Слышали ли вы про такие виды информационных атак, как Baiting, Honey Trap, Scareware, Water Holing, Quid pro Quo? В этой статье рассмотрим их и ряд других, в том числе различные виды фишинга, а также приведём громкие примеры атак и расскажем про эффективные способы защиты от них. Все эти действия злоумышленники предпринимают с одной целью — завладеть личными данными пользователей. И для начала о том, что объединяет все эти виды атак. Понимание механизмов социальной инженерии сделает вас гораздо менее уязвимыми к этому типу манипуляций.

Что такое социальная инженерия и как она работает

Социальная инженерия — это способы манипулирования людьми с целью получения от них конфиденциальной информации. Информация, которую ищут преступники, может быть разной, но чаще всего это банковские реквизиты, а также пароли от учётных записей. Кроме того, преступники могут попытаться получить доступ к компьютеру жертвы, чтобы установить там вредоносное программное обеспечение, помогающее извлекать любую информацию. И здесь злоумышленники используют разнообразный арсенал социальной инженерии, ведь куда легче получить от человека желаемое (персональные данные), завоевав его доверие. Это значительно более удобный путь, чем прямой взлом чьего-либо аккаунта: использовать слабости пользователей гораздо проще, чем пытаться найти уязвимость сервиса или программного обеспечения.

Нередко атаки с использованием средств социальной инженерии происходят в два этапа. Сначала мошенники исследуют предполагаемую жертву, чтобы собрать необходимую справочную информацию. Именно на этом этапе злоумышленник пытается завоевать доверие жертвы. А после успешных попыток наладить «добрые» отношения преступник, используя различные уловки, вытаскивает из жертвы конфиденциальную информацию (например, пароли и IP-адреса). О разных типах таких уловок мы сейчас и поговорим.

Виды атак с использованием социальной инженерии

Известно более десяти видов таких атак, а если учесть комбинированные способы, часть из которых мы тоже рассмотрим, то их число насчитывает уже несколько десятков.

Фишинг (Phishing)

Эти атаки активно эксплуатируют человеческий фактор для сбора учётных данных или для распространения вредоносных программ. Можно сказать, что фишинг — это мошенническое использование электронных коммуникаций для обмана и получения выгоды от пользователей. Чаще всего с помощью фишинговых атак злоумышленники пытаются получить такую конфиденциальную информацию, как логины и пароли, данные кредитных карт, сетевые учётные данные.

Также фишинговая атака может быть спланирована таким образом, что после перехода на поддельный сайт у жертвы возникнут другие неприятности: например, на компьютер установится вредоносное шпионское ПО или будет зависать система из-за атаки программы-вымогателя (о них мы писали в предыдущей статье). В ряде случаев мошенники довольствуются получением информации о кредитной карте жертвы или другими личными данными для получения финансовой выгоды. Но бывает, что фишинговые электронные письма отправляются для получения регистрационной информации сотрудника или других данных для дальнейшей расширенной атаки на конкретную компанию.

Есть несколько типов фишинговых кибератак. Это такие разновидности, как целевой, голосовой, СМС-фишинг, а также «китобойный» (по описанию будет понятно, почему он так называется) и клон-фишинг. 

Целевой фишинг (Spear Phishing)

Такие атаки похожи на обычный фишинг, однако нацелены они на конкретного человека или организацию. Поэтому сначала злоумышленники собирают подробную информацию о своих целях, чтобы затем присылать электронные письма, которые выглядят максимально правдоподобно. У людей часто не возникает и мысли, что фишинговое письмо пришло из ненадёжного источника. Целевой фишинг можно назвать более продвинутой версией обычного, поскольку он требует гораздо более солидной подготовки. По этой причине защититься от такой атаки обычными техническими средствами крайне сложно. А кроме того, лицо, подвергающееся целевому фишингу, в большинстве случаев не является реальной целью преступников — их конечной целью обычно становится корпоративная сетевая инфраструктура, получив контроль над которой, мошенники извлекут из этого финансовую выгоду.

Голосовой фишинг (Vishing, Voice Phishing)

В этом случае преступники используют телефон для сбора личной и финансовой информации жертвы. Например, злоумышленник может представиться сотрудником банка или страховой компании и, под предлогом рекламы новых услуг, постепенно выведывать личные данные собеседника. Так, «вишеры» могут заставать своих жертв врасплох, предлагая им получить кредит на крайне выгодных условиях. А поскольку такого рода услуги часто связаны с разглашением личной финансовой информации, то, если мошенник сможет убедить жертву в законности своего предложения, человек может даже не заподозрить подвоха и передать преступнику конфиденциальную информацию.

Пример, который частично относится и к «китобойному» фишингу: в марте 2019 года генеральному директору британской энергетической компании позвонил человек, который говорил точно таким же голосом, как и его президент. Собеседник был настолько убедительным, что генеральный директор перевёл 243 тысячи долларов «венгерскому поставщику» на банковский счет, который на самом деле принадлежал мошеннику. 

Некоторые злоумышленники сосредоточиваются на больных или пожилых людях. И при таких атаках они бессовестно используют нестабильное физическое и/или психическое состояние жертвы, чтобы убедить человека, что он должен ради получения помощи передать свои личные данные. В таких случаях злодеи используют в качестве наживки обещание финансовой помощи, но только после того, как им предоставят личную информацию. Ещё один распространённый вид вишинг-атак: преступники сообщают, что якобы что-то случилось с близкими жертвы, а за решение проблемы требуют быстро перевести деньги.

Смишинг (Smishing, SMS-фишинг)

Для этого вида фишинговых атак задействуются мобильные устройства. Жертве приходит сообщение якобы с номера банка. В сообщении обычно содержится некоторая пугающая информация (см. раздел Scareware ниже), а затем предлагается решение проблемы. Классический пример: с лицевого счёта жертвы будто бы осуществлено нецелевое списание средств, поэтому человеку предлагается перейти по ссылке на страницу банка (разумеется, поддельную) или перезвонить по указанному номеру телефона (тоже контролируемому мошенниками). Также людям приходят сообщения с просьбой помочь пострадавшим от какого-либо стихийного бедствия, но чтобы помочь, нужно оставить свои личные данные. Особо хитрые хакеры могут таким образом месяцами «доить» своих жертв, регулярно снимая небольшие суммы, чтобы не настораживать людей.

«Китобойный» фишинг (Whale Phishing)

Это фишинговая атака, нацеленная конкретно на топ-менеджера крупной компании. Поэтому-то она и называется «китобойной», ведь жертва оценивается высоко, а украденная информация будет куда более ценной, чем та, которую могут предложить мошенникам обычные сотрудники компаний. А поскольку жертвами в данном случае выбираются высокопоставленные люди, преступники действуют соответствующим образом: например, присылают сообщения юридического характера или предлагают обсудить серьёзные финансовые вопросы.

Самая крупная атака подобного типа, причём не только фишинговая, а и вообще с использованием средств социальной инженерии, была совершена гражданином Литвы Эвалдасом Римасаускасом против двух крупнейших веб-корпораций мира: Google и Facebook. Римасаускас и его команда создали фальшивую компанию и выдавали себя за производителя компьютеров, который работал с Google и Facebook. Римасаускас также открыл банковские счета на имя компании. В результате веб-гиганты понесли суммарный ущерб на сумму более 120 миллионов долларов. 

А вот ещё один нашумевший случай: китайский производитель запчастей для самолётов FACC потерял почти 60 миллионов долларов в результате аферы, когда мошенники выдавали себя за высокопоставленных руководителей и обманом заставляли сотрудников переводить им средства. После инцидента FACC потратила ещё несколько миллионов, пытаясь в суде выбить компенсацию со своего генерального директора и финансового директора. Представители компании утверждали, что руководители не внедрили надлежащую систему контроля внутренней безопасности, однако в иске FACC было отказано.

Клон-фишинг (Clone Phishing)

Принцип этой фишинговой атаки заключается в том, что хакер отправляет поддельное электронное письмо, замаскированное под обычное, причём адрес, с которого было отправлено письмо, очень похож на один из тех, которые используют известные и надёжные источники (например, Mail.crop вместо Mail.corp). То есть фишинговые электронные письма выглядят так, будто их прислал ваш банк или провайдер услуг, и его сотрудники просят предоставить вашу личную информацию.

Таким образом, мошенники копируют форму корпоративного электронного письма, создавая почти идентичный образец: вот только такое письмо отправляется не с настоящего, а с похожего адреса. Тело письма выглядит так же, как и в тех письмах, которые пользователь уже получал от этой организации, однако ссылки в письме заменяются на вредоносные. Кроме того, изобретательные преступники могут даже объяснить жертве, почему она снова получает «то же самое» сообщение.

Фактически такие письма преследуют единственную цель: «социальные хакеры» пытаются заставить получателя раскрыть личную или финансовую информацию путём нажатия на ссылку в письме, в результате чего пользователь перенаправляется на внешне похожий, но контролируемый преступниками сайт, предназначенный для кражи личной информации.

Свежий пример клон-фишинга: в январе 2022 года была совершена масштабная атака, целью которой было хищение учётных данных с сервиса Office 365. Злоумышленникам удалось успешно имитировать сообщения от Министерства труда США (DoL). Это мошенничество является наглядным примером того, насколько эффективными становятся попытки фишинга. В данном случае адреса с реальным доменом dol.gov подменялись адресами с предварительно купленных мошенниками доменов dol-gov.com и dol-gov.us. При этом фишинговые электронные письма успешно проходили через шлюзы безопасности целевых организаций. В электронных письмах использовались официальные атрибуты DoL, а сами письма были написаны профессионально, приглашая получателей принять участие в торгах по государственному проекту. Инструкции по торгам были включены в трёхстраничный PDF-файл со встроенной кнопкой «Заявиться». При переходе по ссылке жертвы перенаправлялись на фишинговый сайт, который выглядел идентично реальному сайту DoL. Сайт поддельных торгов предлагал пользователям ввести свои учетные данные Office 365 и даже отображал сообщение об ошибке после первого ввода. Таким образом гарантировалось, что жертва введёт свои учетные данные дважды, что уменьшало вероятность ошибочного ввода. Этой ситуации не возникло бы, если в целевой организации были бы приняты более эффективные меры безопасности электронной почты.

Scareware (пугалка)

Суть этого типа атак заключается в том, что жертву пугают (чаще всего всплывающими окнами при посещении взломанных мошенниками сайтов), заставляя думать, что её компьютер заражён вредоносным ПО или же имеет случайно загруженный нелегальный контент. Через некоторое время, когда мошенник понимает, что жертва созрела, он предлагает решение этой фиктивной проблемы. Однако на самом деле та программа, которая предлагается жертве под видом антивируса, представляет собой вредоносное ПО, целью которого является хищение личной информации пользователя. Таким образом, создатели «пугалок» используют технологию внушения, вызывая страх пользователя и подталкивая его к установке поддельного антивирусного программного обеспечения.

Baiting (приманка)

Весьма оригинальный метод социальной инженерии, когда расчёт делается на один из самых распространённых человеческих пороков — любопытство. Суть приманки в том, что злоумышленник намеренно оставляет заражённые вредоносным ПО устройства (например, USB-накопители) в местах, где их обязательно найдут (например, в курилке офисного здания). Жертва заглатывает эту нехитрую наживку и вставляет флешку компьютер, в результате чего происходит автоматическая установка вредоносных программ в систему. Ещё один вид наживок распространяется через интернет. Потенциальным жертвам предлагается заманчивая реклама, которая на самом деле ведёт на вредоносные сайты или побуждает пользователей загружать заражённое вредоносным ПО приложение — чаще всего, разумеется, «бесплатное». Кроме того, злоумышленники нередко комбинируют приманки со Scareware-атаками, только на этот раз «пугалки» настоящие, ведь компьютер уже заражён.

Water-Holing («водопой»)

Название полностью отражает суть атаки, только «вода» здесь — отравленная. Используя сетевые уязвимости, злоумышленник пытается скомпрометировать определённую группу людей, заражая сайты, которые они посещают и которым доверяют. Объектами атак типа «водопой» нередко становятся популярные сайты, которые называют «целевой группой» (target group). Своих жертв киберпреступники, практикующие Water holing (другое название: Watering hole), называют «целевой добычей» (target prey), и чаще всего в роли такой добычи выступают сотрудники государственных учреждений или крупных организаций.

Хакеры изучают уязвимости сайтов «целевой группы» и внедряют туда вредоносное ПО, обычно спрятанное в JavaScript или прямо в HTML коде. Этот вредоносный код перенаправляет «добычу» с сайтов целевой группы на другой, где установлены вредоносное ПО или реклама. Теперь вирусы готовы заражать компьютеры, как только жертвы будут заходить на скомпрометированные сайты.

Pretexting attack (атака с предлогом)

Суть атаки заключается в том, что одна сторона просто лжёт другой, чтобы получить доступ к привилегированным данным. Мошенничество часто инициируется недобросовестным сотрудником, который делает вид, что ему нужна конфиденциальная информация от жертвы для выполнения важной задачи. Никакого взлома — чистое психологическое воздействие, которое выглядит очень естественно.

Quid pro quo (лат. «услуга за услугу»)

Такая атака обычно выполняется мошенниками, которые не имеют в своём арсенале продвинутых инструментов взлома, однако проводят предварительное исследование целей. Используя этот вид атак, злоумышленник делает вид, что оказывает жертве важную услугу. Например, хакер находит кого-то с высокими привилегиями доступа к сети и звонит ему по телефону, представляясь сотрудником службы технической поддержки компании. При успешных переговорах и согласии жертвы на «помощь» в решении якобы обнаруженных проблем, киберпреступник начинает управлять жертвой, заставляя её совершать определённые действия. Эти действия в итоге приводят к запуску вредоносного ПО в систему или же к краже регистрационных данных.

Honey Trap, Honey Pot («медовая ловушка», «горшочек мёда»)

Помните басню про ворону и лисицу? Принцип атак типа Honey Pot точно такой же. Мошенник знакомится с жертвой и притворяется, что испытывает к ней определённый интерес (например, романтическое или сексуальное влечение). Постепенно завязываются виртуальные «отношения», которые жертва начинает воспринимать всерьёз. А обаятельный преступник, не теряя времени даром, постепенно собирает конфиденциальную информацию, которая затем может быть использована, например, для взлома аккаунтов в соцсетях или ящика электронной почты. Также мошенник может получить от доверчивой жертвы удалённый доступ к её компьютеру.

Tailgating или Piggyback («задняя дверь», «катание на спине»)

Ещё один оригинальный приём из арсенала специалистов по социальной инженерии, который чем-то похож на предыдущий. В данном случае преступник входит в охраняемое помещение, следуя за кем-то с картой доступа. Разумеется, хакер уже является «другом» сотрудника с привилегированным доступом и проходит за ним в запретную зону.

Rogue Attack (мошенническая атака)

Этот способ представляет собой разновидность Scareware атак. На компьютер жертвы под предлогом безопасности устанавливается вредоносное ПО, а злоумышленник убеждает жертву, что это программное обеспечение полностью законно и безопасно. Установленная программа затем создаёт всплывающие окна и оповещения, которые советуют пользователю загрузить новое «безопасное программное обеспечение». Всплывающие окна нередко показывают пользователю несколько вариантов соглашения (с разными сценариями). Однако разницы нет: нажав «да» на любой из этих вариантов, пользователь загружает на свой компьютер опасную программу. Теперь компьютер в распоряжении злоумышленника.

Кража с диверсией (Diversion Theft)

Здесь «социальные инженеры» обманом заставляют службу доставки или курьера доставлять ничего не подозревающим покупателям подделки. А дорогие вещи, естественно, попадают прямо в руки к мошенникам. Это работает следующим образом: преступники подсаживают в компанию по доставке своих подельников, а последние получают лёгкий доступ к списку товаров для доставки, которые затем можно оперативно подменять. Этот способ кражи возник ещё до появления интернета (его родина — лондонский Ист-Энд), однако с развитием сетевых технологий преступникам стало проще манипулировать информацией.

Как защититься от атак с использованием средств социальной инженерии

Самый важный шаг в защите отдельных сотрудников и целой организации от атак с помощью социальной инженерии — систематическое и постоянное информирование всех пользователей (на всех уровнях и во всех отделах) о типах этих атак и о том, какие психологические приёмы используют злоумышленники, чтобы получить нужные данные. Кроме того, нельзя забывать и о других профилактических мерах:

• Тестирование на проникновение. Эксперты по кибербезопасности рекомендуют IT-отделам регулярно проводить тестирование на возможные атаки с использованием методов социальной инженерии. Это поможет администраторам узнать, какие пользователи представляют наибольший риск для определённых типов атак. Тест на проникновение — это искусственно смоделированная кибератака на компьютерную систему или определённых пользователей для проверки наличия уязвимостей. Такие периодические тесты полезны тем, что позволяют определить готовность пользователей, и оценить возможные масштабы утечки данных. Проводить имитацию фишинговых тестов можно с использованием специальных программ. В ходе тестов сотрудникам рассылают фишинговые электронные письма и выясняют, кто попадается на тактики социальной инженерии. Затем эти сотрудники могут пройти переподготовку.

• Двухфакторная аутентификация (2FA). 2FA включает два метода подтверждения личности: например, пароль и код на телефон. Это один из наиболее эффективных методов противодействия атакам по технологиям социальной инженерии.

• Использование защиты от вредоносных программ. Такая защита должна быть комплексной и включать антивирусное ПО для веб-сёрфинга, почтовый антивирус и антишпионское ПО (antimalware). Некоторые компании предоставляют пакетную защиту, но можно использовать и несколько хороших приложений от разных разработчиков. Одной из наиболее важных задач такой защиты является предотвращение опасностей при нажатии пользователем на ссылки из писем и в мессенджерах. Таким образом, если пользователь нажимает на ссылку (в браузере, электронной почте или мессенджере) и если веб-страница является подозрительной с точки зрения сетевых угроз, защита должна предотвращать загрузку страницы с вредоносным контентом и блокировать её.

• Регулярные обновления операционной системы. Операционные системы на всех компьютерах организации должны оперативно обновляться, поскольку разработчики часто выпускают фиксы для устранения замеченных уязвимостей.

• Правильный подбор и периодическая смена пароля. В качестве эффективной превентивной меры организациям следует применять строгие политики управления паролями. Сотрудники должны быть обязаны периодически менять свои пароли и, что не менее важно, правильно составлять их. Лучший вариант здесь: случайно сгенерированные сложные пароли, подобрать которые практически невозможно. Разумеется, нужно обучить сотрудников и правильному хранению таких паролей.

• Использование брандмауэра. Хороший сетевой фаервол (WAF) блокирует вредоносные запросы, которые также могут включать и атаки с использованием социальной инженерии. Таким образом, прежде чем посетители попадают на ваш сайт, они фильтруются WAF, который определяет, является ли подключение безопасным, и блокирует подключение, если оно похоже на мошенническую атаку.

• Создание позитивной атмосферы. Ваши сотрудники должны чувствовать себя комфортно, без стеснения сообщая о своих подозрениях, если они считают, что стали жертвой атаки социальной инженерии: но они не сделают этого, если будут чувствовать угрозу наказания или общественного осуждения. Это важно, поскольку если о таких атаках сообщается сразу после их возникновения, угроза может быть оперативно устранена до того, как компании будет нанесён слишком большой ущерб.

Но эти советы предназначены прежде всего руководству компании и IT-специалистам, а что же делать пользователям, в том числе и с высоким уровнем доступа, которые тоже часто теряют бдительность? Им мы тоже дадим несколько советов, которые с некоторой вероятностью помогут предотвратить создание уязвимостей.

• Чтобы определить, было ли письмо подделано, тщательно проверяйте имя отправителя и адрес электронной почты на наличие ошибок.

• С подозрением относитесь к любым неожиданным сообщениям, особенно от тех, кого вы не знаете.

• Избегайте загрузки подозрительных вложений электронной почты.

• Не переходите по ссылкам из подозрительных писем. А лучше взять в привычку вообще не кликать по таким ссылкам, не убедившись на 100%, что они ведут на надёжный сайт.

И напоследок красноречивая статистика: в американском отчете о киберпреступности за 2019 год говорится, что фишинговые атаки нанесли ущерб физическим и юридическим лицам в размере около 58 миллионов долларов. Кроме того, около 115 тысяч человек или организаций стали жертвами этих атак. И чтобы адекватно оценить эти цифры и масштаб угрозы, следует иметь в виду, что этот отчёт касается только США.