Без вирусов и троянов: как методы социальной инженерии используют для кибератак и что с этим делать
Цифровизация принесла в нашу жизнь новые угрозы: кибератаки все чаще становятся причиной нарушения работы компаний. Порой они приобретают глобальный масштаб. Например, в 2017 году программа-вымогатель WannaCry проникала в компьютеры по всему миру и шифровала данные, которые можно было расшифровать только за деньги. В странах, которые подверглись атаке, останавливалась работа банков, аэропорты не могли принимать самолеты и т.д. Примечательно, что остановил атаку всего один человек, исследователь Маркус Хатчинс. А в 2020 году из одной из самых известных соцсетей утекли данные больше 250 млн пользователей, и в итоге компания заплатила около 5 млн долларов штрафа.
Чем больше кибератак, тем больше ущерба для бизнеса, а порой и для государства. Например, за семь месяцев 2024 года в России было зафиксировано около 600 тысяч IT-преступлений, ущерб составил почти 100 млрд рублей. Конечно, компании выстраивают систему защиты от вирусов и троянов, но не всегда злоумышленники используют очевидные инструменты. Методы социальной инженерии позволяют им «вскрывать» защиту руками самих сотрудников, а способов противодействия им не так много.
Направления атаки
Существует несколько основных типов атак, которым подвергаются компании. Перечислим лишь самые распространенные.
Курсы компьютерной безопасности
Научитесь предотвращать внешние системные вторжения, противостоять проникновениям в систему, заражению вирусами и обеспечивать надежную киберзащиту предприятия.
- Вредоносное ПО. Эти атаки предполагают рассылку вирусных программ, которые проникают в IT-систему и нарушают ее работу.
- Боты — роботы, имитирующие поведение человека и способные при этом проникать в IT-инфраструктуру и мгновенно тормозить ее.
- DoS- и DDoS-атаки на сервера, главной задачей которых является вывод системы из строя.
- Сталкерские программы могут распространяться под видом легальных, проникают на компьютеры пользователей и просматривать сохраненные документы.
- Криптоджекинг — сравнительно новый вид атак: вредоносное ПО проникает на компьютер и использует его мощности для майнинга.
- Туннелирование DNS: кибератака с применением протокола DNS. Во время атаки происходит передача постороннего трафика HTTP и других протоколов через порт 53.
Это это лишь малая часть угроз, против которых, впрочем, уже разработаны эффективные методы борьбы или профилактики.
Это, что называется, хорошая новость. Но, несмотря на все усилия, атаки на российские компании продолжаются, и их активность не спадает. И есть одно направление, на котором злоумышленники действуют легче всего: они проникают в IT-инфраструктуру компании, пользуясь доверчивостью, неосведомленностью, а иногда и просто легкомыслием сотрудников.
Как социальная инженерия применяется в IT
Мошеннические схемы, основанные на методах социальной инженерии, не предполагают использования вредоносного ПО. Злоумышленники буквально втираются в доверие, используют банальный обман или более изощренное манипулирование. В итоге пользователь сам передает им чувствительные данные, и у него не возникает ни малейших подозрений, что что-то может быть не так.
Курс / 16 ак. ч. + 4 ак. ч. самостоятельно
Социальная инженерия. Противодействие мошенничеству
Научитесь проводить тестирование на проникновение методом социальной инженерии и выявлять слабые места в контуре безопасности организации
Приведем лишь несколько примеров.
-
Рассылка от имени известного сервиса
Вам приходит письмо от известного сервиса, например, стриминга. Предлагают подписаться, попробовать, а оплата спишется на следующий день. По всем вопросам вы можете обратиться по телефону. Антивирус пропускает это письмо, ничего подозрительного нет, вредоносного ПО письмо не содержит. Главная задача мошенников — заставить вас позвонить, а уже во время разговора, который будет выстроен определенным образом, вы скачаете и установите средство удаленного администрирования. И главное, сами этого не заметите.
-
Шантаж и запугивание
В компанию звонят и говорят, что с помощью удаленного доступа добыли о сотрудниках и IT-инфраструктуре компании чувствительные сведения. Далее от компании требуют заплатить немалую сумму за то, что эти сведения не будут использованы. В качестве доказательств могут приводить личные данные сотрудников, взятые из совершенно других источников.
-
«Мы вам так благодарны»
Людей часто ловят на том, что все любят получать вознаграждение, не прикладывая усилий. Например, к вам обращаются с просьбой поучаствовать в опросе. Совсем коротком, он отнимет у вас всего пять минут, 3-4 вопроса — и все. В итоге вы соглашаетесь, лишь бы отделаться от назойливого собеседника раз и навсегда. Тем более что в качестве благодарности вам пришлют ссылку на бесплатный сервис, программу и т.д. Ну, а дальше большинство людей забывают о рекомендации не переходить по сомнительным ссылкам. Она же не сомнительная, я заслужил эту благодарность!
Из этих примеров становится понятно, что сотрудники легко теряют бдительность. Мошенники, использующие методы социальной инженерии, играют на базовых чувствах: страхе, любопытстве, чувстве вины. Они создают ощущение того, что что-то надо сделать срочно, и вы даже не успеваете подумать, стоит идти у них на поводу или нет. Кроме того, потом вам просто стыдно признаться в том, что вас поймали на удочку.
Мастер-класс
Evil-AP. Создание фишинговой точки доступа
Познакомьтесь с подходами к подготовке и реализации атаки методом социальной инженерии, возможностями и нюансами используемых технических средств и способами их обнаружения.
Что же делать?
- Не повторяйте пароли: если на разных устройствах у вас стоит один пароль, то вы сами приглашаете злоумышленников. Минимальная длина пароля — 8 знаков. Желательно, чтобы комбинация не представляла собой код, который имеет смысл (имя, дата рождения, географическое название и т.д.).
- Устанавливайте многофакторную аутентификацию.
- Не переходите по ссылкам, которые получены из сомнительного источника. Если вам все-таки надо перейти по ссылке, то проверьте корректность ее написания. Иногда злоумышленники маскируют свои сайты под распространенные доменные адреса, добавляя один лишний знак.
- Не скачивайте ПО с неизвестных сайтов, найденных через поиск в интернете.
- Когда вы устанавливаете новую программу, обратите внимание, к чему она просит доступ, не отвечайте «да» автоматически. Если электронная библиотека просит доступ к вашим контактам, это повод задуматься.
- Обязательно используйте антивирус в актуальной версии и не игнорируйте те предупреждения, которые он делает. Ни в коем случае не отключайте его, например, чтобы поставить на компьютер стороннюю программу. Антивирус для того и нужен, чтобы проверять все, что вы скачиваете.
- Обновляйте ПО, ведь новые версии выпускают специально, чтобы повысить степени защиты.
- Правильно удаляйте с компьютера личные данные. Допустим, вы увольняетесь с работы или просто продаете личный ноутбук. Если вы вышли с личных аккаунтов на всех сайтах, а также удалили приложения, скачанные исключительно для личного использования, этого недостаточно. Надо очищать жесткий диск, инструкции можно получить в IT-отделе компании или посмотреть на сайтах специализированных структур.
- Публикуйте в сети как можно меньше личной информации, настраивайте конфиденциальность так, чтобы к вашим данным, а тем более фотографиям, не имели доступ все желающие. Сведения, которые можно почерпнуть о вас в сети, могут быть в итоге использованы во вред.
