ТОП 5 самых популярных методов социальной инженерии и методы защиты от них

18.05.2020

Социальная инженерия - это попытка атакующего путем обмана или манипуляций заставить человека предоставить доступ или передать учетные данные, банковские реквизиты и другую конфиденциальную информацию.

Социальная инженерия происходит в три этапа:

  1. Исследование - злоумышленник проводит разведку, чтобы собрать информацию, такую как структура организации, роли, поведение и триггеры реакций отдельных лиц. Злоумышленники могут собирать данные через веб-сайты компании, профили в социальных сетях и даже личные посещения.
  2. Планирование - используя собранную информацию, злоумышленник выбирает способ атаки, разрабатывает стратегию и конкретные сообщения, которые будут использоваться для эксплуатации слабых сторон целевых атакуемых лиц.
  3. Реализация - злоумышленник выполняет атаку, как правило, отправляя сообщения по электронной почте или другому онлайн-каналу. В некоторых формах социальной инженерии злоумышленники активно взаимодействуют со своими жертвами; в других цепочка реализации автоматизирована и активируется, когда пользователь нажимает на ссылку, ведущую на вредоносный веб-сайт или запускающую вредоносный код.

Топ 5 методов социальной инженерии

Согласно данным института InfoSec, следующие пять методов являются одними из наиболее часто используемых атак социальной инженерии.

1.Фишинг (Phishing)

При фишинговой атаке злоумышленник использует сообщение, отправленное по электронной почте, в социальных сетях, клиенте для обмена мгновенными сообщениями или SMS, чтобы получить конфиденциальную информацию от жертвы или обманным путем заставить ее щелкнуть ссылку, ведущую на вредоносный веб-сайт.

Фишинговые сообщения привлекают внимание жертвы и призывают к действию, вызывая любопытство, прося о помощи или вызывая другие эмоциональные спусковые механизмы. Они часто используют логотипы, изображения или стили текста, чтобы подделать личность, создавая впечатление, что сообщение исходит от коллеги по работе, банка жертвы или другого официального канала.

 В большинстве фишинговых сообщений используется фактор срочности, заставляющий жертву полагать, что будут негативные последствия, если они не передадут конфиденциальную информацию быстро.

2. Водопой (Watering hole)

Атака "водопой" включает в себя запуск или загрузку вредоносного кода с легитимного веб-сайта, который обычно посещают цели атаки. Например, злоумышленники могут скомпрометировать новостной сайт финансовой индустрии, зная, что люди, которые работают в сфере финансов и, таким образом, представляют привлекательную цель, могут посетить этот сайт. Взломанный сайт, как правило, устанавливает троян-бэкдор, который позволяет злоумышленнику взломать и дистанционно управлять устройством жертвы.

Атаки водопоя обычно выполняются опытными злоумышленниками, обнаружившими эксплойт нулевого дня. Они могут подождать несколько месяцев, прежде чем приступить к реальной атаке, чтобы сохранить ценность обнаруженного ими эксплойта. В некоторых случаях атаки «водопоя» запускаются непосредственно против уязвимого программного обеспечения, а не веб-сайта.

3.Атака китобоя (Whaling attack)

Атака китобоя является типом фишинговой атаки, направленной на конкретных пользователей с привилегированным доступом к системам или доступом к очень ценной конфиденциальной информации. Например, китобойная атака может быть проведена против старших руководителей, состоятельных людей или сетевых администраторов.

Китобойная атака более сложна, чем обычная фишинговая атака. Злоумышленники проводят тщательное исследование, чтобы создать сообщение, которое заставит конкретные цели ответить и выполнить желаемое действие. Китобойные письма часто «притворяются» критически важными деловыми письмами, отправленными коллегой, сотрудником или ведущим менеджером, которые требует срочного вмешательства со стороны жертвы.

4. Предлог (Pretexting)

При атаке «под предлогом» атакующий создает поддельную личность и используют ее, чтобы манипулировать своими жертвами и предоставлять личную информацию. Например, злоумышленники могут выдать себя за внешнего поставщика ИТ-услуг и запросить данные учетной записи пользователя и пароли, чтобы помочь им в решении проблемы. Или же они могут притвориться финансовым учреждением жертвы, запрашивая подтверждение номера их банковского счета или учетных данных веб-сайта банка.

5. Атаки приманка и услуга за услугу (Baiting and quid pro quo)

В атаке приманки злоумышленники предоставляют то, что жертвы считают полезным. Это может быть предполагаемое обновление программного обеспечения, которое на самом деле представляет собой вредоносный файл, зараженный USB-токен с меткой, указывающей, что он содержит ценную информацию, и другие методы.

Атака услуга за услугу (quid pro quo) похожа на приманку, но вместо того, чтобы пообещать что-то полезное, злоумышленники обещают выполнить действие, которое принесет жертве пользу, но требует от нее действия в обмен. Например, злоумышленник может вызвать случайные добавочные номера в компании, делая вид, что перезванивает по запросу службы технической поддержки. Когда он попадает на человека, у которого действительно есть проблема, он притворятся, что оказывает помощь, но инструктирует жертву выполнять действия, которые ставят под угрозу ее машину.

Другие атаки социальной инженерии (которые могут поставить под угрозу ваши системы и конфиденциальные данные):

  • Vishing - голосовой фишинг аналогичен фишингу, но выполняется путем звонка жертвам по телефону.
  • Scareware - отображает на устройстве пользователя уведомления, заставляющие их думать, что они заражены вредоносным ПО и нуждаются в установке программного обеспечения (вредоносного ПО злоумышленника) для очистки своей системы.
  • Кража при переадресации - перенаправляет посыльного или доставщика в неправильное место и занимает их место, чтобы забрать конфиденциальную посылку.
  • Медовая ловушка - злоумышленник притворяется привлекательным человеком и фальсифицирует онлайн-отношения, чтобы получить конфиденциальную информацию от своей жертвы.
  • Задняя дверь - злоумышленник входит в защищаемый объект, следуя за кем-то, имеющим санкционированный доступ, и просит его «просто придержать дверь» чтобы он также смог войти.

Профилактика атак социальной инженерии

  • Тренинги по безопасности

Обучение осведомленности сотрудников о безопасности должно проводиться регулярно в любой компании. Сотрудники могут просто не знать об опасностях социальной инженерии, или забывать детали со временем. Проведение тренингов и постоянное обновление информации о безопасности среди сотрудников является первой линией защиты от социальной инженерии. 

  • Антивирус и средства защиты конечных точек

Основная мера - установка антивируса и других мер безопасности конечной точки на пользовательских устройствах. Современные средства защиты конечных точек могут выявлять и блокировать явные фишинговые сообщения или любые сообщения, которые ссылаются на вредоносные веб-сайты или IP-адреса, перечисленные в базах данных анализа угроз. Они также могут перехватывать и блокировать вредоносные процессы, которые выполняются на устройстве пользователя.

  • Тестирование на проникновение

Существует бесчисленное множество креативных способов проникновения в защиту организации с помощью социальной инженерии. Использование услуг этического хакера для проведения тестирования на проникновение позволяют выявлять потенциальные слабые места в вашей организации. Тест на проникновение, компрометирующий чувствительные системы, поможет вам обнаружить сотрудников, уязвимые системы, а также методы социальной инженерии, к которым вы можете быть особенно подвержены.

  • SIEM и UEBA

Атаки социальной инженерии неизбежны, поэтому вы должны убедиться, что в вашей организации есть инструменты для быстрого сбора данных об инцидентах безопасности, выявления происходящего и уведомления сотрудников службы безопасности, чтобы они могли принять меры.

Например, Exabeam Security Management Platform - это система управления событиями и информацией о безопасности нового поколения (SIEM), основанная на анализе событий и поведения пользователей (UEBA). Exabeam собирает события безопасности и журналы по всей вашей организации, использует UEBA для определения нормального поведения пользователей и оповещает вас о подозрительных действиях.

Будь то переход пользователя по необычному веб-адресу или вредоносный процесс, выполняющийся на устройстве пользователя, UEBA поможет вам идентифицировать атаки социальной инженерии по мере их возникновения и быстро отреагировать с помощью автоматических сценариев реагирования на инциденты, предотвращая негативные последствия.

Задать вопрос по решениям производителя или заказать тестирование exabeam@nwu.com.ua