Защита от социальной инженерии
Дмитрий Светиков, 27/03/19
Многие специалисты по ИБ, и не только в России, считают самой большой угрозой информационной безопасности как для крупных компаний, так и для обычных пользователей все более совершенствующиеся методы социальной инженерии1, которые используются для обхода существующих средств защиты. О том, как не допустить подобного в своей компании, вы узнаете в данном материале.
За последнее время в России с помощью социальной инженерии, а в частности фишинга, были взломаны два банка и похищены более 60 млн руб.
ПИР-банк: "Вирус, которым атакован банк, не подлежит идентификации имеющимися сейчас средствами, что было подтверждено сотрудниками ФинЦЕРТ, с наибольшей вероятностью вирус проник в банк через фишинговое письмо". Банк был вынужден 4 и 5 июля прекратить работу, поскольку "скомпрометированы ключи" (злоумышленники фактически получили полный доступ к автоматизированному рабочему месту клиента Банка России, АРМ КБР, и могли выводить деньги с корсчета банка в ЦБ).
Другой источник, "КоммерсантЪ", уточнил, что с его корсчета в ЦБ в ночь на 4 июля злоумышленники вывели, по самым скромным подсчетам, более 58 млн руб. Денежные средства выводились веерной рассылкой на пластиковые карты физических лиц в 22 банках из топ-50, большая часть денежных обналичена уже в ночь хищения в различных регионах России.
Банк жилищного финансирования (БЖФ): "Как стало известно "Ъ", в сентябре хакеры из группировки "Кобальт" вывели из БЖФ около $100 тыс. через шлюзы платежных систем. При том, что вывода денежных средств через шлюзы платежных систем не было уже несколько лет. "
Вредонос попал в банк с помощью фишингового письма, которое было отправлено якобы от имени Альфа-банка. В письме банк хотел урегулировать вопрос с мошенническими транзакциями, которые якобы шли из БЖФ. Атака с почты, названием схожей с адресом известной организации, – крайне распространенный хакерский прием, рассчитанный на невнимательность.
В данном случае, по словам знакомых с ситуацией источников "Ъ", злоумышленники взломали АБС (автоматизированную банковскую систему), увеличили установленные лимиты на перевод денежных средств и через шлюзы платежных систем вывели деньги на банковские карточки, затем обналичив их.
О фишинговой рассылке, с помощью которой злоумышленники проникли в банк, ФинЦЕРТ (подразделение ЦБ по информбезопасности) сообщал в своем бюллетене от 16 августа. В нем говорилось, что эксплуатируется одна из уязвимостей Microsoft, и были даны рекомендации по ее устранению". – КоммерсантЪ.
Так как вся атака направлена на человека, то и улучшать "защиту" надо у человека. Есть несколько способов это сделать:
- использовать антифишинговый софт;
- осуществлять постоянный аудит ваших сотрудников на восприимчивость к социальной инженерии.
У первого способа есть существенный минус, так как он работает на основе собранной информации (баз писем, адреса Web-сайтов и т.д.), и если ваша организация является целью хакера, то в этом случае он не поможет, так как его легко обойти, используя что-то новое (новые письма, сайт и т.д.). Второй способ – на данный момент это самый эффективный метод обезопасить себя, но также не стоить игнорировать и первый.
Повышение защиты через аудит сотрудников
Как можно повышать уровень защиты компании, используя второй способ? Как правило, это привлечение сторонних специалистов по социальной инженерии и использование необходимого софта для проведения тестов.
Рассмотрим это все на примере фишинга. Фишинг – техника социальной инженерии, когда злоумышленник пытается воздействовать на человека с помощью электронных писем. Для проведения профилактики и в целом, чтобы увидеть, как сотрудники могут и будут реагировать на фишинговые письма, мы используем так называемый фишинговый симулятор. Суть этого симулятора в том, что мы получаем систему, которая содержит разные проверенные шаблоны фишинговых писем, рассылает их по заданному списку контактов и выводит статистику.
Рассмотрим сначала несколько фишинг-симуляторов, которые нам могут помочь определить слабые стороны сотрудников:
1. PhishInsight. Предоставляет вам уже множество разный готовых шаблонов для моделирования атаки на сотрудников. После проведения тестов сервис предложит обучение для ваших сотрудников.
Единственный минус этого симулятора – то, что все шаблоны на английском языке, не адаптированы под Россию, поэтому вам самим придется редактировать тексты и придумывать сценарии атак.
2. StopPhish. Это уже российский аналог для симуляции фишинговой атаки на человека. Также содержит шаблоны писем для тестов, которые уже больше подходят для наших реалий.
Вывод отчета у обоих сервисов одинаковый. Нам важны те, кто перешел по ссылке из письма, и те, кто ввел какие-либо данные на фишинговой странице. Вот с этими сотрудниками нам в первую очередь и придется работать. Это может быть совершенно любой сотрудник, так как статистика показывает, что более 54% сотрудников не могут распознать фишинговые письма. Конечно, бывает процент и значительно больше.
Но что делать с сотрудниками, которые попались во время теста? Если это была проверка на переход по ссылкам или открытие вложения, то сотрудников нужно обучить, чтобы они могли выявлять фишинговые письма. Тема социальной инженерии очень обширная, чтобы сотрудники лучше запоминали информацию, ее лучше давать порционно, от общих принципов до тонкостей. Не нужно стараться сразу вывалить на них все что только можно, они все сразу не усвоят. Нам ведь нужно, чтобы у них было максимальное понимание. После небольшого курса необходимо проверить, как они усвоили весь материал, с помощью теста или экзамена.
Естественно, на этом все не заканчивается. Это не единоразовый процесс. Из-за того что постоянно проявляются новые и все более изощренные способы использования социальной инженерии, подобные тесты и симуляции нужно проводить постоянно, как правило 2–3 раза в месяц. После первого цикла уже будут видны улучшения. И вам нужно использовать постоянно новые способы в тестах и симуляциях, иначе эффективность сильно падает. Исходя из нашей статистики, риск угрозы падает до 3% после первого обучения.
И тут есть два пути, откуда брать новые способы для симуляций:
- отслеживать, какими сейчас письмами пользуются злоумышленники;
- стараться быть на шаг впереди, самим разрабатывать и придумывать новые способы и векторы атаки.
С первым вроде все понятно, но второй требует не только осведомленности, но и хорошего знания социальной инженерии и того, каким образом хакеры придумывают и выбирают способы атаки, а также, если это целенаправленная атака, как они выбирают жертву и чем могут воздействовать на нее. Конечно, всегда можно нанять к себе в компанию специалиста, который специализируется на социальной инженерии, но, как показывает практика, использование фишинг-симулятора и курсы обходятся дешевле и эффективнее для компании.
К сожалению, в более крупных компаниях существует еще одна проблема – это сотрудники, которых бесполезно обучать. Они в силу своих убеждений, обид и наплевательского отношения не будут воспринимать обучение. Единственное, что они будут делать, так это стараться определять не фишинговые письма, а ваши, с помощью который вы проводите тесты. С такими помогают только новые регламенты в компаниях и наказания вплоть до увольнения.
А теперь рассмотрим вариант того, как злоумышленник может заполучить нужную ему информацию из компании, а также как выявлять сотрудников, которые готовы за небольшое вознаграждение продать корпоративную тайну. Тут уже все более серьезно, так как сотрудник компании продает корпоративную тайну третьему лицу/конкурентам, это может быть клиентская база или информация о сделках. Можно отслеживать всю корпоративную переписку в компании, но с сотрудником могут связаться напрямую через социальную сеть или личный емейл. Но есть и другие способы поиска "слабого звена".
Вот один пример, как может происходить поиск сотрудника, который готов за деньги выдать корпоративную тайну. Злоумышленник старается разослать максимальному числу сотрудников письмо с предложением, что он готов заплатить за какую-либо информацию о компании. Он также может играть на жадности сотрудниках или обидах, т. е. использовать социальную инженерию. После такой рассылки есть вероятность, что кто-то из сотрудников ответит и, возможно, даже не один. Но тут есть одно "но": даже если вы отслеживаете всю корпоративную переписку, сотрудник уже может начать общение со своей личной почты из дома или с телефона, и вы не узнаете об этом, пока уже не будет поздно. Теперь о том, как можно вычислить такого сотрудника. Все, что вам нужно делать, так это использовать фишинг-симулятор, только в этом случае наша цель -- чтобы сотрудник вошел в контакт и сам продолжил общение. Но не стоит рубить с плеча, бывают такие случаи, когда сотрудник может вступить в контакт с целью выявить, кто это пишет и предлагает деньги. То есть у него могут быть хорошие цели и он хочет защитить компанию, в которой он работает, от кражи информации. В ряде компаний для таких случаев есть регламенты, как необходимо действовать, и за предоставление информации о таких попытках сотрудников поощряют.
И напоследок. Мы рассмотрели только фишинг через email. Но не забывайте, что все подобные методы работают в мессенджерах и социальных сетях, где сотрудник может общаться, находясь на рабочем месте, и злоумышленники могут это использовать в своих целях.
1 Социальная инженерия – приемы, методы и технологии создания условий и обстоятельств, которые, используя знания о социологии и психологии человека, максимально эффективно приводят к конкретному необходимому результату.