Пн-Пт: 09:30–18:30
Наталья Лабынцева
Ведущий консультант по ИБ в «КИТ»
Атаки с использованием методов социальной инженерии до сих пор остаются распространенными, поскольку завязаны на социальном факторе — на манипуляциях, запутывании и выстраивание доверительного контакта, побуждая их выполнить указания злоумышленников. В рамках данной статьи мы рассматриваем только «социальные» атаки, направленные на манипулирование сотрудниками и последующую компрометацию инфраструктуры компании, то есть не рассматриваем мошенничество.
Социальная инженерия в большинстве случаев проводится через электронную почту или мессенджеры, однако бывают и телефонные атаки (вишинг). Цель — получить учетные данные пользователей либо запустить вредоносное вложение, таким образом получив доступ в определенные системы или, еще хуже, доступ во внутреннюю сеть организации. Даже если злоумышленник использует голосовое манипулирование через телефонный звонок, то он оказывает давление на жертву для дальнейшей кражи данных — просьбы открыть письмо, перейти на сайт или продиктовать сведения.
Основная проблема — от таких атак невозможно защититься только техническими способами. Социальная инженерия эксплуатирует «человеческий фактор», она воздействует на такие человеческие качества, как доверчивость, страх, невнимательность или желание помочь (альтруизм, отзывчивость). Как говорят наши коллеги по тестированию на проникновение (пентестеры): «Главная уязвимость сидит перед экраном компьютера». Поэтому необходимо обучать персонал правилам кибербезопасности и учить распознавать манипуляции. Ниже мы опишем несколько советов по распознаванию «социальных» атак.
1. Проверять отправителя сообщения
В первую очередь стоит обращать внимание на отправителя сообщения — будь оно в почте или в мессенджере. Хакеры часто используют невнимательность человека, чтобы выдать себя за легитимный источник. Так, можно выделить основные способы подделывания при атаках с использованием электронной почты:
- Переставлять буквы местами. Вместо Otdelkonsalting@cyberkit.tech можно отправить письмо от имени Otdelkonsatling@cyberkit.tech. Когда сотруднику приходит электронное письмо, он сначала смотрит в содержание письма, не ожидая подвоха в рабочем пространстве. Уже после изучения текста человек может обратить внимание на отправителя, но не обратить внимание на «опечатки», особенно когда адрес отправителя не короткий.
- Использовать визуально похожие буквы. Так, например, не каждый человек при быстром чтении заметит разницу в Adrespochta@cyberklt.tech и Adrespochta@cyberkit.tech. Потому что зрительно почты одинаковые, и только при внимательном чтении можно заметить, что письмо пришло с почтового домена cyberkLt.tech.
- Использовать синонимы. Часто злоумышленники могут сыграть на незнании человека либо на его мысли «Ну вроде бы так и есть». Как пример, в каждой компании есть подразделение, которое отвечает за управление персоналом. На практике (чаще всего) их называют Отдел персонала или Отдел кадров (департамент, управление, направление и так далее). Так, атакующий может использовать эти стилевые синонимы, которые отражают одну и ту же суть, для выдачи себя «за своих», тем самым снизив внимательность человека и сыграв на его доверии компании.
Отдельно отметим, что в рамках статьи мы не рассматриваем технические составляющие социальной инженерии (настройка инфраструктуры, технические хитрости для искажения визуальной составляющей и т. д.), описанные методы рассматриваются с точки зрения семантики.
Исходя из вышеизложенного, надо обучить свой персонал всегда внимательно (дотошно, очень тщательно) изучать имя отправителя. При этом такие советы распространяются не только на почту, но и на мессенджеры. Например, злоумышленники могут писать в личные сообщения от лица топ-менеджеров, подделывая их аккаунты — устанавливать фотографии руководителя, указывать его фамилию и имя. Справедливо отметить, что можно легко вычислить подделку, если у человека сохранены оригинальные контактные данные коллеги (номер телефона, профиль в мессенджере) и есть постоянное взаимодействие с ним. Однако злоумышленники могут писать всем подряд либо таргетировано на коллег, менее взаимодействующих с «подделкой» (например, персоналу из смежных отделов, целенаправленно — не подчиненным). В таком случае надо тоже обращать внимание на имя отправителя: зачастую, не обладая реальными контактными данными, атакующие допускают ошибки в имени или никнейме. Банальный пример: реальный ник в мессенджере Natalya или Evgeniy, а злоумышленник использует Natalia или Evgenii. Когда вы работаете в одной организации, проверить достоверность отправителя можно с использованием корпоративных ресурсов — найти в общекорпоративном пространстве контактные данные и посмотреть, как выглядит реальный профиль коллеги в мессенджере и от него ли пришло сообщение. В любой организации стараются организовать централизованное пространство (почта, корпоративный портал, специальная адресная книга) и поддерживать в актуальном состоянии контактные данные, чтобы можно было оперативно связаться с коллегами. Поэтому важно проинформировать персонал об используемых корпоративных ресурсах и рассказать, где найти контактные данные и как взаимодействовать с коллегами.
Если вернуться к почтовым подделкам, то для проверки письма с точки зрения «Фишинг или правда?» можно обращаться к ранее полученным сообщениям. Так, злоумышленник может подделать адрес корпоративной рассылки, которая обычно используется для массового информирования персонала. Тогда при подозрении в недостоверности лучше всего найти реальное письмо от коллег и сравнить адрес. Рекомендуется также обращать внимание на фотографии или иную информацию, которая отображается в карточке отправителя. Обычно в компании установлены правила корпоративной этики и оформления — загрузить фотографию, чтобы коллеги всегда могли узнать друг друга при личной встрече, отобразить сведения о должности, подразделении и любые другие контактные данные, создать унифицированную подпись в почте. Соответственно, так можно определить, когда злоумышленник выдает себя за коллегу — его карточка может быть пустой, а письмо не соответствовать корпоративным нормам.
2. Не открывать подозрительные ссылки или файлы
Как написали в самом начале статьи, злоумышленники пытаются выкрасть учетные данные пользователей или закрепиться во внутренней сети организации. Для достижения своих целей они используют фишинговые атаки, подделывая веб-сайты или отправляя «безобидные» на вид вложения. В рамках таких атак злоумышленники побуждают человека перейти по ссылке и «авторизоваться» на веб-странице, что впоследствии приводит к краже учетных данных. Скомпрометированные учетные записи могут быть использованы для входа в электронную почту или во внешние сервисы (системы и сервисы организации, доступные из сети Интернет), а могут быть использованы также для подключения по VPN-каналу или к VDI-системам (инфраструктура виртуальных рабочих столов). В случае когда отправляют файлы или документы, сопровождающий текст побуждает человека скачать вложение и открыть его. Так, при открытии, казалось бы, безобидных документов-файлов могут произойти невидимые обычному пользователю действия, которые позволят хакеру получить доступ (управление) к компьютеру жертвы или проксироваться через него для дальнейшего продвижения по внутренней сети.
Поэтому что важно довести до сведения персонала помимо вышесказанного?
- Проверять достоверность ссылок. Также искать в них опечатки и несоответствия действительности.
- Не переходить по ссылкам, не убедившись в надежности отправителя.
- Не скачивать и не открывать вложения, формат которых отличается от обычных документов. Точно не стоит запускать файлы с расширением exe, sfx, bat, ps1 и любые другие, с которыми вы не знакомы.
- Анализировать полученные письма с точки зрения установленного порядка и бизнес-процессов. Если в компании не принято обмениваться документами по почте, в обход облачных хранилищ, сетевых папок или системы электронного документооборота, то не стоит их скачивать и открывать. Также не стоит ничего открывать, если вы не ждали таких вложений: вас не предупредили о рассылке, отсутствуют договоренности с кем-то на получение файлов.
- Не запускать макросы в doc-файлах и excel-таблицах.
3. Относиться ко всему с подозрением
Самый главный совет, который можно дать своему персоналу, — это относиться ко всему с подозрением и не доверять просто так.
Не стоит спешить отвечать генеральному директору, если он написал вам в мессенджере или позвонил на личный номер. Особенно если до этого вы ни разу не общались с высшим руководством. Потому что топ-менеджер при возникновении вопросов будет решать их через официальные каналы связи компании либо через вашего непосредственного руководителя.
Не стоит доверять письму от отдела ИТ с просьбой направить учетные данные. Потому что системным администраторам не нужны ваши идентификационные (логин) и аутентификационные (пароль) данные для решения технических проблем: они могут их сбросить, уведомив вас об этом, либо удаленно подключиться с вашего разрешения.
И таких примеров можно привести большое количество. Поэтому необходимо рассказать персоналу о действующих процессах и установленных правилах: как коммуницировать с другими отделами, как обмениваться документами, что нельзя сообщать посторонним лицам и даже коллегам, как решать технические (ИТ) и иные проблемы.
Поэтому основной способ бороться с социальной инженерией — подвергать все сомнению и все проверять.