Кибербезопасность: Онлайн-лекция

с подписчиками радостью о том, что в ближайшее время намерен отправиться со своей девушкой Катей в путешествие, однако пара ещё не определилась, куда именно. Собственно, поэтому Олег просит совета у аудитории.

На следующий день ему на электронную почту приходит сообщение от Кати, в котором она спрашивает:

Как тебе этот отель? Осталось несколько вариантов на наши даты.

Разумеется, в письме имеется ссылка. Как правило, пара общается в мессенджерах или по телефону, но письмо не заставило Олега проявить бдительность – мало ли, так Кате было удобнее? Парень переходит по ссылке, а в это время на его рабочий компьютер проникает вредоносная программа, открывающая хакеру доступ к конфиденциальной информации.  Что произошло? Верно, Олег попался на приём социальной инженерии.

Виды социальной инженерии

Чтобы знать, как не стать жертвой кибератак, необходимо понимать, какими они бывают. Существует огромное количество типов угроз в интернете, а самая распространённая из них – социальная инженерия, целью которой является обход систем безопасности компаний, частных лиц, а иногда и физических объектов инфраструктуры посредством психологических манипуляций. Большинство подобных атак базируется на человеческой невнимательности.

Основные методы атак социальной инженерии:

1. Фишинг-атака (от англ. phishing; происходит от слов phreaking (сленговое слово, обозначающее взлом телефонных автоматов или мобильных сетей) и fishing (рыбалка). В фишинге мошенники используют средства ежедневной коммуникации – электронную почту, мессенджеры, голосовую связь и т. д. К слову, существует немало вариаций данного типа атак. Пример, который уже вошёл в разряд мемов: по электронной почте приходит письмо о том, что где-нибудь в Австралии умер богатый родственник, а единственным наследником является адресат. Однако для того, чтобы вступить в наследство, необходимо заплатить комиссию, перейдя по ссылке. Чаще всего авторы фишинг-сообщений преследуют именно эту цель – переход по ссылке. Правда, ведёт она на поддельный сайт с вредоносным ПО, которое помогает хакеру в проникновении на устройство жертвы и завладении всевозможной персональной информацией, включая доступы к платёжным инструментам.
2. Контекстная атака или претекстинг. В данном виде атаки используется контекст, чтобы жертва предоставила доступ к требуемой информации или ресурсам.

Пример: сотруднику крупной компании на рабочую почту приходит письмо от руководителя (сотрудник знает о существовании этого руководителя, но никогда не общался с ним лично). В письме содержится просьба решить какую-нибудь задачу, которая не идёт вразрез с полномочиями. Например, выслать данные или авторизовать пользователя в системе. Так невнимательный сотрудник в стремлении выслужиться перед начальством подвергает риску корпоративную информацию.

К слову, контекстные атаки не всегда совершаются по электронной почте. Это могут быть мессенджеры или даже телефон. Главное – контекст. По идентичной схеме работает небезызвестный звонок из службы безопасности банка, при котором усыпляют бдительность жертвы, сообщив ряд её персональных данных. Лектор Евгений Лаптев рассказал:

Однажды, используя методологию контекстной атаки, мне удалось отправить своё начальство в командировку, минуя длинные цепочки согласования. Туроператор просто поверил мне на слово и выписала дорогостоящие билеты в зарубежную командировку, хотя не должна была этого делать по регламенту. Дело было в пятницу вечером. А я рассказал историю о том, что забыл сделать это вовремя, и теперь меня точно уволят. Забегая вперед, скажу, что уволили нас с начальством чуть позже и именно из-за этой командировки. Но факт остается фактом. Люди всегда готовы помочь другому человеку, если им дать контекст, строго ограниченный по времени. 

 

3. Следования, или tailgating. Данные атаки происходят в реальном мире: злоумышленник следует за человеком, имеющим доступ на охраняемую территорию (или же выдаёт себя за такового; переодевается в курьера или работника технических служб). Собственно, цель – непосредственно проникновение на закрытую территорию.

Этапы социальной инженерии

Атаки бывают медленными и быстрыми. Первые основываются на формировании длительных отношений между мошенником и жертвой – злоумышленник втирается в доверие и осуществляет обман в течение нескольких недель или месяцев. Во вторых наибольший акцент ставится на невнимательности.

Но чаще всего подготовка и проведение атаки занимает от нескольких часов до нескольких дней. Вне зависимости от длительности, атака проходит в несколько этапов:

• Выявление жертвы. Социальный инженер подыскивает жертву и изучает её.
• Наживление. После того, как жертва определена, мошенник выбирает наиболее оптимальную тактику обмана и приступает к контакту, используя собранные данные. Это может быть информация из социальных сетей, с официальных сайтов компаний, государственных порталов, украденных баз данных и т. д.
• Исполнение. Непосредственно обман.
• Выход. По окончании обмана, мошенник скрывает своё участие, защищает факт присутствия.

Как защитить личные данные?

Защита от социальной инженерии – задача несложная. Но для начала необходимо научиться распознавать атаки. Основное, на чём они базируются, – эмоции.

Поэтому первое правило: оказавшись в ситуации, которая вызывает внутреннее волнение или сомнение, стоит взять небольшую передышку и успокоиться. Дело в том, что эмоциональная вовлечённость жертвы играет на руку злоумышленникам – чем меньше она думает и чем быстрее принимает решение, тем выше шанс на успех.

Второе важное правило: не ленитесь проверять. Получив сообщение от близкого человека с просьбой перевести деньги, позвоните ему и поинтересуйтесь, он ли это был? Но есть одно «но»: некоторые умельцы ставят переадресацию, подделывают голос или используют записи односложных ответов. При малейших сомнениях задайте вопрос, ответ на который знает только человек, от имени которого с вами ведётся разговор.

Третье правило: незамедлительно прекращайте диалог, если «сотрудник банка» выбрал агрессивную манеру общения, проявляет чрезмерную настойчивость, пытается давить.

Четвёртое правило: относитесь к «халяве» с максимальным скепсисом. Это всегда слишком хорошо, чтобы быть правдой.

Пятое правило: спросите себя, насколько происходящее правдоподобно? Какова вероятность, что у вас есть дядя в Австралии, который оставил наследство? Или зачем банку по телефону узнавать данные вашего счёта, если у них эта информация точно есть? А где и как вы могли выиграть миллион долларов?

Шестое правило: и снова о бдительности. Очевидные подмены символов в знакомых адресах, орфографические и пунктуационные ошибки – всё это должно наталкивать на мысль об обмане. Особенно в том случае, если речь идёт о сотрудниках банков или различных крупных компаний.

Лектор поделился историей:

Одному моему товарищу, который работает в крупной корпорации, пришла рассылка. В ней ему, как сотруднику компании, полагалась годовая подписка на стриминговый сервис. Для активации подписки надо было войти в свою рабочую запись по своему рабочему логину и паролю. Он открыл ссылку из письма, попал на фишинговый сайт, который был полностью полной копией настоящего сервиса. Но с опечаткой в адресной строке. Был бы внимательнее – не попался бы. Хорошо, что в тот раз это была внутренняя проверка службы безопасности. Моему товарищу сделали выговор и отправили на обучение.

Что ещё можно сделать для своей защиты?

• Регулярно обновляйте антивирус и системное ПО. Это позволит хотя бы немного снизить вероятность попадания вредоносных программ на ваши устройства.
• Старайтесь не использовать смартфон с root-правами или ПК в режиме администратора. Злоумышленник, получивший доступ к устройству, сможет изменить настройки системы, извлечь необходимую ему информацию.
• Используйте надёжные и уникальные пароли. В противном случае мошенник, завладев лишь одним паролем, получит доступ ко всем вашим учётным записям.
• Используйте двухфакторную аутентификацию. Чем больше мер защиты от несанкционированного доступа, тем меньше вероятность того, что кто-то посторонний авторизуется в вашем аккаунте.

Ещё один действенный вариант – минимизировать цифровой след. Чем меньшим количеством информации о себе вы делитесь в интернете, тем злоумышленникам сложнее найти «крючок», на который вы «клюнете».

Бизнес в сфере кибербезопасности

Разумеется, кибербезопасность, в первую очередь, связана с IT. Ежегодно разрабатывается огромное количество цифровых продуктов, которые помогают пользователям (как частным лицам, так и компаниям) быть менее уязвимым к мошенническим атакам в интернете.

Из сравнительно свежих и успешных стартапов можно назвать Beyond Identity – это продукт, который не только повышает безопасность, но и сильно упрощает жизнь пользователей. Представляет собой защищённое хранилище ключей. Юзер же становится доверенным сертификатом самого себя.

Или решение Sevco Security. Этот продукт направлен на выявление взаимосвязи между людьми, устройствами и приложениями, а также оценку рисков от соответствующих взаимосвязей.

А вот Enso Security представляет собой платформу для инвентаризации и контроля безопасности используемых в компании приложений. Сервис собирает информацию о разработчиках и патчах, определяет уровень безопасности по приложениям в целом и т. д.

В 2020 году появилась платформа Cado Security, которая расследует цифровые преступления в банковской сфере. Она оценивает влияние нарушений на всевозможные экосистемы – от облачной до корпоративной инфраструктуры.

Мобильное приложение Traced помогает защититься от фишинга, вредоносного и шпионского ПО, непроверенных Wi-Fi-сетей.

Есть и более креативные решения: французский сервис Riot предназначен для обучения сотрудников компаний выявлять фишинговые атаки, для чего сам время от времени эти фишинговые атаки и организует. Правда, ненастоящие.

На самом деле, вариантов для бизнеса в данной сфере бесчисленное множество. Главное – проявить фантазию!