Контакты
Подписка 2025

Защита от социальной инженерии

Дмитрий Светиков, 27/03/19

Многие специалисты по ИБ, и не только в России, считают самой большой угрозой информационной безопасности как для крупных компаний, так и для обычных пользователей все более совершенствующиеся методы социальной инженерии1, которые используются для обхода существующих средств защиты. О том, как не допустить подобного в своей компании, вы узнаете в данном материале.

За последнее время в России с помощью социальной инженерии, а в частности фишинга, были взломаны два банка и похищены более 60 млн руб.

ПИР-банк: "Вирус, которым атакован банк, не подлежит идентификации имеющимися сейчас средствами, что было подтверждено сотрудниками ФинЦЕРТ, с наибольшей вероятностью вирус проник в банк через фишинговое письмо". Банк был вынужден 4 и 5 июля прекратить работу, поскольку "скомпрометированы ключи" (злоумышленники фактически получили полный доступ к автоматизированному рабочему месту клиента Банка России, АРМ КБР, и могли выводить деньги с корсчета банка в ЦБ).

Другой источник, "КоммерсантЪ", уточнил, что с его корсчета в ЦБ в ночь на 4 июля злоумышленники вывели, по самым скромным подсчетам, более 58 млн руб. Денежные средства выводились веерной рассылкой на пластиковые карты физических лиц в 22 банках из топ-50, большая часть денежных обналичена уже в ночь хищения в различных регионах России.

Банк жилищного финансирования (БЖФ): "Как стало известно "Ъ", в сентябре хакеры из группировки "Кобальт" вывели из БЖФ около $100 тыс. через шлюзы платежных систем. При том, что вывода денежных средств через шлюзы платежных систем не было уже несколько лет. "

Вредонос попал в банк с помощью фишингового письма, которое было отправлено якобы от имени Альфа-банка. В письме банк хотел урегулировать вопрос с мошенническими транзакциями, которые якобы шли из БЖФ. Атака с почты, названием схожей с адресом известной организации, – крайне распространенный хакерский прием, рассчитанный на невнимательность.

В данном случае, по словам знакомых с ситуацией источников "Ъ", злоумышленники взломали АБС (автоматизированную банковскую систему), увеличили установленные лимиты на перевод денежных средств и через шлюзы платежных систем вывели деньги на банковские карточки, затем обналичив их.

О фишинговой рассылке, с помощью которой злоумышленники проникли в банк, ФинЦЕРТ (подразделение ЦБ по информбезопасности) сообщал в своем бюллетене от 16 августа. В нем говорилось, что эксплуатируется одна из уязвимостей Microsoft, и были даны рекомендации по ее устранению". – КоммерсантЪ.

Так как вся атака направлена на человека, то и улучшать "защиту" надо у человека. Есть несколько способов это сделать:

  • использовать антифишинговый софт;
  • осуществлять постоянный аудит ваших сотрудников на восприимчивость к социальной инженерии.

У первого способа есть существенный минус, так как он работает на основе собранной информации (баз писем, адреса Web-сайтов и т.д.), и если ваша организация является целью хакера, то в этом случае он не поможет, так как его легко обойти, используя что-то новое (новые письма, сайт и т.д.). Второй способ – на данный момент это самый эффективный метод обезопасить себя, но также не стоить игнорировать и первый.

social engineering

Повышение защиты через аудит сотрудников

Как можно повышать уровень защиты компании, используя второй способ? Как правило, это привлечение сторонних специалистов по социальной инженерии и использование необходимого софта для проведения тестов.

Рассмотрим это все на примере фишинга. Фишинг – техника социальной инженерии, когда злоумышленник пытается воздействовать на человека с помощью электронных писем. Для проведения профилактики и в целом, чтобы увидеть, как сотрудники могут и будут реагировать на фишинговые письма, мы используем так называемый фишинговый симулятор. Суть этого симулятора в том, что мы получаем систему, которая содержит разные проверенные шаблоны фишинговых писем, рассылает их по заданному списку контактов и выводит статистику.

Рассмотрим сначала несколько фишинг-симуляторов, которые нам могут помочь определить слабые стороны сотрудников:

1. PhishInsight. Предоставляет вам уже множество разный готовых шаблонов для моделирования атаки на сотрудников. После проведения тестов сервис предложит обучение для ваших сотрудников.

Единственный минус этого симулятора – то, что все шаблоны на английском языке, не адаптированы под Россию, поэтому вам самим придется редактировать тексты и придумывать сценарии атак.

2. StopPhish. Это уже российский аналог для симуляции фишинговой атаки на человека. Также содержит шаблоны писем для тестов, которые уже больше подходят для наших реалий.

Вывод отчета у обоих сервисов одинаковый. Нам важны  те, кто перешел по ссылке из письма, и те, кто ввел какие-либо данные на фишинговой странице. Вот с этими сотрудниками нам в первую очередь и придется работать. Это может быть совершенно любой сотрудник, так как статистика показывает, что более 54% сотрудников не могут распознать фишинговые письма. Конечно, бывает процент и значительно больше.

Но что делать с сотрудниками, которые попались во время теста? Если это была проверка на переход по ссылкам или открытие вложения, то сотрудников нужно обучить, чтобы они могли выявлять фишинговые письма. Тема социальной инженерии очень обширная, чтобы сотрудники лучше запоминали информацию, ее лучше давать порционно, от общих принципов до тонкостей. Не нужно стараться сразу вывалить на них все что только можно, они все сразу не усвоят. Нам ведь нужно, чтобы у них было максимальное понимание. После небольшого курса необходимо проверить, как они усвоили весь материал, с помощью теста или экзамена.

Естественно, на этом все не заканчивается. Это не единоразовый процесс. Из-за того что постоянно проявляются новые и все более изощренные способы использования социальной инженерии, подобные тесты и симуляции нужно проводить постоянно, как правило 2–3 раза в месяц. После первого цикла уже будут видны улучшения. И вам нужно использовать постоянно новые способы в тестах и симуляциях, иначе эффективность сильно падает. Исходя из нашей статистики, риск угрозы падает до 3% после первого обучения.

И тут есть два пути, откуда брать новые способы для симуляций:

  • отслеживать, какими сейчас письмами пользуются злоумышленники;
  • стараться быть на шаг впереди, самим разрабатывать и придумывать новые способы и векторы атаки.

С первым вроде все понятно, но второй требует не только осведомленности, но и хорошего знания социальной инженерии и того, каким образом хакеры придумывают и выбирают способы атаки, а также, если это целенаправленная атака, как они выбирают жертву и чем могут воздействовать на нее. Конечно, всегда можно нанять к себе в компанию специалиста, который специализируется на социальной инженерии, но, как показывает практика, использование фишинг-симулятора и курсы обходятся дешевле и эффективнее для компании.

К сожалению, в более крупных компаниях существует еще одна проблема – это сотрудники, которых бесполезно обучать. Они в силу своих убеждений, обид и наплевательского отношения не будут воспринимать обучение. Единственное, что они будут делать, так это стараться определять не фишинговые письма, а ваши, с помощью который вы проводите тесты. С такими помогают только новые регламенты в компаниях и наказания вплоть до увольнения.

А теперь рассмотрим вариант того, как злоумышленник может заполучить нужную ему информацию из компании, а также как выявлять сотрудников, которые готовы за небольшое вознаграждение продать корпоративную тайну. Тут уже все более серьезно, так как сотрудник компании продает корпоративную тайну третьему лицу/конкурентам, это может быть клиентская база или информация о сделках. Можно отслеживать всю корпоративную переписку в компании, но с сотрудником могут связаться напрямую через социальную сеть или личный емейл. Но есть и другие способы поиска "слабого звена".

Вот один пример, как может происходить поиск сотрудника, который готов за деньги выдать корпоративную тайну. Злоумышленник старается разослать максимальному числу сотрудников письмо с предложением, что он готов заплатить за какую-либо информацию о компании. Он также может играть на жадности сотрудниках или обидах, т. е. использовать социальную инженерию. После такой рассылки есть вероятность, что кто-то из сотрудников ответит и, возможно, даже не один. Но тут есть одно "но": даже если вы отслеживаете всю корпоративную переписку, сотрудник уже может начать общение со своей личной почты из дома или с телефона, и вы не узнаете об этом, пока уже не будет поздно. Теперь о том, как можно вычислить такого сотрудника. Все, что вам нужно делать, так это использовать фишинг-симулятор, только в этом случае наша цель -- чтобы сотрудник вошел в контакт и сам продолжил общение. Но не стоит рубить с плеча, бывают такие случаи, когда сотрудник может вступить в контакт с целью выявить, кто это пишет и предлагает деньги. То есть у него могут быть хорошие цели и он хочет защитить компанию, в которой он работает, от кражи информации. В ряде компаний  для таких случаев есть регламенты, как необходимо действовать, и за предоставление информации о таких попытках сотрудников поощряют.

И напоследок. Мы рассмотрели только фишинг через email. Но не забывайте, что все подобные методы работают в мессенджерах и социальных сетях, где сотрудник может общаться, находясь на рабочем месте, и злоумышленники могут это использовать в своих целях.

1 Социальная инженерия – приемы, методы и технологии создания условий и обстоятельств, которые, используя знания о социологии и психологии человека, максимально эффективно приводят к конкретному необходимому результату.

Темы:Сделано в РоссииКомпании

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Обзор уровня зрелости процессов ИБ: о трендах и методологиях
    Илья Борисов, Менеджер по информационной безопасности регионального кластера СНГ компании Thyssenkrupp Industrial Solutions
    Модель зрелости – это инструмент оценки эффективности внедрения бизнес-процессов в организации, позволяющий эффективно отслеживать прогресс
  • Российский бизнес: облачная трансформация сервисов ИБ
    Алексей Афанасьев, Эксперт по вопросам информационной безопасности облачного провайдера #CloudМТS
    "Нас уже давно нельзя назвать новичками на облачном рынке. Сегодня #CloudМТS – это полноценный провайдер облачных услуг."
  • Глобализация и импортозамещение: какие тренды будут актуальны на рынке ИБ в следующем году
    Сергей Панов, заместитель генерального директора, АО “ЭЛВИС-ПЛЮС”
    Интервью с Сергеем Борисовичем Пановым, заместителем генерального директора компании “ЭЛВИС-ПЛЮС”, о том, как развиваются проекты в сфере импортозамещения.
  • Как машинное обучение помогает защитить АСУ ТП
    В настоящее время использование искусственного интеллекта на предприятиях становится все более востребованным, что способствует развитию дальнейших разработок в этой сфере. Внедрение методов машинного обучения особенно актуально для обеспечения качественно нового уровня защиты автоматизированных систем управления технологическими процессами (АСУ ТП). На данный момент в России уже появились прогрессивные разработки на основе алгоритмов машинного обучения, позволяющие обеспечить более надежную защиту АСУ ТП.
  • Новая биометрия. Можно ли в новой экономике применять старые методы?
    Валерий Конявский, д.т.н., зав. кафедрой "Защита информации" МФТИ
    Новая биометрия. Можно ли в новой экономике применять старые методы?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...