Журнал "Системы Безопасности" № 4‘2023

В Ц Е Н Т Р Е В Н И М А Н И Я 113 С оциальная инженерия (СИ) – это совокуп- ность действий, которые вынуждают чело- века добровольно совершить поступок, который может отвечать, а может и не отвечать его инте- ресам. Она, правда под другими названиями, существовала с незапамятных времен. Это и троянский конь, придуманный Одиссеем, и различные финансовые аферы типа сбора средств на строительство Панамского канала, и 90 способов сравнительно честного отъема денег Остапа Бендера, и МММ, и "Властилина" с "Тибетом", и многое другое. Кто они – социальные инженеры? Для начала расшифрую термины: * Претекстинг. Злоумышленник использует предлог, чтобы привлечь внимание жертвы и заставить ее сообщить информацию. Напри- мер, во время безобидного, казалось бы, интернет-опроса у вас могут попросить данные вашего банковского счета. l Фишинг. При фишинговой атаке вы получаете письмо или сообщение от кажущегося надеж- ным источника с просьбой предоставить информацию. Целевой фишинг – это отправ- ка письма определенному сотруднику якобы от высшего руководства компании, запраши- вающего конфиденциальные сведения. l Вишинг и смишинг. Это две разновидности фишинга. Первая подразумевает голосовой фишинг, то есть телефонное мошенничество. Злоумышленник может притвориться сослу- живцем, например сотрудником ИТ-отдела, которому нужны ваши учетные данные. Вто- рая – попытка получения данных с помощью СМС-сообщений. Схемы мошенничества Поговорим подробнее о преступниках, исполь- зующих методы социальной инженерии. В последнее время этот вид мошенничества приобрел немалый размах. По оценке СберБан- ка, население России в 2021 г. оказалось в лидерах по воздействию телефонного мошен- ничества, ситуация приобрела характер нацио- нального бедствия. Кибермошенники совер- шают около 100 тыс. звонков в день. Девять из десяти владельцев мобильных телефонов стал- кивались с мошенниками, а каждый десятый звонок российскому абоненту поступает от пре- ступников. Ущерб от действий мошенников составил 45 млрд руб. Суть атаки методами социальной инженерии состоит в том, чтобы подавить аналитические возможности человека и воздействовать на эмоциональную и рефлекторную сферу мозга. Дело в том, что человеческий мозг работает в разных режимах, генерируя импульсы с раз- ной частотой (табл. 2). Таким образом, для управления поступками жертвы необходимо выбить его мозг из режима "гамма" в режим "альфа", а лучше "тета" (хотя для социальной инженерии достаточно и альфа-режима, тета чаще используют в рели- гиозных сектах). Часто жертва получает какую- то пугающую информацию, касающуюся лич- ной жизни или служебной деятельности. Для этого используют следующие способы: l Смишинг (Smishing, СМС-фишинг). Здесь задействуются мобильные устройства. Жертва получает сообщение якобы с номера банка. В нем обычно содержится некоторая пугаю- щая информация, а затем предлагается реше- ние проблемы. Классический пример: с лице- вого счета жертвы будто бы выполнено неце- левое списание средств, поэтому клиенту предлагается кликнуть по ссылке на сайт банка (разумеется, поддельный) или позво- нить по указанному номеру телефона (тоже мошенников). l "Китобойный" фишинг (Whale Phishing). Это фишинговая атака, направленная на топ- менеджера крупной фирмы, поскольку жерт- ва оценивается высоко, а полученная инфор- мация будет более ценной, чем та, которую могут дать обычные сотрудники компаний. А так как жертвами выбираются высокопо- ставленные люди, мошенники и действуют соответственно: например, присылают письма юридического характера или предлагают обсудить серьезные финансовые вопросы. l Клон-фишинг (Clone Phishing). Мошенники копируют форму корпоративного электронно- го письма, создавая почти идентичный обра- зец, вот только такое письмо отправляется не с настоящего, а с поддельного адреса. Само письмо выглядит как и те, что пользователь уже получал от этой организации, но ссылки в письме заменяются на вредоносные. Факти- чески такие письма преследуют единственную цель: "социальные хакеры" пытаются заста- вить сотрудника раскрыть личную или финан- совую информацию путем нажатия на ссылку в письме, после чего пользователь перена- правляется на внешне похожий поддельный сайт, предназначенный для кражи личной информации. l Scareware ("пугалка"). Этот метод заключается в том, что жертву пугают, заставляя думать, что ее компьютер заражен вредоносным ПО или же имеет случайно загруженный нелегальный контент. Когда мошенник понимает, что жерт- ва созрела, он предлагает решение этой фик- тивной проблемы. Но на самом деле эта про- грамма антивируса представляет собой вре- доносное ПО, целью которого является хище- ние личной информации пользователя. Цель разработчиков "пугалок" – вызывать страх у пользователя и подтолкнуть его к установке поддельного антивирусного ПО. l "Услуга за услугу"(от лат. quid pro quo). Если в составе мошеннической группы нет квали- фицированного хакера, можно поступить иначе. Сначала преступники проводят пред- варительное исследование целей, потом зло- умышленник делает вид, что оказывает жерт- ве важную услугу. Например, мошенник нахо- дит сотрудника с высокими привилегиями доступа к сети и звонит ему по телефону, представляясь работником службы техниче- ской поддержки компании. При удачных переговорах жертва соглашается оказать содействие в решении якобы выявленных проблем, затем киберпреступник начинает управлять жертвой, шантажом заставляя ее выполнять нужные социальному инженеру действия. Это в итоге приводит к запуску вре- доносного ПО в систему или к краже данных. l Honey Trap ("медовая ловушка"). Этому спосо- бу уже много лет. Отчасти он похож на работу брачного афериста, только цель другая. Если первому нужны материальные ценности жертвы, то мошеннику нужна информация. Для этого обаятельный преступник знакомит- ся с женщиной, занимающей нужный пост в атакуемой компании. Постепенно между www.secuteck.ru август – сентябрь 2023 Валентин Пашинцев Независимый эксперт Таблица 1. Категории преступников Социальная инженерия "Пока живут на свете дураки, обманом жить нам все-таки с руки" – в этой песне лисы Алисы из фильма "Приключения Буратино" изложена суть методов социальной инже- нерии. Атаки социальных инженеров даже опаснее хакерских атак, поскольку они направлены на самую уязвимую часть систем безопасности, ту, что автомобилисты называют прокладкой между рулем и водительским сидением, – на человека № Название Способы Цели 1. Мошенники Фишинг Вишинг Претекстинг Обман с целью завладения имуществом жертвы 2. Социальные инженеры Обратная социальная инженерия Проникновение на объекты и получение закрытой информации