Социальная инженерия: виды атак и способы их предотвращения

Слышали ли вы про такие виды информационных атак, как Baiting, Honey Trap, Scareware, Water Holing, Quid pro Quo? Давайте рассмотрим их и ряд других, в том числе различные виды фишинга. Все эти действия злоумышленники предпринимают с одной целью – завладеть личными данными пользователей. И для начала о том, что объединяет все эти виды атак. Понимание механизмов социальной инженерии сделает вас гораздо менее уязвимыми к этому типу манипуляций.

Социальная инженерия — это способы манипулирования людьми с целью получения от них конфиденциальной информации. Информация, которую ищут преступники, может быть разной, но чаще всего это банковские реквизиты, а также пароли от учетных записей. Кроме того, преступники могут попытаться получить доступ к компьютеру жертвы, чтобы установить там вредоносное программное обеспечение, помогающее извлекать любую информацию. И здесь злоумышленники используют разнообразный арсенал социальной инженерии, ведь куда легче получить от человека желаемое (персональные данные), завоевав его доверие. Это значительно более удобный путь, чем прямой взлом чьего-либо аккаунта: использовать слабости пользователей гораздо проще, чем пытаться найти уязвимость сервиса или программного обеспечения.

Известно более десяти видов таких атак, а если учесть комбинированные способы, часть из которых мы тоже рассмотрим, то их число насчитывает уже несколько десятков.

Эти атаки активно эксплуатируют человеческий фактор для сбора учетных данных или для распространения вредоносных программ. Можно сказать, что фишинг – это мошенническое использование электронных коммуникаций для обмана и получения выгоды от пользователей. Чаще всего с помощью фишинговых атак злоумышленники пытаются получить такую конфиденциальную информацию, как логины и пароли, данные кредитных карт, сетевые учетные данные.

Есть несколько типов фишинговых кибератак. Это такие разновидности, как целевой, голосовой, СМС-фишинг, а также «китобойный» (по описанию будет понятно, почему он так называется) и клон-фишинг.

Суть этого типа атак заключается в том, что жертву пугают (чаще всего всплывающими окнами при посещении взломанных мошенниками сайтов), заставляя думать, что компьютер заражен вредоносным ПО или же имеет случайно загруженный нелегальный контент. Через некоторое время, когда мошенник понимает, что жертва созрела, он предлагает решение этой фиктивной проблемы. Однако на самом деле та программа, которая предлагается жертве под видом антивируса, представляет собой вредоносное ПО, целью которого является хищение личной информации пользователя. Таким образом, создатели «пугалок» используют технологию внушения, вызывая страх пользователя и подталкивая его к установке поддельного антивирусного программного обеспечения.

Весьма оригинальный метод социальной инженерии, когда расчет делается на один из самых распространенных человеческих пороков – любопытство. Суть приманки в том, что злоумышленник намеренно оставляет зараженные вредоносным ПО устройства (например, USB-накопители) в местах, где их обязательно найдут (например, в курилке офисного здания). Жертва заглатывает эту нехитрую наживку и вставляет флешку компьютер, в результате чего происходит автоматическая установка вредоносных программ в систему. Еще один вид наживок распространяется через интернет. Потенциальным жертвам предлагается заманчивая реклама, которая на самом деле ведет на вредоносные сайты или побуждает пользователей загружать зараженное вредоносным ПО приложение – чаще всего, разумеется, «бесплатное». Кроме того, злоумышленники нередко комбинируют приманки со Scareware-атаками, только на этот раз «пугалки» настоящие, ведь компьютер уже заражен.

Название полностью отражает суть атаки, только «вода» здесь – отравленная. Используя сетевые уязвимости, злоумышленник пытается скомпрометировать определенную группу людей, заражая сайты, которые они посещают и которым доверяют. Объектами атак типа «водопой» нередко становятся популярные сайты, которые называют «целевой группой» (target group). Своих жертв киберпреступники, практикующие Water holing (другое название: Watering hole), называют «целевой добычей» (target prey), и чаще всего в роли такой добычи выступают сотрудники государственных учреждений или крупных организаций.

Хакеры изучают уязвимости сайтов «целевой группы» и внедряют туда вредоносное ПО, обычно спрятанное в JavaScript или прямо в HTML коде. Этот вредоносный код перенаправляет «добычу» с сайтов целевой группы на другой, где установлены вредоносное ПО или реклама. Теперь вирусы готовы заражать компьютеры, как только жертвы будут заходить на скомпрометированные сайты.

Суть атаки заключается в том, что одна сторона просто лжет другой, чтобы получить доступ к привилегированным данным. Мошенничество часто инициируется недобросовестным сотрудником, который делает вид, что ему нужна конфиденциальная информация от жертвы для выполнения важной задачи. Никакого взлома – чистое психологическое воздействие, которое выглядит очень естественно.

Такая атака обычно выполняется мошенниками, которые не имеют в своем арсенале продвинутых инструментов взлома, однако проводят предварительное исследование целей. Используя этот вид атак, злоумышленник делает вид, что оказывает жертве важную услугу. Например, хакер находит кого-то с высокими привилегиями доступа к сети и звонит ему по телефону, представляясь сотрудником службы технической поддержки компании. При успешных переговорах и согласии жертвы на «помощь» в решении якобы обнаруженных проблем, киберпреступник начинает управлять жертвой, заставляя ее совершать определенные действия. Эти действия в итоге приводят к запуску вредоносного ПО в систему или же к краже регистрационных данных.

Помните басню про ворону и лисицу? Принцип атак типа Honey Pot точно такой же. Мошенник знакомится с жертвой и притворяется, что испытывает к ней определенный интерес (например, романтическое или сексуальное влечение). Постепенно завязываются виртуальные «отношения», которые жертва начинает воспринимать всерьез. А обаятельный преступник, не теряя времени даром, постепенно собирает конфиденциальную информацию, которая затем может быть использована, например, для взлома аккаунтов в соцсетях или ящика электронной почты. Также мошенник может получить от доверчивой жертвы удаленный доступ к ее компьютеру.

Еще один оригинальный прием из арсенала специалистов по социальной инженерии, который чем-то похож на предыдущий. В данном случае преступник входит в охраняемое помещение, следуя за кем-то с картой доступа. Разумеется, хакер уже является «другом» сотрудника с привилегированным доступом и проходит за ним в запретную зону.

Этот способ представляет собой разновидность Scareware атак. На компьютер жертвы под предлогом безопасности устанавливается вредоносное ПО, а злоумышленник убеждает жертву, что это программное обеспечение полностью законно и безопасно. Установленная программа затем создает всплывающие окна и оповещения, которые советуют пользователю загрузить новое «безопасное программное обеспечение». Всплывающие окна нередко показывают пользователю несколько вариантов соглашения (с разными сценариями). Однако разницы нет: нажав «да» на любой из этих вариантов, пользователь загружает на свой компьютер опасную программу. Теперь компьютер в распоряжении злоумышленника.

Здесь «социальные инженеры» обманом заставляют службу доставки или курьера доставлять ничего не подозревающим покупателям подделки. А дорогие вещи, естественно, попадают прямо в руки к мошенникам. Это работает следующим образом: преступники подсаживают в компанию по доставке своих подельников, а последние получают легкий доступ к списку товаров для доставки, которые затем можно оперативно подменять. Этот способ кражи возник еще до появления интернета (его родина — лондонский Ист-Энд), однако с развитием сетевых технологий преступникам стало проще манипулировать информацией.