Социальная инженерия в информационной безопасности

Согласно данным Positive Technologies, в 2023 году в 45% успешных кибератак на организации использовались методы социальной инженерии, что свидетельствует о роли этого явления в обеспечении информационной безопасности. С развитием информационных технологий происходит усложнение методов социальной инженерии: злоумышленники активно используют искусственный интеллект для поддержания иллюзии осмысленного диалога с жертвой, генерации поддельных сообщений и дипфейков. Также повышается распространенность многоэтапных атак, в которых злоумышленники добиваются преступной цели за несколько шагов, совместно используя различные методы обмана.

Атаки этого типа включают психологические, физические и технические аспекты, используемые на различных этапах. Даже если атака изначально неудачна, злоумышленник может использовать полученную информацию об индивидуальных и организационных процессах безопасности для будущих нападений. Сотрудники компаний, которые не осведомлены о методах социальной инженерии, являются одним из наибольших рисков информационной безопасности в организации.

Социальная инженерия представляет собой целенаправленное влияние на людей для получения определенного действия. Оно сопряжено с вмешательством в поведение для изменения психологических характеристик индивидов и общества с целью реализации определенных идей, обычно достижения материальной или нематериальной выгоды.

Используя методы социальной инженерии, злоумышленники могут обойти даже самые сложные системы обеспечения информационной безопасности. Повышение частоты их применения для несанкционированного получения конфиденциальной информации обусловлено следующими факторами:

• простота получения интересующих данных по сравнению с техническим вторжением в информационные системы;
• сложность обнаружения атак при помощи автоматизированных защитных систем;
• минимальный риск;
• минимальные финансовые вложения;
• высокая вероятность достижения цели атаки.

Социальные инженеры используют психологические методы воздействия на людей, основанные на манипулировании базовыми эмоциями: страхом, ожиданиями, жадностью, любопытством, сердоболием, эмпатией. Ключевая цель манипуляций — найти подход к конкретному человеку и подтолкнуть его к совершению действий, которые необходимы злоумышленнику.

Использование техник социальной инженерии требует не только знаний психологии, но и навыков сбора необходимых данных. Злоумышленники могут получать большие объемы информации о гражданах и компаниях из открытых источников — соцсетей, поисковых систем, форумов, блогов, публичных отчетов государственных и коммерческих организаций. Помимо этого, собрать нужные для атаки сведения можно на офлайн-мероприятиях: докладах, конференциях, мастер-классах и прочих.

Процесс атаки состоит из нескольких этапов:

1. Подготовка. Включает определение вида и объема целевой информации, уровня информационной защищенности объекта нападения, разработку плана проникновения.

2. Сбор информации об объектах воздействия. Предполагает выбор жертвы, обычно сотрудника компании, поддающегося психологическому манипулированию. Лучшими претендентами на роль жертвы становятся доверчивые люди, субъекты с чувством обиды или выраженной эмпатией. Для выбора жертвы может использоваться тестовая атака, обычно в форме рассылки электронных писем. Данные о том, кто и когда перешел по указанному в письме адресу и какие действия выполнял, позволяют получить объективную оценку осведомленности пользователей об основах кибербезопасности. О намеченной жертве злоумышленник собирает сведения, используя активные и пассивные методы разведки на основе открытых источников.

3. Техническая подготовка. Включает регистрацию, настройку и обкатку домена и хостинга.

Большая часть этого типа кибератак сочетает технические и нетехнические векторы. Специалисты по обеспечению информационной безопасности обычно сфокусированы на технических векторах, поскольку их проще отследить и настроить соответствующие сценарии реагирования. Однако технических средств недостаточно для обнаружения социальной инженерии, поскольку действия реализующих ее лиц отличаются непредсказуемостью.

К основным техникам социальной инженерии относятся первичная обработка, манипуляции и обман, нейролингвистическое программирование, предлоги, извлечение информации, социальное, юридическое и организационное влияние. Ряд атак действует на уровне подсознания, запуская предсознательные процессы. Это делает человека на порядки более уязвимым объектом атаки, чем программное обеспечение.

В число основных видов атак социальной инженерии входят:

1. Претекстинг. Представляет собой применение предлога, заставляющего жертву действовать по типовому сценарию и предоставить конфиденциальные данные.

2. Фишинг. Суть метода заключается в создании поддельных ресурсов и продуктов, имитирующих настоящие и заслуживающие доверие. Злоумышленники рассчитывают, что пользователи не заметят подделки и добровольно введут свои личные данные. Наиболее известен почтовый фишинг, при котором злоумышленники массово рассылают электронные письма и с помощью манипулятивных техник побуждают пользователей перейти по подмененным ссылкам.

3. Троянский конь. Это вредоносное программное обеспечение, проникающее в устройство пользователя, думающего, что он запустил установку или обновление программы.

4. Кви про кво. Метод основан на общении жертвы и злоумышленника, в процессе которого последний подталкивает собеседника на совершение целевых действий.

5. Дорожное яблоко. Предполагает использование физических носителей, оставленных в людных местах, которые жертва запускает из любопытства. Носитель может быть заражен вирусом или физически повредить устройство.

6. Обратная социальная инженерия. Злоумышленник создает ситуацию, в которой жертва вынуждена обратиться к нему за помощью для устранения искусственно созданных неисправностей.

Основной метод борьбы с социальной инженерией — повышение осведомленности сотрудников компаний о методах, используемых злоумышленниками. Помимо этого, специалисты по информационной безопасности могут использовать следующие меры:

• установка политик и процедур, контролирующих доступ к конфиденциальной информации и системам;
• использование многофакторной аутентификации;
• обеспечение физической безопасности: введение пропускного режима, установка видеонаблюдения и контролируемого доступа к устройствам;
• регулярное обновление систем безопасности;
• введение строгой политики управления информацией.

«АСТ» проводит курсы повышения квалификации в области обеспечения информационной безопасности и повышения кибергигиены. Завершив подготовку, слушатели научатся отражать атаки социальной инженерии и получат удостоверение. Пройти подготовку можно по следующим программам:

• техническая защита информации;
• организация защиты персональных данных;
• информационные технологии и безопасность;
• информационная безопасность.

С полным перечнем доступных программ можно ознакомиться здесь. Менеджер «АСТ» бесплатно проконсультирует по тарифам, условиям организации и проведения подготовки по телефону или в окне-чате.