Социальная инженерия
Валентин Пашинцев, 20/09/23
"Пока живут на свете дураки, обманом жить нам все-таки с руки" – в этой песне лисы Алисы из фильма "Приключения Буратино" изложена суть методов социальной инженерии. Атаки социальных инженеров даже опаснее хакерских атак, поскольку они направлены на самую уязвимую часть систем безопасности, ту, что автомобилисты называют прокладкой между рулем и водительским сидением, – на человека.
Социальная инженерия (СИ) – это совокупность действий, которые вынуждают человека добровольно совершить поступок, который может отвечать, а может и не отвечать его интересам. Она, правда под другими названиями, существовала с незапамятных времен. Это и троянский конь, придуманный Одиссеем, и различные финансовые аферы типа сбора средств на строительство Панамского канала, и 90 способов сравнительно честного отъема денег Остапа Бендера, и МММ, и "Властелина" с "Тибетом", и многое другое.
Кто они – социальные инженеры?
Для начала расшифрую термины:
- Претекстинг. Злоумышленник использует предлог, чтобы привлечь внимание жертвы и заставить ее сообщить информацию. Например, во время безобидного, казалось бы, интернет-опроса у вас могут попросить данные вашего банковского счета.
- Фишинг. При фишинговой атаке вы получаете письмо или сообщение от кажущегося надежным источника с просьбой предоставить информацию. Целевой фишинг – это отправка письма определенному сотруднику якобы от высшего руководства компании, запрашивающего конфиденциальные сведения.
- Вишинг и смишинг. Это две разновидности фишинга. Первая подразумевает голосовой фишинг, то есть телефонное мошенничество.
Злоумышленник может притвориться сослуживцем, например сотрудником ИТ-отдела, которому нужны ваши учетные данные. Вторая – попытка получения данных с помощью СМС-сообщений.
Таблица 1. Категории преступников
Схемы мошенничества
Поговорим подробнее о преступниках, использующих методы социальной инженерии.
В последнее время этот вид мошенничества приобрел немалый размах. По оценке СберБанка, население России в 2021 г. оказалось в лидерах по воздействию телефонного мошенничества, ситуация приобрела характер национального бедствия. Кибермошенники совершают около 100 тыс. звонков в день. Девять из десяти владельцев мобильных телефонов сталкивались с мошенниками, а каждый десятый звонок российскому абоненту поступает от преступников. Ущерб от действий мошенников составил 45 млрд руб.
Суть атаки методами социальной инженерии состоит в том, чтобы подавить аналитические возможности человека и воздействовать на эмоциональную и рефлекторную сферу мозга. Дело в том, что человеческий мозг работает в разных режимах, генерируя импульсы с разной частотой (табл. 2).
Таблица 2. Режимы работы человеческого мозга
Таким образом, для управления поступками жертвы необходимо выбить его мозг из режима "гамма" в режим "альфа", а лучше "тета" (хотя для социальной инженерии достаточно и альфа-режима, тета чаще используют в религиозных сектах). Часто жертва получает какую-то пугающую информацию, касающуюся личной жизни или служебной деятельности.
Для этого используют следующие способы:
- Смишинг (Smishing, СМС-фишинг). Здесь задействуются мобильные устройства. Жертва получает сообщение якобы с номера банка.
В нем обычно содержится некоторая пугающая информация, а затем предлагается решение проблемы. Классический пример: с лицевого счета жертвы будто бы выполнено нецелевое списание средств, поэтому клиенту предлагается кликнуть по ссылке на сайт банка (разумеется, поддельный) или позвонить по указанному номеру телефона (тоже мошенников). - "Китобойный" фишинг (Whale Phishing). Это фишинговая атака, направленная на топменеджера крупной фирмы, поскольку жертва оценивается высоко, а полученная информация будет более ценной, чем та, которую могут дать обычные сотрудники компаний.
А так как жертвами выбираются высокопоставленные люди, мошенники и действуют соответственно: например, присылают письма юридического характера или предлагают обсудить серьезные финансовые вопросы. - Клон-фишинг (Clone Phishing). Мошенники копируют форму корпоративного электронного письма, создавая почти идентичный образец, вот только такое письмо отправляется не с настоящего, а с поддельного адреса. Само письмо выглядит как и те, что пользователь уже получал от этой организации, но ссылки в письме заменяются на вредоносные. Фактически такие письма преследуют единственную цель: "социальные хакеры" пытаются заставить сотрудника раскрыть личную или финансовую информацию путем нажатия на ссылку в письме, после чего пользователь перенаправляется на внешне похожий поддельный сайт, предназначенный для кражи личной информации.
- Scareware ("пугалка"). Этот метод заключается в том, что жертву пугают, заставляя думать, что ее компьютер заражен вредоносным ПО или же имеет случайно загруженный нелегальный контент. Когда мошенник понимает, что жертва созрела, он предлагает решение этой фиктивной проблемы. Но на самом деле эта программа антивируса представляет собой вредоносное ПО, целью которого является хищение личной информации пользователя. Цель разработчиков "пугалок" – вызывать страх у пользователя и подтолкнуть его к установке поддельного антивирусного ПО.
- "Услуга за услугу"(от лат. quid pro quo). Если в составе мошеннической группы нет квалифицированного хакера, можно поступить иначе. Сначала преступники проводят предварительное исследование целей, потом злоумышленник делает вид, что оказывает жертве важную услугу. Например, мошенник находит сотрудника с высокими привилегиями доступа к сети и звонит ему по телефону, представляясь работником службы технической поддержки компании. При удачных переговорах жертва соглашается оказать содействие в решении якобы выявленных проблем, затем киберпреступник начинает управлять жертвой, шантажом заставляя ее выполнять нужные социальному инженеру действия. Это в итоге приводит к запуску вредоносного ПО в систему или к краже данных.
- Honey Trap ("медовая ловушка"). Этому способу уже много лет. Отчасти он похож на работу брачного афериста, только цель другая. Если первому нужны материальные ценности жертвы, то мошеннику нужна информация.
Для этого обаятельный преступник знакомится с женщиной, занимающей нужный пост в атакуемой компании. Постепенно между ними возникают отношения, и, пользуясь доверием партнерши, мошенник получает все нужные ему сведения. Гендер мошенника и жертвы может меняться.
Настоящие социальные инженеры
Однако мошенников нельзя назвать социальными инженерами. Они пользуются уже готовыми шаблонами, в которых уже расписаны вопросы и варианты возможных ответов. Их действия направлены на конкретные реакции людей при определенном воздействии.
Настоящий социальный инженер – это человек, который может проникнуть на объект, получить там нужную информацию, выйти с объекта с добычей, и притом никто не сможет вспомнить, что он там был. Такого специалиста можно увидеть в фильме "Поймай меня, если сможешь". Прототипом героя фильма был реальный преступник, который долгое время являлся врагом ФБР номер один. В нашей истории был Вольф Мессинг. Он поспорил со Сталиным, что пройдет к нему в Кремль без пропуска. И в назначенный час он вошел в кабинет вождя, притом охрана его не заметила.
Возможно, были и еще. Но себя они не афишируют. Социальные инженеры не пользуются готовыми шаблонами, они разрабатывают сценарии действий на ходу. В работе они используют обратную социальную инженерию. Ее суть в том, чтобы создать ситуацию, когда жертва сама обратится за помощью к ним, после чего можно добиться полного контроля над человеком.
Различия возможностей преступников и социальных инженеров
Если сознание по своей природе может блокировать попытки воздействия на него, то подсознание им не сопротивляется, и уже это определяет границы возможностей обычных способов воздействия, действующих в основном на уровне сознания. На этом принципе основана наиболее продвинутая техника социальной инженерии – система активаций, которые приводят подсознание жертвы к необходимому для атакующего решению.
Для активации действий в психике человека имеются психологические триггеры. Они индивидуальны. У каждого в подсознании спрятаны свои собственные "спусковые крючки" – триггеры, которые возникли благодаря индивидуальным особенностям, образу жизни и вследствие воспитания в определенных условиях и традициях. Поэтому люди абсолютно по-разному реагируют на одни и те же внешние сигналы:
- Эмоции. С помощью эмоции триггер встраивается в схему поведения человека. Связка "реакция + внешний раздражитель", подкрепленная сильной эмоцией, закрепляется очень быстро и практически навсегда. Чтобы изменить поведение, навязанное таким образом, нужно приложить немало усилий. Такие эмоции, как сильный испуг, могут в прямом смысле парализовать человека, не давая ему действовать.
- Ответные реакции Подобное отношение к триггеру часто спонтанно. Ответные реакции очень трудно контролировать, бывает, что индивид не понимает, что происходит. В очень тяжелых случаях, когда ранее была связь с сильным негативом, человек может действовать в искаженном состоянии сознания, абсолютно не контролируя себя и свои поступки.
- Фактор времени. В связи с тем, что управлять разумом человека можно только при непосредственном воздействии на объект, что невозможно, жертву надо заставить принять решение очень быстро, пока мозг снова не вернулся в режим "гамма".
Проникновение на объект
Способы применения методов социальной инженерии для проникновения на объект могут быть следующими:
- Подбрасывание флешек с вредным ПО в офисе, холодные звонки.
- Фишинговые письма сотрудникам.
- Личный контакт с сотрудником (можно удаленно).
- Работа на объекте в день открытых дверей.
- Работа на объекте в обычный рабочий день (несколько контактов с сотрудниками).
- Свободный доступ на объект (многочисленные контакты).
Все уровни предусматривают вероятный доступ к защищаемой информации и возможный ее вынос, изменение (искажение, подмену), но с каждым уровнем объем данной информации становится все больше, а ее степень важности (конфиденциальности) – выше.
Обратная социальная инженерия использует обычные паттерны поведения и поступков человека в определенных ситуациях. Для получения результата социальному инженеру достаточно спровоцировать нужную ситуацию и развить ее в правильном ключе. Вот, к примеру, какие недочеты в организации охраны объекта и пропускного режима может использовать социальный инженер для проникновения на закрытое предприятие:
- Излишняя сложность и заорганизованность. Хотели сделать как лучше, а получилось как всегда.
- Недостаточно четкое несение службы персоналом службы охраны.
- Неправильная подготовка сотрудников охраны, дающая возможность злоумышленнику использовать их любознательность, чрезмерную общительность.
- Временные интервалы рабочего дня. Известно, что перед обедом и ближе к вечеру бдительность сотрудников охраны снижается.
Конечно, с развитием СКУД сложность проникновения увеличилась. Да и охранник может быть проинструктирован не общаться с посетителями. Но и в этом случае остается возможность воздействовать на лицо, принимающее решение, например на начальника охраны.
Как защитить компанию?
Область вреда, который может причинить социальный инженер, касается практически всех сторон деятельности компании. Защититься от этого помогают:
- Инструктаж по методам СИ и способам противодействия им. Но этого мало. Всегда найдется 10% сотрудников, которые в критических ситуациях поступят неправильно. Для исключения этого существует тестирование на сопротивляемость СИ, когда руководство компании само запускает учебную атаку СИ для проверки подготовленности персонала, реакции сотрудников на воздействие, их добросовестность и честность.
- Разработка новых алгоритмов реакций на воздействие социальных инженеров.
- Применение технических средств защиты (фильтров входящих писем, антивирусов, блокираторов нежелательной корреспонденции и т.д.).
В заключение хочу сказать, что, понимая, как работают методы социальной инженерии, мы можем расширить наше осмысление обмана и научиться распознавать сложные стратегии и уязвимости, которые могут быть невидимы для других.
Опубликовано в журнале "Системы безопасности" № 4/2023
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Фото: ru.freepik.com