині компанії. Хоча, поки що, лише фігурально.

Найчастіше використовувані методи соціальної інженерії включають:

Претекстинг — це метод психологічної маніпуляції, заснований на заздалегідь розробленому сценарії. У процесі телефонної розмови або іншого виду спілкування жертва ненавмисно передає зловмиснику конфіденційну інформацію або виконує дії, спрямовані на досягнення мети злочинця. Соціальні інженери часто видають себе за працівників банків, служб підтримки та інших установ, яким люди схильні довіряти, і для переконливості можуть повідомити жертві реальні дані про неї, такі як ім'я або номер банківського рахунку.

«Плечовий серфінг»  — це метод, коли зловмисник підглядає за жертвою, коли та вводить логіни і паролі, наприклад, у кафе, парках або в залах очікування аеропортів та вокзалів, щоб отримати доступ до її облікових даних.

«Кві про кво», або «послуга за послугу» — це техніка, при якій зловмисник, представляючись, наприклад, працівником техпідтримки, пропонує допомогу в усуненні несправностей і натомість просить жертву виконати певні дії, які ведуть до передачі йому засобів доступу до надважливої інформації.

Частина 2: Найчастіші сценарії атак з використанням "Соціальної інженерії"

Сценарій 1.

Зловмисники використовують підроблені адреси відправників, щоб переконати людей в тому, що лист прийшов від вищого керівництва (наприклад, генерального директора), колеги або бізнес-партнера. У листі може міститися шкідливе ПЗ, активоване кліком по вкладенню або посиланню. Іноді листи містять прохання про термінову передачу конфіденційної інформації. Наприклад, якщо ви отримуєте лист від директора або колеги з проханням оцінити прикріплений документ, вашою першою реакцією може бути бажання завантажити файл. Або якщо ваш постійний постачальник повідомляє, що у нього виникли проблеми з авторизацією і йому потрібна ваша допомога для доступу до системи, природно виникає бажання допомогти. Чому б і ні, якщо у постачальника дійсно є доступ і від вашої допомоги залежить термінова доставка.

Сценарій 2.

Співробітникам можуть зателефонувати зловмисники і представитися відділом "технічної підтримки". У таких випадках, наприклад, зловмисник довірливо і по черзі звертається до групи співробітників компанії, стверджуючи, що хоче отримати інформацію про запит, раніше відправлений в службу підтримки.

У даному випадку може спрацювати розрахунок злочинців на те, що хтось дійсно відправляв такий запит або просто побажає допомогти виходячи з простої люб'язності. Як тільки знайдеться достатньо довірливий співробітник, зловмисники можуть отримати його дані для доступу до системи безпеки компанії або дистанційно спробувати встановити шкідливе ПЗ на офісні ПК.

Сценарій 3.

Зловмисники також можуть симулювати дзвінок нібито з ІТ-відділу, повідомляючи про порушення політики безпеки або витік даних. Вони просять свою жертву надати особисті дані для, наприклад, "відновлення пароля", а може бути встановити певний файл або перейти за посиланням для перевірки своїх даних на предмет викриття паролів. Все це може призвести до встановлення шкідливого ПЗ і витоку цінної інформації.

Сценарій 4.

Кіберзлочинці можуть використовувати різні USB-накопичувачі, позначені оманливими написами типу "зарплата" або "оцінка вартості". У потрібний злочинцям час, такі USB-накопичувачі опиняються розкидані в найбільш прохідних місцях корпоративних приміщень — на парковках, на підлозі в ліфтах, на офісній кухні та інших зонах загального доступу. Знахідка, яка може здатися щасливим випадком, часто стає серйозною загрозою для кібербезпеки компанії. Співробітник, піддавшись цікавості, може підключити такий флеш-накопичувач до свого робочого або домашнього комп'ютера, чим ненавмисно відкриє двері для шкідливого програмного забезпечення, вміло прихованого всередині. Кожен такий випадок ставить під загрозу не тільки особисті дані співробітника, але і цілісність корпоративної інформаційної системи.

Частина 3: Заходи обережності та методи протидії

Як ми можемо бачити, соціальна інженерія надає кіберзлочинцям настільки витончені методи, що атаки з використанням такої методики важко виявити та зупинити. Як вже зазначалося, звичайні системи виявлення зломів можуть бути не ефективними у таких випадках. Однак уже сьогодні існують розроблені фахівцями практики, які можуть допомогти серйозно знизити ризик атаки з використанням методів соціальної інженерії.

Ось кілька інструментів профілактики захисту:

Компаніям слід регулярно навчати співробітників, інформуючи їх про поширені методи соціальної інженерії. Ефективним заходом може стати моделювання ситуацій з розділенням персоналу на рольові команди «хакерів» та «захисників». По можливості, у цей процес мають бути залучені й співробітники компаній-партнерів.

Також було б дуже гарно впровадити періодичні симуляції фішингових атак, коли компанія отримує вирусовані надсилання на пошти своїх працівників.

• Необхідно встановити надійні поштові та веб-шлюзи, які фільтрують шкідливі посилання.
• Важливо моніторити пошту і виділяти листи, що надходять із зовнішніх мереж, не пов'язаних з корпоративною.
• Настроїти систему сповіщення, яка зможе виявляти доменні імена, що імітують домен компанії.
• Сегментувати корпоративну мережу, посиливши контроль доступу до її елементів та обмеживши повноваження співробітників відповідно до їхніх посадових потреб. Керувати доступом, спираючись на принцип нульової довіри.
• Ключові системи з важливою інформацією та акаунти співробітників, які працюють з конфіденційними даними, мають бути захищені за допомогою дво- або багатофакторної аутентифікації.

Загалом, компаніям необхідно регулярно, щонайменше раз на рік, проводити тренінги, оцінювання та дотримуватися норм кібергігієни, керуючись найкращими практиками. За сучасними оцінками експертів, одним з найефективніших методів протидії соціальній інженерії є тестування на проникнення або Pentest.

Таке тестування являє собою заздалегідь сплановану цілеспрямовану атаку, яка дозволяє виявити вразливості, зумовлені поведінкою співробітників, і визначити ступінь вразливості компанії. Пентести проводяться не тільки у звичайній ІТ-сфері, але й у таких критично важливих галузях, як енергетика, транспортна система країни або міста і видобуток корисних копалин. Результати тестування допоможуть зрозуміти, наскільки добре співробітники дотримуються принципів інформаційної безпеки та наскільки ефективні заходи щодо їхнього навчання.

Тестування на проникнення є формою етичного хакінгу, коли фахівці з соціальної інженерії, наприклад, так звані «white hats», виявляють вразливості, пов'язані з людським фактором. 

Цілі тестування на проникнення включають:

• Визначення потенційної інформації, яку можуть вкрасти зловмисники.
• Оцінку схильності співробітників до психологічного впливу.
• Перевірку дієвості поточних політик безпеки.
• Розробку заходів для підвищення обізнаності персоналу.

Етапи тесту на проникнення зазвичай включають розробку плану тестування, вибір вектора атаки, спробу проникнення та підготовку звіту. Це допомагає зрозуміти, наскільки співробітники обізнані з ризиками соціальної інженерії, а також такі дії сприяють поліпшенню принципів інформаційної безпеки на практиці.

Є два ефективних шляхи для проведення пентесту якими діляться наші експерти:

“Ми можемо власноруч провести пошук робочих електронних адрес працівників в рамках надання нашої послуги. У цьому процесі ми аналізуємо, наскільки легко зловмисникам може вдатися виявити ці адреси. Після узгодження деталей проекту з клієнтом, ми ініціюємо розсилання фішингових повідомлень та аналізуємо результати. Інший варіант - клієнт сам надає список робочих адрес електронної пошти, і ми переходимо безпосередньо до фішингу” - каже експерт ESKA.

Кожен із цих підходів має свої переваги та недоліки, і ми готові приступити до пентесту з урахуванням вибору та потреб клієнта.

Під час підготовки до пентесту, особливу увагу слід зосередити на соціальній інженерії як одному з видів тестування, який спрямований на перевірку реакції працівників, а не самої системи. Тому надзвичайно важливо перед початком процесу пентесту узгодити всі деталі з підрядником та забезпечити необхідні ресурси. Доцільно також включити в білий список (whitelist) адреси, з яких будуть надсилатися електронні листи для перевірки реакції працівників на фішингові атаки. При виконанні фішингу важливо якомога менше перешкоджати фахівцям із технічного контролю. На нашому досвіді ми стикалися з випадками, коли деякі наші клієнти не хотіли змінювати налаштування, аргументуючи це тим, що якщо налаштування працюють добре, то чому їх потрібно змінювати? Наша відповідь завжди полягає в тому, що ми займаємось перевіркою працівників компанії, а не технічні налаштування системи, оскільки мета соціальної інженерії завжди полягає у перевірці саме працівників - як вразливої ланки бізнесу та кіберзахисту. 

Так, пентест у соціальній інженерії не просто виявляє наївних співробітників, а надає шанс запобігти майбутнім атакам і підвищити обізнаність всього персоналу. В ідеалі, успішний пентест призводить до створення єдиної корпоративної програми загального підвищення безпеки, яка усуває вразливості всередині колективу і зміцнює захист компанії перед кіберзлочинцями.

Висновок.

Соціальна інженерія визначається як одна з найбільших загроз для корпоративної безпеки, оскільки основна її мета — маніпуляція персоналом для отримання доступу до конфіденційної інформації та систем. Ця стратегія обману активно використовує психологічні прийоми для впливу на працівників, зокрема через страх, вдячність або бажання допомогти, що робить їх вразливими до таких атак.

Ключовим аспектом ефективної боротьби з соціальною інженерією є розуміння того, що злочинці часто обходять технічні захисні механізми, зосереджуючись на людському факторі як на слабкій ланці в захисті компанії. Вони використовують детально сплановані стратегії та індивідуально адаптовані методи для того, щоб максимально ефективно в потрібний час вплинути на того чи іншого працівника.

Протидія таким атакам вимагає комплексного підходу, який включає регулярне навчання персоналу як розпізнавати засоби маніпуляції з боку злочинців. Симуляції кібер-атак атак, рольові ігри та активна участь співробітників компаній-партнерів у тренінгах можуть значно зміцнити людський аспект корпоративної безпеки. 

Одночасно необхідно застосовувати технологічні інструменти, такі як поштові та веб-шлюзи для блокування шкідливих посилань, системи моніторингу для ідентифікації підозрілих активностей, а також сегментацію корпоративної мережі, що обмежує доступ згідно з принципом "нульової довіри".

Треба також визнати, що найкраще запобігти впливу діям злочинців допомагає застосування тестування на проникнення (Pentest), яке дозволяє не тільки виявити існуючі вразливості, а й оцінити реальну ефективність заходів безпеки, реалізованих у компанії. Цей метод включає етичний хакінг, який виконується кваліфікованими фахівцями (так званими "білими капелюхами"), і спрямований на підвищення обізнаності та підготовленості персоналу до можливих атак.

Усвідомлення персоналом загроз, розуміння хоча б найчастіших методів соціальної інженерії та активна участь у заходах з підвищення інформаційної безпеки створюють потужний незламний бар’єр від зовнішніх та внутрішніх загроз. Успішне впровадження усіх вище згаданих заходів обов’язково допоможе у реалізації ефективної корпоративної програми загальної безпеки компанії перед сучасними загрозами з боку кіберзлочинності.