Фішинг і соціальна інженерія: пастки для бізнесу і як їх обійти

Чи може психологія поєднуватися з кіберзагрозами? Може, якщо трюки та прийоми з науки про мислення та поведінку використовують хакери, щоб заманити користувачів, які нічого не підозрюють, до своїх сітей.

Цей спосіб обману називається "соціальною інженерією": використовуючи знання про те, як люди поводяться, зловмисник домагається того, щоб ціль атаки робила те, що йому потрібно, абсолютно добровільно. Природно, зростання популярності цього явища підвищує ризики не тільки для звичайних користувачів, але і для бізнесу.

Використання хакерами соціальної інженерії, як правило, включає в себе елементи психологічної маніпуляції. Грубо кажучи, користувачів просто спритно дурять, і ті безтурботно відкривають кіберзлочинцям доступ до конфіденційної або важливої інформації. Найчастіше мова йде про електронні листи – в них зловмисники грають на почутті тривоги та страху, розігруючи драму з якоюсь терміновою потребою. В результаті жертва, яка втрачає на тлі емоцій раціональні побоювання, клацає по шкідливих посиланнях або відкриває шкідниковмісний файл. "Фішка" соціальної інженерії в тому, що вона грає на почуттях, а не вразливості цифрових систем, через що підприємствам і їх IT-службам часто складно їй протистояти.

Незважаючи на гадану простоту і невинність такого обману, саме соцінженерію вважають однією з найбільших загроз для великих цифрових систем. Відомий світовий виробник рішень щодо забезпечення інформаційної безпеки компанія Proofpoint у своєму дослідженні Human Factor 2016 називає її "напрямком інфікування номер один". "Практично чотири з п'яти успішних атак на банки за останні три роки почалися саме з застосування методів соціальної інженерії. В одному з останніх звітів телеком-гіганта Verizon відзначається, що кожен четвертий співробітник відкриває листи, в яких використовується технологія соціальної інженерії", – говорить IT-підприємець Олександр Кардаков.

Спіймати на гачок

Знайомий більшості термін з області соціальної інженерії – так званий "фішинг", від англійського "ловля риби". Як рибалка витягує з води карася, так і хакер витягує з користувача необхідні йому дані. За даними Data Insider, близько 91% витоків даних у мережі починається саме з фішингу.

Як правило, для цього використовуються електронні листи, що вводять користувачів в оману і підштовхують їх виконати потрібну кіберзлочинцеві операцію. Наприклад, клікнути на посилання, повідомити номер карти або пароль по телефону. Наприклад, мова може йти про нібито виклик до суду, повідомлення з податкової або невинноий акт виконаних робіт.

Хакер для цього "закидає невід", поширюючи "фішингову" наживку серед користувачів компанії. Наприклад, на сайті фірми знаходить приклад електронних адрес співробітників. Опісля створює і реєструє сайт, візуально схожий на справжній, умовно gooogle.com. На цьому фішинговому сайті зловмисник розміщує фіктивну пошту з інтерфейсом корпоративної. "Потім хакери розсилають на адресми співробітників компанії лист із проханням "перевірити нову поштову систему". Найцікавіше, що в багатьох випадках користувачі активно сприяють зловмисникам, думаючи, що вони спілкуються з підтримкою. Один або кілька співробітників, як правило, досить безтурботні – і вводять свій логін/пароль на обманному сайті. Так зловмисник отримує доступ до системи. Більше того, від імені "поштової служби" хакер може попросити "встановити патчі" – нібито поновлення програми, під якими ховається шкідливий код", – розповідає архітектор систем інформаційної безпеки компанії "ІТ-Інтегратор" Олексій Швачка.

Вам може здатися, що досить попросити колег бути більш уважними – і фішинг не пройде. Але це зовсім не так. "Статистика показує, що навіть для компаній, де проводиться навчання основ інформаційної безпеки, ефективність примітивного масового фішингу, хоча б трохи адаптованого під організацію, становить колосальні 5-7%", – пояснює Олексій Швачка.

Адже кіберзлочинці можуть бути і набагато хитрішими, а також винахідливішими. Є більш складний вид фішингу – цільової або таргінг. "У цьому випадку в якості об'єкта атаки вибирають цілком конкретну людини. Як правило, ту, якій за службовим обов'язком доводиться працювати з листами від невідомих зовнішніх відправників. Це може бути, наприклад, головний бухгалтер, менеджер із закупівель або кадровик. Служби з цифрової безпеки повинні бути постійно напоготові і розуміти, що комп'ютери таких людей завжди перебувають у зоні особливого ризику", – вважає Олександр Кардаков.

Звіт Федерального бюро розслідувань США, опублікований у травні 2017 року, каже, що американський бізнес щорічно втрачає від фішингових схем півмільярда доларів.

Спритність рук і маніпуляцій

Але зловісний потенціал соціальної інженерії не вичерпується фішингом. Використання людських слабкостей для отримання доступу до цифрових секретів компанії організовують і за допомогою хитрих схем, які можуть нагадувати фільми на зразок "11 друзів Оушена".

Один із головних трюків – "поводитися, немов ти свій". "Люди взагалі сприйнятливі до обману. Найпростіший спосіб злому – використовувати людські слабкості", – говорить підприємець у сфері цифрової безпеки, партнер у фірмі BPM Девід Трепп. "Невеликий відсоток будь-якого колективу завжди виявиться потенційною жертвою злому через соціальну інженерію", – додає він.

Ось лише кілька типових сценаріїв.

Наприклад, "Прийом на роботу". Його використовують зазвичай проти компаній великого бізнесу, у яких є великий штат і/або висока плинність кадрів, наприклад, call-центрів оператора зв'язку або банків. Здобувач приходить на співбесіду, "випадково забувши" резюме. Відразу згадує, що воно у нього на флешці. Документ друкується з флешки, а комп'ютер, з якого йде друк, у цей час заражається. Потім карту пам'яті (і кілька інших, інфікованих так само) в офісі або в курилці "випадково" втрачають. Експерименти показують майже 100% результативності.

Іноді використовується сценарій "Ви отримали подарунок!". Він часто використовується в невеликих компаніях. Співробітників небагато, тому хакери діють адресно. Зловмисникам допомагають соцмережі. В одному з тестів об'єктом атаки вибрали молоду незаміжню дівчину. У робочий час їй в офіс "від невідомого шанувальника" доставили красивий букет і подарункову коробочку з флешкою. Само собою, робочий комп'ютер був успішно заражений.

Як захиститися від трюків соціальної інженерії

Ніколи не відкривайте вкладення від сторонніх людей, нагадує в свою чергу Трепп. Завантажуйте їх тільки від співробітників, з якими попередньо обговорювалося пересилання файлу. Якщо є сумніви, краще перевірити, скачавши файл на особистий телефон, радить він, а на підозрілі лінки варто навести мишку і подивитися, на який URL вони ведуть.

Роботодавцям необхідно регулярно проводити для колективу лікнеп у сфері інформаційної безпеки. Навіть найсучасніші способи інформаційного захисту можуть бути обійдені, якщо люди користуються ними безтурботно. Крім того, ІТ-фахівці повинні пам'ятати, що багато людей необізнані в тонкощах користування цифровими мережами. А хороша програма навчання користувачів може допомогти компанії зберегти мільйони.

"Обізнаний – значить озброєний. Саме обізнаність грає провідну роль у компенсації таких сторін людської натури, як необережність і безтурботність", – підкреслює Швачка.

В інтернеті кіберслужби провідних держав регулярно відстежують фішингові сайти. Однак такі майданчики живуть дуже недовго – за інформацією Webroot, близько 4-8 годин, – що робить їхнє виявлення і блокування вкрай складним. Крім того, ці ресурси зазвичай створені так, щоб уникати антифішингових сканувань. "Сьогодні фішинг дуже витончений, хакери маскують шкідливі посилання, користуючись знанням психології та інформації від "розвідки" компаній – і в підсумку на них клікають", – пояснює CTO Webroot Хел Лоунес.

Тому головний захист від соціальної інженерії та фішингу – це знання і постійне їх оновлення. Вони можуть значно зменшити ризики. Причому мова йде про всі рівні ієрархії – від глав компаній до рядових співробітників. Базовий "тренінг" повинен звернути увагу людей на питання безпеки і донести всю серйозність загроз до колективу. ІТ-відділи також повинні регулярно освіжати знання колег про нинішні ризики і методи захисту. Робота з підвищення грамотності в кіберсфері повинна тривати постійно.

Пам'ятка для користувача

Ось лише кілька корисних порад для користувачів, які допоможуть запобігти хитрому нападу.

• Не використовуйте занадто прості паролі (ім'я, прізвище, дату народження та інше).
• Чи не зберігайте паролі в текстовому файлі на робочому столі.
• Ніколи не ставте однакові паролі на всі сайти, сервіси тощо.
• Перед авторизацією на сайті дивіться на адресу в рядку браузера. це найпоширеніша помилка всіх користувачів: адреса може відрізнятися в одній букві, і призначатися для викрадення ваших даних. Саме так часто і "викрадають" паролі від облікових записів у соціальних мережах. Часто "підробляють" посилання на Google і Dropbox.
• Якщо до вас на пошту або в якийсь месенджер (або навіть в смс) прийшло повідомлення від невідомого відправника, краще не відкривайте його, адже там можуть бути шкідливі вкладення, переадресація на фішинговий або заражений сайт.
• Негайно припиняйте розмову зі "співробітником банку" ( "страховим агентом", "представником благодійного фонду" та іншими) якщо вони починають "уточнювати" дані ваших банківських карт або іншу важливу інформацію.

Ці поради, само собою, не вичерпні. Проте, знання навіть таких простих правил може допомогти убезпечити себе від більшості популярних шахрайських схем.