ТОП 5 найпопулярніших методів соціальної інженерії і методи захисту від них

18.05.2020

Соціальна інженерія - це спроба атакуючого шляхом обману або маніпуляцій змусити людину надати доступ або передати облікові дані, банківські реквізити та іншу конфіденційну інформацію.

Соціальна інженерія відбувається в три етапи:

  1. Дослідження - зловмисник проводить розвідку, з метою збору інформації, такої як структура організації, ролі співробітників, поведінку та тригери реакцій окремих осіб. Зловмисники можуть збирати дані через веб-сайти компанії, профілі в соціальних мережах або навіть особисті відвідування.
  2. Планування - використовуючи зібрану інформацію, зловмисник вибирає спосіб атаки, розробляє стратегію і конкретні повідомлення, які будуть використовуватися для експлуатації слабких сторін цільових атакованих осіб.
  3. Реалізація - зловмисник виконує атаку, як правило, відправляючи повідомлення по електронній пошті або іншому онлайн-каналу. У деяких формах соціальної інженерії зловмисники активно взаємодіють зі своїми жертвами, в інших ланцюжок реалізації автоматизований та активується коли користувач натискає на посилання, що веде на шкідливий веб-сайт або запускає шкідливий код.

Топ 5 методів соціальної інженерії

Згідно з даними Інституту InfoSec, наступні п'ять методів є одними з найбільш часто вживаними в атаках соціальної інженерії.

1.Фішінг (Phishing)

При фішинг атаках зловмисник використовує повідомлення, відправлене по електронній пошті, в соціальних мережах, в клієнті для обміну миттєвими повідомленнями або через SMS, щоб отримати конфіденційну інформацію від жертви або обманним шляхом змусити її клацнути посилання, яке веде на шкідливий веб-сайт.

Фішингові повідомлення привертають увагу жертви і закликають до дії, викликаючи цікавість, просячи про допомогу або викликаючи інші емоційні спускові механізми. Вони часто використовують логотипи, зображення або стилі тексту, щоб підробити особистість, створюючи враження, що повідомлення надходить від колеги по роботі, банку жертви або іншого офіційного каналу.

 У більшості фішингових повідомлень використовується фактор терміновості, що змушує жертву вважати, що відбудуться негативні наслідки, якщо вони не передадуть конфіденційну інформацію швидко.

2. Водопій (Watering hole)

Атака "водопою" включає в себе запуск або завантаження шкідливого коду з легітимного веб-сайту, який зазвичай відвідуює цільова особа атаки. Наприклад, зловмисники можуть скомпрометувати новинний сайт фінансової індустрії, знаючи, що люди, які працюють в сфері фінансів, можуть відвідати цей сайт. Зламаний сайт, як правило, встановлює троян-бекдор, який дозволяє зловмисникові отримати доступ і дистанційно управляти пристроєм жертви.

Атаки водопою зазвичай виконуються досвідченими зловмисниками, які виявили експлойт нульового дня. Вони можуть почекати кілька місяців, перш ніж приступити до реальної атаки, щоб зберегти цінність виявленого ними експлойта. У деяких випадках атаки водопою запускаються безпосередньо проти уразливого програмного забезпечення, а не веб-сайту. 

3.Атака китобія (Whaling attack)

Атака китобія є типом фішинговою атаки, спрямованої на конкретних користувачів з привілейованим доступом до систем або доступом до дуже цінної конфіденційної інформації. Наприклад, китобійна атака може бути проведена проти старших керівників, заможних людей або мережевих адміністраторів.

Китобійна атака складніша, ніж звичайна фішингова атака. Зловмисники проводять ретельне дослідження, щоб створити повідомлення, яке змусить конкретні цілі відповісти і виконати бажану дію. Китобійні листи часто «прикидаються» критично важливими діловими листами, відправленими колегою, співробітником або провідним менеджером, які вимагає термінового втручання з боку жертви.

4. Під приводом (Pretexting)

При атаках «під приводом» атакуючий створює підроблену особистість і використовуює її, щоб маніпулювати своїми жертвами та надавати особисту інформацію. Наприклад, зловмисники можуть видати себе за зовнішнього постачальника ІТ-послуг та запросити дані облікового запису користувача і паролі, щоб допомогти їм у вирішенні проблеми. Або ж вони можуть прикинутися фінансовою установою жертви, просячи підтвердження номера їх банківського рахунку або облікових даних веб-сайту банку.

5. Атаки приманка і послуга за послугу (Baiting and quid pro quo)

В атаці приманки зловмисники пропонують те, що жертви вважають корисним. Це може бути передбачуване оновлення програмного забезпечення, яке насправді являє собою шкідливий файл, заражений USB-токен з міткою, яка вказує, що він містить цінну інформацію, та інші методи.

Атака послуга за послугу (quid pro quo) схожа на приманку, але замість того, щоб пообіцяти щось корисне, зловмисники обіцяють виконати дію, яка принесе жертві користь, але вимагає від неї дії в обмін. Наприклад, зловмисник може викликати випадкові додаткові номери в компанії, роблячи вигляд, що передзвонює за запитом служби технічної підтримки. Коли він потрапляє на людину, у якої дійсно є технічна проблема, то прикидатися, що надає допомогу, але інструктує жертву виконувати дії, які ставлять під загрозу її машину.

Інші види атак соціальної інженерії (які можуть поставити під загрозу ваші системи і конфіденційні дані):

  • Vishing - голосовий фішинг аналогічний фішингу, але виконується шляхом дзвінка жертвам по телефону.
  • Scareware - відображає на пристрої користувача повідомлення, що змушують їх думати, що вони заражені шкідливим ПО і потребують встановлення програмного забезпечення (шкідливого ПО зловмисника) для очищення своєї системи.
  • Крадіжка при переадресації - перенаправляє посильного або доставщика в неправильне місце і займає їх місце, щоб забрати конфіденційну посилку.
  • Медова пастка - зловмисник прикидається привабливим людиною і фальсифікує онлайн-стосунки, щоб отримати конфіденційну інформацію від своєї жертви.
  • Задні двері - зловмисник входить в об'єкт, що захищається, слідуючи за кимось, що має санкціонований доступ, і просить його «просто притримати двері» щоб він також зміг увійти.

Профілактика атак соціальної інженерії

Наступні заходи можуть допомогти запобігти і попередити атаки соціальної інженерії на вашу організацію.

  • Тренінги з безпеки

Навчання обізнаності співробітників про безпеку повинно проводитися регулярно в будь-якій компанії. Співробітники можуть просто не знати про небезпеки соціальної інженерії, або забувати деталі згодом. Проведення тренінгів і постійне оновлення інформації про безпеку серед співробітників є першою лінією захисту від атак соціальної інженерії.

  • Антивірус і засоби захисту кінцевих точок

Основна міра - установка антивіруса і інших інструментів безпеки кінцевої точки на призначених для користувача пристроях. Сучасні засоби захисту кінцевих точок можуть виявляти і блокувати явні фішингові повідомлення або будь-які повідомлення, які посилаються на шкідливі веб-сайти або IP-адреси, перераховані в базах даних аналізу загроз. Вони також можуть перехоплювати і блокувати шкідливі процеси, які виконуються на пристрої користувача.

  • Тестування на проникнення

Існує безліч креативних способів проникнення через захист організації за допомогою соціальної інженерії. Використання послуг етичного хакера для проведення тестування на проникнення дозволяють виявляти потенційні слабкі місця у вашій організації. Тест на проникнення, що компрометує чутливі системи, допоможе вам виявити співробітників, вразливі системи, а також методи соціальної інженерії, до яких ви можете бути особливо схильні.

  • SIEM та UEBA

Атаки соціальної інженерії неминучі, тому ви повинні переконатися, що у вашій організації є інструменти для швидкого збору даних про інциденти безпеки, виявлення подій, що відбуваються і повідомлення співробітників служби безпеки, щоб вони могли вжити заходів.

Наприклад, Exabeam Security Management Platform - це система управління подіями та інформацією про безпеку нового покоління (SIEM), заснована на аналізі подій і поведінки користувачів (UEBA).

Exabeam збирає події безпеки і журнали по всій вашій організації, використовує UEBA для визначення нормальної поведінки користувачів та оповіщає вас про підозрілі дії. Будь то перехід користувача за незвичною веб-адресою або шкідливий процес, що виконується на пристрої користувача, UEBA допоможе вам ідентифікувати атаки соціальної інженерії і швидко відреагувати за допомогою автоматичних сценаріїв реагування на інциденти, запобігаючи негативним наслідкам.

Отримати більш детальну інформацію або замовити тестування exabeam@nwu.com.ua