Людська необережність чи помилка – є основним фактором, що робить можливим проникнення зловмисників у інформаційні мережі організацій. За оцінками IBM, до 95% усіх зламів систем відбувається саме через людський фактор. До слова, відсоток інцидентів, що сталися внаслідок експлуатації вразливостей програмного забезпечення – в рази менше.
Чимало людей переконані, що злам комп’ютерної системи чи мережі передбачає, в першу чергу, пошук технічних чи програмних вразливостей. В реальності ж більшість атак починаються саме із соціальної інженерії, яку іноді складно відрізнити від звичайної комунікації.
Соціальна інженерія - це в певному сенсі «злам» людини, в результаті якого остання реагує на маніпуляції, що призводить, наприклад, до витоку даних чи зараження пристрою небезпечним кодом.
Для кращого розуміння того, як працює соціальна інженерія, варто зрозуміти основні елементи організації атак такого типу. Не всі з них є обов’язковими. Якщо зловмисники не створюють персоналізований сценарій для конкретної жертви, то деякі з цих кроків можуть бути пропущені.
Як не парадоксально, але масований напад не завжди потребує великих затрат на підготовку. До прикладу, розсилка листів, у темі яких згадується Державна податкова служба, не вимагає детальної підготовки чи вивчення особливості бізнесу жертв. Більш персоналізовані атаки починаються з пошуку слабких місць конкретної цілі.
Розвідка та збір даних з одночасним визначенням слабких місць
Щоб зрозуміти, на що відреагує потенційна жертва, потрібно знайти у неї вразливі місця. А для цього треба досконало вивчити – і безпосередню жертву, і її оточення. Це може бути аналіз структури бізнесу, звичок працівників компанії, пошук інформації, доступної у відкритих джерелах, в тому числі у соцмережах. До прикладу, співробітник, який скаржиться в соцмережах на те, що йому недоплачують, легко може бути використаний для організації подібної атаки. Такій людині можуть запропонувати пройти співбесіду у новій компаній. Все що треба зробити - натиснути на лінк з описом вакансії. Людина “ловить наживку” і справу зроблено. А як результат - величезні фінансові та іміджеві втрати. Cаме таким чином була організована крадіжка криптовалюти з мережевої гри Axie Infinity в березні цього року. Хакери писали співробітникам компанії, пропонуючи роботу із надвисокими зарплатами. Ті, вочевидь, зацікавились пропозицією, переходили на підробний сайт й таким чином встановлювали шпигунський софт на свої комп’ютери. Фінансові збитки на момент атаки склали більше $620 млн. До слова, збір даних з відкритих джерел називається OSINT (Open-source Intelligence) і може бути складнішим, ніж здається з першого погляду. ISSP Training Center регулярно проводять курси по OSINT методикам і інструментам, які будуть цікавими не лише IT-спеціалістам. Створення підробної особистості та побудова стосунків з жертвою
Такий підхід характерний для персоналізованих атак на основі соціальної інженерії. Підробний профіль, тривала комунікація, формування персональних зв’язків – все це може бути елементом попереднього етапу, розвідки та збору даних.
Очевидно, що повірити повідомленню від давнього знайомого набагато простіше, ніж коли меседж приходить від нового контакту. Недавній приклад подібної атаки зачепив компанію Verizon Wireless, найбільшого мобільного оператора США. Зловмисник зумів переконати співробітника фірми в тому, що він працює в службі підтримки. Жертва, повіривши в це, надала хакеру доступ до внутрішньої системи, що обробляла дані про співробітників, і той зміг завантажити базу, що містила повні імена, електронні адреси, корпоративні ID сотень людей. Іще одним дуже відомим прикладом успішної атаки з використанням соціальної інженерії став злам більше 100 верифікованих Twitter-акаунтів, який було здійснено влітку 2020 року. Тоді зловмисники зламали акаунт одного із співробітників Twitter, потрапили у внутрішні Slack-чати компанії, де знайшли паролі до внутрішньої системи адміністрування платформи. Як результат - кіберзлочинці змогли заволодіти великою кількістю верифікованих акаунтів відомих людей. В компанії підтвердили, що хакери використали соцінженерію, але що саме вони говорили жертвам-співробітникам Twitter, на який «гачок» їх зловили, так і не розповіли. Професійна необачність як основний фактор успіху атаки
Часто зловмисники намагаються переконати своїх жертв у тому, що вони є їх бізнес-партнерами, клієнтами чи співробітниками банків або ж державних/комунальних структур. У цьому випадку їм не потрібно заражати комп’ютери вірусами чи красти дані.
Схеми подібних атак побудовані так, що жертви самі перераховують гроші злочинцям. Майже завжди в таких випадках зловмисники створюють штучну терміновість, щоб у жертви не було часу якісно проаналізувати запит зловмисника.
Саме таким чином було організовано одну з найбільших за розміром збитків атак, яку здійснив литовець Евалдас Рімасаускас. Він створив фальшиву компанію-виробника комп’ютерів, яка співпрацює з Google та Facebook. Далі співробітники техногігантів отримували листи із виставленими рахунками за поставлені товари. За 2013-2015 роки Рімасаускас і його партнери обдурили технологічні компанію на більш як $120 млн.
На жаль, непоодинокі випадки зустрічаються і в Україні, а з новою ерою Work from home такі атаки дедалі більше таргетять наших громадян.
Захист від атак із використанням соцінженерії
Захист організації від атак на основі соціальної інженерії – одне із найскладніших завдань. Повністю захиститись від них неможливо. Проте можна суттєво знизити ймовірність того, що компанії стануть їх жертвами. А для цього потрібно активне залучення усіх працівників без винятку та постійне проведення тренінгів із кібергігієни.
Які ж першочергові кроки повинна зробити кожна організація? 1. Систематичне проведення навчання співробітників основам кібергігієни з симуляцією різних типів атак. Прості розповіді про те, що не варто реагувати на невідомі листи, уже не працюють. А ось якщо без попередження зробити розсилку таких мейлів і потім розібрати цей кейс та продемонструвати, на які ознаки листів чи повідомлень варто звертати уваги – такий підхід може бути набагато ефективнішим. Починаючи з 2019 компанія ISSP та Міжнародна Кібер Академія втілили низку навчальних ініціатив для підвищення рівня кібергігієни в Україні. За цей час у співпраці з міжнародними донорами була здійснена адаптація естонської платформи від компанії CybExer Technologies під потреби українського ринку, регулярно проводяться навчання для вітчизняних організацій, в тому числі банків, енергетичних компаній, а також інших операторів критичної інфраструктури. Більше про те, як працює ця платформу і як вона може бути корисною саме вашій компанії читайте тут. 2. Налагодження правильних бізнес-процесів в організації, в тому числі у питаннях фінансів. Будь який формалізований бізнес процес – це свого роду лабіринт для хакерів і вони мають витрачати більше ресурсів на обдумування як цей лабіринт пройти. Основна ціль - унеможливити ситуації, коли, наприклад, помилка одного бухгалтера, що відреагував на social-engineering-атаку, може призвести до величезних фінансових втрат компанії. Здавалося б очевидне привило - великі платежі в компанії повинна підтверджувати принаймні ще одна особа - працює далеко не у всіх організаціях. Доцільно було б також запровадити посаду офіцера з кіберзахисту (CISO, Сhief Information Security Officer). У багатьох компаніях, в першу чергу в критичній інфраструктурі, така посада вже існує. Що ж робити тим організаціям, які поки не мають відповідних спеціалістів? Замовляти функціонал CISO як послугу у досвідчених провайдерів. Це загальносвітова практика, яка особливо актуальна за умов постійно зростаючих кіберзагроз. Ми в ISSP пропонуємо CISO-as-a-Service в рамках набору послуг з кібербезпеки для малого та середнього. Більше інформації тут. 3. Постійний моніторинг мережевого середовища та регулярні оцінки стану кібербезпеки компанії за допомогою власного SOC (Security Operations Center, Центр управління безпекою) або ж із залученням зовнішнього підрядника. Що робить SOC? Допомагає компаніям і організаціям покращувати можливості моніторингу своєї ІТ-інфраструктури для виявлення прихованих аномалій поведінки, раннього виявлення загроз та реагування на інциденти. Більше про функціонал нашого Центру можна дізнатися за посиланням. 4. Розробка корпоративних політик та контроль їх виконання щодо використання співробітниками власних мобільних пристроїв та користування соціальними мережами на робочому місці. Незахищений смартфон, на якому переглядається корпоративна електронна пошта, може сприяти її зламу та використанню в атаках на інших співробітників. Так само, як і перегляд на робочих комп’ютерах власних акаунтів у соцмережах. 5. Використання потужних антиспам-системи та шлюзів безпеки електронної пошти і мережевого трафіку, якщо співробітники компанії працюють переважно з офісу. Вони блокуватимуть підозрілі листи і підозрілий трафік. І чим менше їх потраплятиме на очі потенційних жертв, тим меншою буде ймовірність успіху кібератак.
Хотіли би підвищити рівень кібергігєни своєї команди? Звертайтесь до нас, ми допоможемо. Детальніше за посиланням.