Американские специалисты по кибербезопасности предложили провести мероприятия по всему миру, цель которых — повышение осведомленности о хакерских угрозах. Октябрь нынешнего года планируется назвать «месяцем распространения знаний о безопасной работе в Интернете». О том, что такое социальная инженерия, как работают киберпреступники и о чем должен знать каждый пользователь ПК, поговорим в материале.

Социальная инженерия, или Психология на службе у хакеров

Социальная инженерия — это наука, исследующая уязвимости человеческой психологии, которыми может воспользоваться хакер, чтобы втереться в доверие к пользователю и получить доступ к чужой компьютерной системе.

Приведем пример. В августе нынешнего года было заведено уголовное дело на хакера Егора Крючкова, который попытался проникнуть в компьютер компании Tesla. Он заранее связался с сотрудником и пообещал ему 1 млн долларов за поддержку преступного плана. Сотрудник должен был открыть на корпоративном ноутбуке вредоносную ссылку. А затем Крючков планировал осуществить DDoS-атаку (доведение системы до отказа), вследствие чего все финансовые данные могли попасть в руки хакера. Свой выигрыш Крючков оценивал в 4 млн долларов. Однако сотрудник, на которого рассчитывал хакер, вел двойную игру: согласившись содействовать Крючкову, он сообщил о запланированном преступлении в ФБР — и по приезде в Лос-Анджелес хакера арестовали.

История этого преступления имела для хакера печальный финал. Однако зачастую киберпреступники выигрывают за счёт того, что не сообщают сотрудникам интересующих их компаний о собственных намерениях. Они действуют по-другому: вычисляют, в каких сферах и организациях «вращаются» большие деньги, отслеживают профили сотрудников в социальных сетях, откуда можно почерпнуть немало интересного — и затем вступают в переписку с потенциальной жертвой.

Киберпреступники могут прислать сообщение якобы от коллеги, который отправляет ссылку или вложение, относящееся к проекту. Как вариант — заводят беседу на LinkedIn и выведывают секретные данные. Либо начинают общение в социальных сетях, предлагают совместные проекты — а затем невзначай узнают персональные данные начальства. Это может быть ФИО, дата и место рождения, паспортные данные, имена родственников. Сведения кажутся сотрудникам незначительными. Но для хакеров этого оказывается достаточно, чтобы подобрать пароль к банковскому аккаунту компании и снять деньги со счёта.

Иногда корпоративные счёта оказываются под угрозой из-за халатности персонала. Сотрудник компании ищет подрядчиков на биржах фриланса. Он заключает договор, не видя ничего плохого в том, чтобы работать, подключившись к общественному Wi-Fi соединению. А ведь открытая сеть находится «под прицелом» у хакеров: никто не отслеживает подозрительную активность, и кибермошенники легко получают доступ к конфиденциальным данным, учетным записям по доступу к финансовым системам, приложениям клиент-банков и прочим сервисам. Поэтому сотрудникам необходимо помнить, что нельзя осуществлять финансовые операции, при подключении к незащищенной сети.

Как выглядит социальная инженерия в действии?

На данный момент распространены четыре разновидности киберпреступлений, которые совершаются благодаря разработкам социальной инженерии. Рассмотрим подробнее каждый из них.

1. Бейтинг (с английского bait — приманка) — привлекающие внимание объявления, которые стимулируют интерес пользователя, и он переходит на сайт с вирусом. Разумеется, приманка является ловушкой. Например, в социальной сети появляется объявление о розыгрыше денег, где каждый получит приз. Перейдя по ссылке, любопытный пользователь получит разве что проблему с компьютером.

Хотя всем известно, что бесплатный сыр — только в мышеловке, люди по-прежнему "ведутся" на бейтинг. Так, в 2016 году исследователи Университета Иллинойс провели эксперимент. Они записали программы на USB-флешки и разместили их в разных местах студенческого общежития. 48% девайсов обнаружили, подобрали и инсталлировали программы с флешек на компьютеры.

А, в свою очередь, исследователи записали HTML-файлы на USB с тэгами IMG, чтобы отследить активность пользователей. Оказалось, что только 16% людей предварительно просканировали флешку на наличие вирусов.

Конечно, для этого эксперимента не использовались вредоносные файлы, но факт остаётся фактом: любопытство заставляет пользователей совершать действия, идущие в разрез любым принципам кибербезопасности.

2. Лжеантивирус (scareware) — вам на е-мэйл приходит уведомление о том, что компьютер инфицирован либо зафиксирована активность пользователя на запрещенных сайтах. Хакеры требуют некую сумму, чтобы освободить пользователя от дальнейшей ответственности. Либо предлагают скачать программное обеспечение, которое защитит от вирусов. Если пользователь установит такое ПО на компьютер, на самом деле, он откроет хакеру доступ к персональной информации. Наиболее известные примеры вредоносных программ, «маскирующихся» под антивирусы, — SpySheriff, XP Antivirus, Total Secure, AdwarePunisher. Чтобы избежать проблем со scareware, необходимо устанавливать только лицензионное, известное вам программное обеспечение. Ведь безопасность ПК — не пространство для экспериментов.

3. Претекстинг — хакер выходит на «жертву» в социальных сетях, позиционирует себя как социолог, проводящий опрос, клиент, желающий совершить покупку, или представитель крупной компании, заинтересованный в ценном сотруднике. В результате общения «жертва» сообщает хакеру ценные сведения, которые в дальнейшем используются для организации кибератаки.

Стью Сиджовермен, генеральный директор в Know4Blog, поделился примером претекстинга, где ясно видно, как хакер обошёл двухфакторную аутентификацию при помощи психологического трюка. Один сотрудник банка находился в баре, когда ему позвонили якобы из банка и сообщили о подозрительной активности в его аккаунте. Голос на другом конце провода попросил сообщить код из шести цифр, который пришел на смартфон. Узнав эти цифры, хакеры получили доступ к финансовому аккаунту сотрудника — и перевели $1000 на счёт преступника. Пользователь допустил огромную ошибку, продиктовав цифры по телефону. Как правило, настоящие банковские сотрудники не просят сообщать им подобные персональные данные.

4. Фишинг — самое распространенное киберпреступление, в ходе которого жертва получает на е-мэйл письмо с просьбой загрузить файл или перейти по ссылке. Пользователям стоит быть внимательными, ведь современные методы социальной инженерии позволяют сформировать письмо в персонализированной манере. Например, не так давно я делала серию материалов о смарт-телевидении. На корпоративный е-мэйл мне пришло сообщение следующего содержания:

«Здравствуйте! Меня очень заинтересовала Ваша статья о Смарт-ТВ, опубликованная на сайте Х (здесь был указан адрес веб-портала, на котором я никогда не публиковалась). Я хочу поделиться с Вами информацией, которая поможет в Ваших дальнейших публикациях». Затем в письме стояла ссылка, которую, разумеется, я не стала открывать, потому что её вредоносность очевидна.

Какие меры безопасности можно предпринять?

Законодательство, в большинстве случаев, неспособно решить вопрос, потому что хакер, взломавший систему, может быть родом из любой страны, и отследить его личность не так-то просто. Уголовных дел, заведенных на хакеров, — единицы, и они, как правило, сразу получают огласку. Но киберпреступлений происходит бесчисленное количество, а их инициаторы остаются безнаказанными. Поэтому западные компании внедряют кибербезопасность в качестве ключевого элемента корпоративной культуры, справедливо считая: осведомлен — значит, вооружен.

По информации Trend Micro, для осведомленности сотрудников применяются следующие методы:

• непрерывное обучение в виде тренингов;
  
• искусственный интеллект и машинное обучение используются, чтобы распознать BEC-атаку (используются поддельные деловые е-мэйлы);
  
• ограничение доступа к сенситивной информации (персональным данным сотрудников) путём установления защитных программ на мобильные телефоны;
  
• внедрение контролируемой практики BYOD (использование личных электронных устройств сотрудников для корпоративных целей);
  
• отслеживание активности сотрудников в социальных сетях, которые также могут использоваться хакерами для получения информации о проектах, над которыми в данный момент работает сотрудник;
  
• применение фильтров для блокировки фишинговых сообщений;
  
• использование vpn-серверов, для обеспечения безопасного подключения к корпоративным ресурсам посредством публичных сетей передачи данных;
  
• использование менеджеров паролей, таких как Last Pass, обеспечивающих сохранность паролей от всех аккаунтов и фиксацию активности пользователя;
  
• обсуждение вопросов кибербезопасности с бизнес-партнерами, поставщиками, наемными сотрудниками.
  

Anastasiia Shkuro