Журнал "Information Security/ Информационная безопасность" #6, 2018

Фишинг – техника соци- альной инженерии, когда злоумышленник пытается воздействовать на человека с помощью электронных писем. 1 Социальная инже- нерия – приемы, методы и технологии создания условий и о б с то ят е л ь с тв , которые, используя знания о социологии и психологии челове- ка, максимально эффективно приво- дят к конкретному н е о б х о д и м о м у результату. За последнее время в России с помощью социальной инженерии, а в частности фишинга, были взломаны два банка и похищены более 60 млн руб. ПИР-банк: "Вирус, которым ата- кован банк, не подлежит иденти- фикации имеющимися сейчас средствами, что было подтвер- ждено сотрудниками ФинЦЕРТ, с наибольшей вероятностью вирус проник в банк через фишинговое письмо". Банк был вынужден 4 и 5 июля прекратить работу, поскольку "скомпрометированы ключи" (злоумышленники факти- чески получили полный доступ к автоматизированному рабочему месту клиента Банка России, АРМ КБР, и могли выводить деньги с корсчета банка в ЦБ). Другой источник, "Коммер- сантЪ", уточнил, что с его корсче- та в ЦБ в ночь на 4 июля зло- умышленники вывели, по самым скромным подсчетам, более 58 млн руб. Денежные средства выводились веерной рассылкой на пластиковые карты физиче- ских лиц в 22 банках из топ-50, большая часть денежных обна- личена уже в ночь хищения в различных регионах России. Банк жилищного финансиро- вания (БЖФ): "Как стало известно "Ъ", в сентябре хакеры из группи- ровки "Кобальт" вывели из БЖФ около $100 тыс. через шлюзы платежных систем. При том, что вывода денежных средств через шлюзы платежных систем не было уже несколько лет." Вредонос попал в банк с помо- щью фишингового письма, кото- рое было отправлено якобы от имени Альфа-банка. В письме банк хотел урегулировать вопрос с мошенническими транзакциями, которые якобы шли из БЖФ. Атака с почты, названием схожей с адресом известной организа- ции, – крайне распространенный хакерский прием, рассчитанный на невнимательность. В данном случае, по словам знакомых с ситуацией источников "Ъ", злоумышленники взломали АБС (автоматизированную бан- ковскую систему), увеличили уста- новленные лимиты на перевод денежных средств и через шлюзы платежных систем вывели деньги на банковские карточки, затем обналичив их. "О фишинговой рассылке, с помощью которой злоумышлен- ники проникли в банк, ФинЦЕРТ (подразделение ЦБ по информбе- зопасности) сообщал в своем бюл- летене от 16 августа. В нем гово- рилось, что эксплуатируется одна из уязвимостей Microsoft, и были даны рекомендации по ее устра- нению". – (По информации "Ъ".). Так как вся атака направлена на человека, то и улучшать "защи- ту" надо у человека. Есть несколь- ко способов это сделать: l использовать антифишинго- вый софт; l осуществлять постоянный аудит ваших сотрудников на восприимчивость к социальной инженерии. У первого способа есть суще- ственный минус, так как он работает на основе собранной информации (баз писем, адреса Web-сайтов и т.д.), и если ваша организация является целью хакера, то в этом случае он не поможет, так как его легко обойти, используя что-то новое (новые письма, сайт и т.д.). Вто- рой способ – на данный момент это самый эффективный метод обезопасить себя, но также не стоить игнорировать и первый. Повышение защиты через аудит сотрудников Как можно повышать уровень защиты компании, используя вто- рой способ? Как правило, это привлечение сторонних специа- листов по социальной инженерии и использование необходимого софта для проведения тестов. Рассмотрим это все на примере фишинга. Фишинг – техника социальной инженерии, когда злоумышленник пытается воз- действовать на человека с помо- щью электронных писем. Для проведения профилактики и в целом, чтобы увидеть, как сотруд- ники могут и будут реагировать на фишинговые письма, мы используем так называемый фишинговый симулятор. Суть этого симулятора в том, что мы получаем систему, которая содер- жит разные проверенные шаб- лоны фишинговых писем, рас- сылает их по заданному списку контактов и выводит статистику. Рассмотрим сначала несколько фишинг-симуляторов, которые нам могут помочь определить слабые стороны сотрудников: 1. PhishInsight. Предоставляет вам уже множество разных гото- вых шаблонов для моделирова- ния атаки на сотрудников. После проведения тестов сервис пред- ложит обучение для ваших сотрудников. Единственный минус этого симулятора – то, что все шаблоны на английском языке, не адапти- рованы под Россию, поэтому вам самим придется редактировать тексты и придумывать сценарии атак. 2. StopPhish. Это уже россий- ский аналог для симуляции фишинговой атаки на человека. Также содержит шаблоны писем для тестов, которые уже больше подходят для наших реалий. Вывод отчета у обоих сервисов одинаковый. Нам важны те, кто перешел по ссылке из письма, и те, кто ввел какие-либо данные на фишинговой странице. Вот с этими сотрудниками нам в пер- вую очередь и придется работать. Это может быть совершенно любой сотрудник, так как стати- стика показывает, что более 54% сотрудников не могут распознать фишинговые письма. Конечно, бывает процент и значительно больше. Но что делать с сотрудниками, которые попались во время теста? Если это была проверка на переход по ссылкам или открытие вложения, то сотрудни- ков нужно обучить, чтобы они 10 • СПЕЦПРОЕКТ Защита от социальной инженерии ногие специалисты по ИБ, и не только в России, считают самой большой угрозой информационной безопасности как для крупных компаний, так и для обычных пользователей все более совершен- ствующиеся методы социальной инженерии 1 , которые используются для обхода существующих средств защиты. О том, как не допу- стить подобного в своей компании, вы узнаете в данном материале. Дмитрий Светиков, эксперт по социальной инженерии проекта StopPhish М