Социальная инженерия порождает ИБ-проблемы
Каждый четвертый сотрудник крупной российской компании, вступавший в переписку со злоумышленником в Интернете, являлся руководителем отдела. При этом среди вступивших в переписку были и специалисты по информационной безопасности. Такие данные привели эксперты в области ИБ компании Positive Technologies, собравшие статистику эффективности атак с применением методов социальной инженерии.
Cпециалисты Positive Technologies собрали статистику эффективности атак с применением методов социальной инженерии. В исследовании они представили статистику и аналитические данные по результатам 10 наиболее показательных проектов за 2016 г. и 2017 г., а также примеры успешных сценариев атак на сотрудников организаций. В результате анализа защищенности корпоративной инфраструктуры эксперты компании имитировали активность хакеров и отправляли сотрудникам компаний-заказчиков сообщения, содержащие вложенные файлы, ссылки на веб-ресурсы и формы для ввода паролей. Всего специалисты Positive Technologies отправили 3332 письма. "17% из этих сообщений в реальной жизни могли бы в итоге привести к компрометации компьютера сотрудника, а впоследствии - и всей корпоративной инфраструктуры", - cообщили в компании.
Как заметили в Positive Technologies, наиболее успешным оказался метод социальной инженерии с применением фишинговой ссылки: 27% сотрудников перешли по ссылке. "Пользователи невнимательно читают адрес ссылки или же просто, не глядя, кликают на него и переходят на поддельный ресурс. Когда же пользователю предлагается скачать файл, а затем запустить его, то с каждым дополнительным действием у него начинают закрадываться подозрения. Поэтому лишь 7% сотрудников оказались невнимательными и попались на удочку", - рассказали в компании.
Специалисты разработчика ПО в области информационной безопасности пояснили, что схема реальной атаки может выглядеть следующим образом: "Злоумышленник размещает на подконтрольном ресурсе набор эксплойтов под различные версии ПО. Ссылка на этот ресурс массово рассылается в фишинговых письмах. Сотрудник организации переходит по ссылке из письма, и после открытия страницы в браузере происходит эксплуатация уязвимостей, что может привести к заражению рабочей станции пользователя вредоносным ПО".
В Positive Technologies добавили, что для повышения эффективности злоумышленники часто сочетают различные способы атаки на пользователя. Фишинговое письмо может содержать одновременно вложение с набором вредоносных скриптов и ссылку на поддельный ресурс, где не только размещена связка эксплойтов, но и форма для ввода учетных данных. "Даже если в инфраструктуре используется современное и обновленное ПО, а также соответствующие антивирусные средства, это не спасет ситуацию, если пользователь сам отдаст свой пароль в руки мошенников, введя их в некой форме на поддельном сайте", - уточнили эксперты Positive Technologies.
По их словам, в 88% случаев в переписку с мошенниками вступают сотрудники компании, не являющиеся ИТ-специалистами. А каждый четвертый сотрудник, вступавший в переписку, являлся руководителем отдела. "Интересно, что среди вступивших в переписку были и ИБ-специалисты, и хотя их меньшинство, 3%, это лишний раз показывает, что социальная инженерия - мощный инструмент в руках злоумышленников и даже самые осведомленные в вопросах ИБ сотрудники могут ошибиться", - отметили в компании.
Кроме того, добавили в Positive Technologies, во время беседы с хакером пользователи могут жаловаться на то, что присланные зловредные файлы или ссылки не открываются. "В некоторых случаях перед этим они пробовали открыть файлы или ввести пароль по ссылке по 30-40 раз! Часто, если открыть файл сразу не удается, сотрудник пересылает письмо в ИT-департамент компании с просьбой о помощи. Это увеличивает риски компрометации инфраструктуры, поскольку технические специалисты доверяют коллегам и с высокой вероятностью запустят файл", - прокомментировали эксперты разработчика ПО в области ИБ. При этом, как уточнили в Positive Technologies, иногда адресаты сообщали о том, что письмо попало к ним по ошибке, и предлагали имена других сотрудников организации, кому его следовало бы отправить.
Эксперты компании подчеркивают, что эффективность рассылок от лица поддельных компаний сегодня снижается (11% потенциально опасных действий), в то время как если сообщение приходит от имени реальной компании и реального человека, вероятность успеха взломщиков возрастает (33%). "Именно так действует, к примеру, группировка Cobalt, которая во время атак использует фишинговые письма не только через поддельные доменные имена, но и от лица сотрудников реальных банков и компаний-интеграторов, инфраструктура которых была для этого предварительно взломана", - заметили в Positive Technologies.
Так, отмечают в компании, киберпреступники используют страх, жадность, надежду и другие эмоции для повышения эффективности своих атак. "Поэтому в темах своих писем они применяют фразы вроде "список сотрудников на увольнение" (спровоцировали 38% потенциально опасных действий), "выплаты премий за год" (25%) и т.п. При получении таких сообщений люди часто забывают об элементарных правилах безопасности", - уточняют эксперты разработчика ПО.
Помимо этого, сотрудники имеют страх увольнения или сокращения. В Positive Technologies отметили, что это мощный фактор, чтобы забыть о правилах информационной безопасности: "Почти 40% тестовых фишинговых писем с такой темой побуждали пользователей совершить потенциально опасное действие". Высокий процент успеха показывают также письма, где есть слова "премия", "поощрение", "повышение зарплаты": каждое четвертое такое письмо обмануло сотрудника.
"Электронная почта - далеко не единственный инструмент социальной инженерии. Злоумышленники часто звонят сотрудникам компаний по телефону, чтобы, например, представиться специалистом техподдержки и получить важные данные или заставить собеседника совершить нужное действие. Классический пример: звонок рано утром в воскресенье с просьбой срочно явиться на работу. Когда в итоге смущенному сотруднику говорят, что можно и просто продиктовать свой пароль, чтобы "специалисты разобрались во всем сами", - многие с радостью соглашаются", - привели пример эксперты Positive Technologies.
Как рассказал специалист по исследованию вредоносного ПО Avast Ладислав Зезула, злоумышленники постоянно совершенствуют методы социальной инженерии. "Недавно специалисты Avast обнаружили мошенническую схему в социальных сетях. Хакеры использовали поддельные профили привлекательных женщин, чтобы начать беседу с потенциальными жертвами. Злоумышленники предлагали продолжить общение в мессенджере Kik Messenger и отправляли ссылку. Однако под фейковым мессенджером скрывалось вредоносное приложение Tempting Cedar, которое шпионит за пользователями", - добавил специалист Avast.
По его словам, если говорить о мобильных угрозах, то сейчас очень распространены фальшивые банковские приложения. Пользователи загружают вредоносные программы под видом игр или фонариков. "Вредоносное ПО создает поддельные пользовательские иконки, которые накладываются на интерфейс реальных банковских приложений. И конфиденциальные данные поступают напрямую к мошенникам. Наш недавний опрос показал, что пользователи плохо различают поддельные и настоящие банковские приложения. Так, 24% респондентов из России назвали официальный интерфейс приложения для мобильного банкинга поддельным, а 29% ошибочно приняли фейковый интерфейс за настоящий", - уточнил Ладислав Зезула.
Кроме социальной инженерии в Avast ожидают, что злоумышленники начнут использовать технологии искусственного интеллекта (AI) не только для создания вредоносных атак, но также для выполнения сложных мультивекторных фишинг-атак. ИИ может использовать информацию из открытых источников для того, чтобы лучше таргетировать атаки, а также выполнять очень сложные мультивекторные фишинг-атаки.
Технический директор Check Point Software Technologies Никита Дуров сказал, что сценарии атак с применением методов социальной инженерии постоянно меняются. "Хакеры все чаще предпочитают использовать неосведомленность сотрудников о правилах кибербезопасности, нежели бреши в защите организации. Одна из причин в том, что подобные атаки требуют от злоумышленника намного меньше финансовых и временных ресурсов", - прокомментировал он.
Никита Дуров подчеркнул, что не следует открывать письма от незнакомых отправителей, загружать файлы с непроверенных сайтов. Нужно помнить, что даже с виду знакомые сайты могут нести угрозу. "Так, хакеры могут отправлять ссылки на поддельные сайты, которые в точности имитируют оригинальные. Кроме того, важно рассказать сотрудникам о том, что подключение мобильных телефонов, планшетов и ноутбуков к непроверенной сети Wi-Fi может привести к серьезным последствиям", - предупредил технический директор Check Point Software Technologies.
Он отметил, что главный способ борьбы с кибератаками, основанными на методах социальной инженерии, - это обучение персонала. По словам Никиты Дурова, необходимо предоставить список правил, регулирующих поведение сотрудников в случае возникновения ИБ-инцидентов. Соблюдать инструкцию по обеспечению кибербезопасности должны все сотрудники. Регулярные тренинги помогут уменьшить риски ущерба от подобных инцидентов", - резюмировал специалист Check Point. Он напомнил, что в 2017 г. специалисты по кибербезопасности Check Point отметили рост мошенничества и вредоносного спама. Так, количество атак зловредов с использованием SMTP-протокола выросло с 55% в первом полугодии до 62% во втором.
Аналитик Positive Technologies Дмитрий Каталков сообщил, что социальная инженерия вошла в топ-3 наиболее популярных методов атак в прошлом году. При этом неважно, кто находится под ударом - компания или просто частное лицо. "Сегодня в корпоративной среде стали больше внимания уделять своей защите, в частности от фишинга. Наиболее продвинутые в вопросах информационной безопасности компании фиксируют попытки проведения атак и своевременно блокируют вредоносные рассылки, но таких пока еще мало. А вот рядовые пользователи в большинстве своем пока не готовы себя защищать. Получается, на сегодняшний день у киберпреступников пока нет причин отказываться от столь эффективного способа получения финансовой выгоды", - заметил специалист Positive Technologies.
Дмитрий Каталков считает, что компьютерная грамотность и осведомленность пользователей в вопросах информационной безопасности растет, но, к сожалению, не такими быстрыми темпами. При этом техники, которые используют нарушители, постоянно совершенствуются. "Мы не ожидаем, что за такой короткий период снизится количество атак с применением социальной инженерии. Безусловно, в связи с ростом интереса к ИБ со стороны компаний провести успешную атаку станет сложнее. Для частных лиц вряд ли вообще что-то изменится, особенно если не совершать социальную активность, направленную на повышение осведомленности рядовых граждан", - сказал он.
Как заметил аналитик Positive Technologies, исследование процессов ИБ в российских компаниях показало, что 38% организаций вообще не проводят тренинги для сотрудников по вопросам ИБ, а 37% делают это формально, без какой-либо проверки эффективности.
-
12.09.2014Под страхом взлома