Зламайте свої мізки перш, ніж це зробить хакер

07.03.2024

Практичне навчання персоналу як ключовий елемент захисту від соціальних атак 

У світі інформаційної безпеки (ІБ) однією з найбільш схильних до атак і складних для захисту галузей є людський фактор. Соціальна інженерія, методологія, спрямована на маніпуляцію людьми з метою виконання ними певних дій, за всіх часів була й залишається одним із найефективніших інструментів для злочинців.

Яскравий приклад успішної соціальної інженерії (соціального інжинірингу), хоч і не з комп’ютерної сфери, можна знайти у фільмі “Спіймай мене, якщо зможеш”, який заснований на реальних подіях. Це історія легендарного шахрая Френка Вільяма Абігнейла-молодшого, який за п’ять років зміг обвести навколо пальця владу 26 країн світу. Абігнейл проявив дивовижні здібності перевтілення, видаючи себе за пілота авіаліній, професора соціології, лікаря й адвоката. Це підкреслює, наскільки небезпечним і тонким може бути мистецтво соціальної інженерії.

Розглядаючи приклади комп’ютерної соціальної інженерії, насамперед слід згадати Кевіна Митника, одного з найвідоміших хакерів в історії, який використовував соціальну інженерію як ключовий інструмент для злому мереж і систем. Він майстерно обманював співробітників компаній телефоном, видаючи себе за їхнього співробітника, щоб отримувати паролі та доступ до конфіденційної інформації. Митник не тільки зламував системи, а й детально вивчав соціальні аспекти безпеки, що давало йому змогу обходити технічні захисти, використовуючи людський фактор.

Одна з найвідоміших схем фішингу — це листи від “нігерійського принца”, в яких зловмисники, представляючись членами королівської сім’ї або урядовими чиновниками, обіцяють великі суми грошей в обмін на надання своїх банківських даних або надсилання невеликої суми грошей для покриття “витрат на транзакцію”. Хоча сьогодні ця схема широко відома, багато варіацій продовжують успішно обдурювати людей по всьому світу.

У 2011 році компанія RSA Security стала жертвою складної атаки соціальної інженерії, коли зловмисники надіслали співробітникам фішингові електронні листи з вкладенням, що містило шкідливий код. Один зі співробітників відкрив вкладення, що дало змогу хакерам установити бекдор у мережі компанії та зрештою отримати доступ до інформації про технологію безпеки RSA, яку використовують для захисту безліч державних і корпоративних мереж.

У липні 2020 року сталася великомасштабна атака на Twitter, унаслідок якої було зламано акаунти зірок, політиків і великих компаній. Зловмисники використовували соціальну інженерію для отримання доступу до внутрішніх інструментів і систем управління Twitter, обдуривши співробітників компанії. Потім вони опублікували повідомлення з проханням відправити біткойни на зазначену адресу, обіцяючи подвоїти відправлені кошти. Цей інцидент підкреслив значення соціальної інженерії в сучасних кібератаках.

У цьому контексті стають критично важливими ефективні заходи захисту, які не тільки запобігають атакам, а й активно протидіють їм.

У цій статті ми розглянемо значущість симуляції соціальної інженерії як складової частини загальної стратегії забезпечення інформаційної безпеки. Визначимо, які переваги симуляція соціальної інженерії приносить компаніям, і які кроки компанії можуть зробити для ефективного використання цього інструменту. Почнемо з визначення соціальної інженерії в контексті кібербезпеки.

Що таке соціальна інженерія

Нині із соціальною інженерією стикаються практично всі сфери діяльності, в яких присутній людський фактор. З огляду на широке застосування визначення соціальної інженерії трактується по-різному залежно від контексту. 

У контексті кібербезпеки соціальна інженерія – це метод маніпуляції та обману з метою отримання конфіденційної інформації або виконання певних дій, які можуть призвести до компрометації інформаційної системи або порушення безпеки даних. На відміну від технічних методів атак, які використовують уразливості в програмному й апаратному забезпеченні, соціальна інженерія спрямована на вразливості в людському факторі. Що мається на увазі під цими вразливостями?

Стандарт інформаційної безпеки OSSTMM (Open Source Security Testing Methodology Manual), запроваджений у 2001 році, акцентував важливість довіри як фундаментального аспекту в забезпеченні інформаційної безпеки. Цей підхід підкреслював, що взаємна довіра між користувачами та системами є ключовою для захисту інформації. Однак, версія стандарту 2007 року представила радикальну зміну в цій концепції, заявивши, що “довіра – це вразливість”. У контексті соціальної інженерії це твердження підкреслює, що зловмисники можуть експлуатувати довіру як слабку ланку в захисті інформації, використовуючи маніпуляції та обман для обходу технічних і процедурних бар’єрів безпеки.

Соціальна інженерія може виражатися у вигляді фішингових атак електронною поштою, спілкування в соціальних мережах, дзвінків із проханнями надання доступу до систем або навіть фізичного доступу до приміщень під різними приводами. Подібні атаки можуть бути вельми складними для виявлення і становлять серйозну загрозу для будь-якої компанії, незалежно від її розміру та галузі.

Про що свідчить статистика інцидентів соціальної інженерії

Проаналізувавши 2023 рік, ми можемо стверджувати, що соціальна інженерія в усіх її проявах посіла центральне місце, ставши ключовою проблемою в забезпеченні безпеки інформації та в захисті від кіберзагроз. У цей період стався суттєвий переворот: те, що раніше вважалося другорядною проблемою безпеки, тепер стало основною кіберзагрозою. 

Спостереження показують низку ключових моментів у соціальній інженерії минулого року.

Соціальна інженерія загалом. 98% кібератак засновані на соціальній інженерії. У 2023 році соціальна інженерія стала основним методом атаки для зловмисників. Спостерігалося драматичне збільшення тактик соціальної інженерії, включно з фішинговими сайтами (54%), електронними листами (27%), шахрайськими схемами в соціальних мережах (19%) і месенджерами (16%). Загальна кількість інцидентів, пов’язаних із соціальною інженерією, які відбулися в третьому кварталі 2023 року, досягла найвищого рівня.

Пріоритети зловмисників. Соціальна інженерія залишається головною загрозою для приватних осіб та одним з основних векторів атак на організації. Бізнес-сектор у сфері професійних послуг і державні установи продовжують залишатися основною метою для корпоративної соціальної інженерії. Водночас, часто шахраї застосовують тактику надсилання електронних повідомлень, які мають вигляд офіційних листів від державних організацій, банків або інших компаній для обману своїх жертв.

Еволюція методів. У 2023 році зловмисники стали частіше застосовувати нові методи, як-от фішинг через Microsoft Teams і використання PDF-файлів для прихованого фішингу. Крім цього, на початку 2023 року компанія Darktrace оголосила про збільшення на 135% кількості шкідливих розсилок електронною поштою , які вирізняються значними лінгвістичними відхиленнями в синтаксисі, семантиці, граматиці та структурі речень. Такий розвиток відповідає широкому поширенню інструментів, таких як ChatGPT, що, ймовірно, свідчить про зростаючий потенціал генеративного штучного інтелекту у створенні більш витончених і переконливих фішингових атак.

Підробка брендів. Check Point Research опублікувала список найпопулярніших брендів для фішингових афер у другому кварталі 2023 року. Список топ-брендів, ранжованих за загальною кількістю спроб фішингу, очолюють Microsoft (29%), Google (19,5%), Apple (5,2%), Wells Fargo (4,2%), Amazon (4%) та інші. По-перше, різке зростання фішингових атак, націлених на імітацію відомих брендів, таких як Microsoft, Google та Apple, підкреслює, як зловмисники використовують довіру користувачів до цих компаній для крадіжки особистої інформації. По-друге, зосередження атак на технологічному секторі, банківській справі та соціальних мережах вказує на те, що хакери обирають цілі, які мають широку аудиторію та значний обсяг чутливих даних. Нарешті, застосування одних і тих самих методів, незважаючи на зміну цільових брендів, свідчить про високу ефективність таких тактик як фішинг.

Кіберзлочинні організації. Група K2A243 (SCATTERED SPIDER) є прикладом організації, що активно використовує методи соціальної інженерії, як-от дзвінки та SMS, а також атаки через платформу Microsoft Teams з використанням шкідливого ПЗ DarkGate. Ще одним прикладом є група розробників здирницького ПЗ BlackCat, яка отримала доступ до 80 Гб даних з Reddit у лютому 2023 року. Група зажадала виплату 4,5 мільйона доларів, а також скасувати заплановані зміни цін на API в обмін на повернення даних.

Наслідки атак. Станом на 2023 рік, успішність соціальної інженерії становить близько 90%, що робить її одним із найпоширеніших видів атак на мережеві системи. Середньорічний збиток від інциденту соціального інжинірингу в 2023 році становить близько 130 тисяч доларів США. Компанії зазвичай втрачають цю суму внаслідок крадіжки грошей або знищення даних. Коли соціальний інжиніринг веде до масового витоку даних, збиток може сягати сотень тисяч доларів, а іноді навіть мільйонів. У результаті успішних атак організації найчастіше стикаються з витоком даних (56%). Порушення основної діяльності спостерігається рідше, але залишається значущим наслідком (36%).

Що таке симуляція соціальної інженерії

Від соціальної інженерії можна захищатися технічними методами і засобами тільки частково. Засоби фільтрації електронної пошти, виявлення шкідливих вкладень і посилань, підозрілої активності в мережі та на комп’ютерах допомагають рівно до моменту, коли починають ускладнювати роботу користувачів, або коли зловмисникам вдається обійти ці засоби безпеки.

Тому важливо приділяти увагу не тільки технічнии аспектам інформаційної безпеки, а й навчанню співробітників. Вони є основною лінією оборони в запобіганні соціальним атакам і мають бути обізнані про тактики маніпуляцій і методи обману, які можуть застосовувати зловмисники. Знання методів протидії соціальній інженерії допомагають співробітникам впевнено вживати відповідних заходів. Для вирішення подібних завдань широко застосовується симуляція соціальної інженерії.

Симуляція соціальної інженерії – це розробка й застосування імітації або моделювання ситуацій, в яких використовуються тактики та методи соціальної інженерії, з метою практичного навчання, тренування та тестування в контрольованому середовищі.

Основна мета симуляції соціальної інженерії – не тільки поліпшення рівня обізнаності, а й реальної готовності персоналу до потенційних загроз, а також оцінювання готовності всієї організації до соціальних атак, виявлення слабких місць і розробка стратегії поліпшення безпеки інформації.

Симуляція соціальної інженерії, порівняно з технічними засобами та суто теоретичним навчанням, має низку переваг, відчутних як для бізнесу, так і для інших організацій усіх масштабів. Основні плюси включають в себе поліпшення навичок персоналу, покращення реакції на потенційні атаки та створення більш надійної системи захисту даних.

Розглянемо докладніше, як симуляція соціальної інженерії може принести реальну користь вашій організації.

  • Реалістичність сценаріїв атак. Сценарії атак створюються на основі реальних сучасних методів, які використовують зловмисники. Такий підхід робить тренування максимально ефективним, оскільки персонал ознайомлений із найімовірнішими сценаріями та навчений розпізнавати атаки в разі їх виникнення.
  • Виявлення вразливостей. Аналіз реакції співробітників на симульовані атаки дає змогу виявити не гіпотетичні, а реальні слабкі місця не тільки в психологічній безпеці, а й організаційній і технічній. Використовуючи ці дані, організація може вжити заходів щодо усунення вразливостей і поліпшення систем безпеки.
  • Підвищення усвідомленості та проактивності персоналу. Участь у симуляціях допомагає співробітникам краще зрозуміти методи атак та усвідомити важливість дотримання правил безпеки, що робить співробітників більш пильними та готовими до правильних дій у разі виникнення подібних ситуацій.
  • Зниження ризику інцидентів. Навчений персонал, здатний розпізнавати атаки соціальної інженерії та запобігати їм, знижує ризик витоків даних та інших кіберзагроз. Такий підхід сприяє забезпеченню конфіденційності інформації, покращенню загальної культури безпеки, зниженню прямих і непрямих втрат від інцидентів, і збереженню позитивної репутації компанії.
  • Підвищення ефективності політики безпеки. Результати симуляцій дозволяють вам оцінити ефективність поточної політики безпеки вашої компанії. Використовуючи ці дані, ви можете внести необхідні зміни та поліпшення в стратегії управління ризиками, кодекси етики та корпоративну культуру.
  • Відповідність регулятивним вимогам. Багато регуляторів вимагають від організацій демонстрацію відповідності стандартам інформаційної безпеки. Проведення симуляцій соціальної інженерії дає вам можливість не тільки забезпечити безпеку, а й продемонструвати дотримання регулятивних вимог.

Оцінювання результатів симуляції соціальної інженерії – це безперервний процес. Важливо регулярно проводити симуляції, щоб відстежувати зміни в рівні обізнаності співробітників, їхніх навичках реагування та ефективності захисних заходів.

На основі отриманих результатів необхідно коригувати програму навчання співробітників і вдосконалювати систему захисту компанії від атак соціальної інженерії.

Які компанії можуть отримати вигоду від симуляції соціальної інженерії

Розглянемо кілька типів компаній, для яких симуляція соціальної інженерії може стати особливо цінним ресурсом у забезпеченні кібербезпеки та захисті конфіденційних даних.

Тип компаніїПотенційні вигоди від симуляції соціальної інженерії
Організації з високими стандартами безпекиМінімізація ризику витоку конфіденційної або таємної інформації.
Протидія державному та комерційному шпигунству.
Фінансові організаціїЗахист електронних грошей і фінансових даних клієнтів від шахрайства та кібератак.
Навчання співробітників у фінансовій сфері розвитку навичок виявлення шахрайських спроб і захисту від них, що сприяє збереженню довіри клієнтів і дотриманню регулювальних вимог.
Технологічні організації або підрозділи організаційЗахист цінних даних та інтелектуальної власності від крадіжок і кіберзагроз.
Навчання персоналу виявленню ризиків і захисту цінних даних від витоків і несанкціонованого доступу
Критична інфраструктура країни та інші організації з високими вимогами до безперервності операційЗапобігання несанкціонованому доступу до критично важливих систем, їхній зупинці, пошкодженню, шкоді здоров’ю та життю людей, а також екології.
Компанії з широкою мережею співробітників на віддаленій роботіДопомога в навчанні співробітників виявленню підроблених запитів на доступ до систем або інформації, що особливо важливо в умовах збільшення кількості віддалених працівників і ризику соціоінженерних атак.
Освітні установиНавчання студентів і співробітників виявленню та запобіганню атак, спрямованих на навчальні ресурси та особисті дані.
Забезпечення безпеки інформації, а також захисту студентів і персоналу від кіберзагроз.

Якщо тип вашої компанії не згадується в таблиці вище, це не означає, що симуляція соціальної інженерії не підійде саме вам.

Будь-яка організація, незалежно від її розміру та галузі, схильна до впливу соціальної інженерії, тож потребує захисту від неї, а також може налаштувати навчання та симуляції соціальної інженерії під свої конкретні потреби та рівень загроз. Адже кожна компанія має унікальні характеристики та особливості, які можуть потребувати індивідуального підходу до навчання персоналу та захисту від соціальної інженерії.

Програми симуляції фішингу адаптуються під конкретні потреби та особливості організації. Такий підхід дає змогу приділити особливу увагу вразливим місцям і підготувати персонал до конкретних видів атак, з якими може зіткнутися ваша компанія.

Ми пропонуємо безкоштовні консультації щодо захисту від соціальної інженерії. Ми можемо розробити та впровадити програми навчання і симуляції, що відповідають вашим вимогам і очікуванням. Адже навіть найнадійніша система захисту даних може виявитися вразливою, якщо співробітники не ознайомлені з методами соціальної інженерії та не здатні розпізнавати маніпуляції зловмисників.

Захистіть свою компанію від соціальної інженерії вже сьогодні – зв’яжіться з нами для отримання безкоштовної консультації.

Інші записи

10/04/2024
Тенденції кіберпроблем і рішень 2024
30/03/2024
Безпека блоґів та соцмереж для бізнесу