Как взламывают «операционную систему» человека
Киберпреступники зачастую пользуются методами социальной инженерии — рядом приемов, позволяющих подтолкнуть человека к раскрытию ценной информации.
Источник: CNews.Ru. Как взламывают «операционную систему» человека
Опасность таких атак высока, а жертва обычно не понимает, что ее действия наносят вред. Эксперты компании McAfee постарались разобраться в этой проблеме и выделили основные виды атак, каналы, которыми пользуются злоумышленники, а также разработали методы защиты.
Одной из составляющих многих кибератак являются социотехники — методы социальной инженерии. С их помощью злоумышленники пытаются убедить человека, выбранного в качестве объекта кибератаки, совершить то или иное действие, приводящее к заражению системы или раскрытию ценной информации.
Несмотря на то, что при устранении последствий атаки основное внимание уделяется техническим проблемам, человеческий фактор приводит к тому, что в случившемся начинают винить сотрудника, ставшего объектом атаки, а от остальных требуют большей осторожности в вопросах безопасности. Проблема, однако, в том, что в большинстве организаций мало что предпринимается для выяснения причин, по которым злоумышленникам удалось успешно атаковать объект и, что более важно, как снизить риски новых атак.
Эксперты Радж Самани (Raj Samani), главный технический директор компании McAfee в регионе EMEA, и Чарльз Макфарланд (Charles McFarland), старший инженер-исследователь McAfee Threat Intelligence Service, дают термину «социотехника» следующее определение. Это намеренное использование методов, нацеленных на то, чтобы обманным путем подтолкнуть человека к раскрытию информации или совершению действий, которые могут привести к раскрытию информации.
В ходе социотехнической атаки объект атаки не осознает, что его действия являются вредоносными. Методы социотехники основаны на злоупотреблении доверчивостью объекта атаки, а не на использовании его преступных инстинктов. Атаки можно разделить на две категории: «охота» и «животноводство». «Охота» предполагает получение информации при минимальном взаимодействии с объектом атаки. При таком подходе взаимодействие, как правило, сводится к одиночному контакту атакующего с атакуемым, и после получения информации атакующий сразу прекращает общение с атакуемым. «Животноводство» предполагает установление продолжительных отношений с объектом атаки с целью его «доения» (т. е. получения информации) на протяжении длительного периода времени.
Ход атаки
Социотехнические атаки с использованием электронной почты в качестве средства связи чаще всего носят характер «охоты». Конечно, есть исключения вроде «нигерийских писем», в которых делаются попытки продлить контакт с целью извлечения большего количества денег. Социотехнические атаки в категориях «охота» и «животноводство» проводятся, как правило, в четыре этапа.
Первый этап — сбор информации. Цель этого необязательного этапа — сбор об объекте атаки информации, которая поможет «зацепить» его: увлечения, место работы, поставщики финансовых услуг и т. п.
Второй этап — «зацепка». Цель «зацепки» — успешно «развести» объект атаки, вступив с ним в контакт и создав повод для взаимодействия. Психолог Роберт Чалдини (Robert Cialdini) описал шесть рычагов влияния на объект атаки: взаимность (получив что-либо, люди чувствуют себя обязанными и стремятся дать что-нибудь взамен), дефицит (люди склонны выполнять просьбу, если считают, что речь идет о чем-то редком), последовательность (если объект атаки пообещал что-то сделать, то он будет стремиться выполнить обещание, чтобы не казаться неблагонадежным), симпатия (объект атаки охотнее выполняет просьбу, если злоумышленник ему симпатичен), власть (люди склонны выполнять просьбы, поступающие от представителей власти), социальное доказательство (склонность выполнять просьбу, если другие делают то же самое).
Третий этап — «разводка». Суть его заключается в выполнении основной части атаки. Это может быть раскрытие информации, переход по ссылке, перечисление денежных средств и т.д.
Четвертый этап — выход. Завершение взаимодействия. Во многих атаках, относящихся к категории «животноводство», злоумышленнику выгодно выходить из игры так, чтобы не вызывать подозрений. Однако это не всегда необходимо. Например, когда злоумышленнику удается убедить объект атаки раскрыть данные платежной карты, он, как правило, не хочет вызывать подозрений, чтобы объект атаки не заблокировал карту, объявив ее потерянной или украденной. Но если злоумышленнику удалось украсть исходный код или личную информацию, то объект атаки не сможет восстановить украденные данные даже в том случае, если у него возникли подозрения.
Попытки применения методов социотехники не всегда линейны: та или иная отдельная атака может быть частью более крупной кампании по сбору взаимосвязанных данных. Например, злоумышленники могут провести одну атаку, получить необходимую информацию и исчезнуть. Или же они могут провести ряд атак, относящихся к категории «охота», а затем, используя собранную информацию, инициировать атаку, относящуюся к категории «животноводство».
Каналы атаки
Для проведения атак злоумышленники могут использовать разные каналы. Нередко для социотехнических атак используются вредоносные веб-сайты. Согласно отчету компании Verizon о расследовании утечек данных за 2014 г. (2014 Verizon Data Breach Investigations Report), в 20% атак, проводимых с целью шпионажа, для доставки вредоносного ПО используются механизмы стратегического взлома веб-сайтов.
Самыми распространенными видами социотехнических атак с использованием электронной почты являются фишинг вообще и целенаправленный фишинг в частности. Рассылка электронных почтовых сообщений — эффективный метод проведения атаки, поскольку, согласно отчету Verizon, по ссылкам в фишинговых электронных сообщениях переходит 18% пользователей.
Телефон в качестве канала связи пользуется популярностью у информационных посредников. Бывает, что злоумышленники встречаются с сотрудником компании лично, тогда они могут принудительно или обманным путем заставить его предоставить информацию. Почтовая служба не столь популярна, как другие каналы связи, но тоже присутствует в общей статистике по атакам. Также злоумышленники используют факс — примером такой атаки может быть поддельное сообщение от системы электронных платежей.
Защита от социотехнических атак
Эксперты компании McAfee Радж Самани и Чарльз Макфарланд выделяют средства, которые можно использовать для уменьшения опасности социотехнических атак. Условно они разделены на три категории: люди, процессы и технологии.
Людям эксперты советуют устанавливать четкие границы. Все сотрудники должны быть ознакомлены с принятыми в организации правилами раскрытия информации и иерархическим порядком обработки запросов, выходящих за пределы их полномочий. Также должна быть разработана и внедрена программа повышения осведомленности сотрудников в вопросах безопасности, предполагающая постоянное обучение сотрудников. Для привлечения внимания сотрудников McAfee разработал специальный тест на умение распознавать фишинг.
Сотрудники не должны бояться сомневаться даже в самых безобидных на вид запросах. Например, сотрудник должен не бояться расспросить человека, пытающегося вслед за ним пройти в служебное помещение. Даже самая незначительная на вид информация, такая как номера телефонов (информация, дающая новые возможности), может быть использована для проведения атаки, поэтому полезно объяснять важность любых сведений.
Важно также не заниматься поиском виновных. Объекты социотехнических атак являются жертвами. Наказывая отдельных сотрудников, ставших жертвами обмана, работодатель создает атмосферу, в которой сотрудники не будут готовы признаваться в разглашении информации. Будучи один раз обманутыми, они могут попасть под контроль злоумышленника, который затем может начать их шантажировать.
С точки зрения процессов рекомендуется при обнаружении подозрительных действий составлять отчеты с указанием всех подробностей. Это помогает расследовать инциденты. Также при переходе на вредоносную веб-страницу у сотрудника должна отобразиться блокирующая страница с информацией о причинах блокировки.
Компаниям также рекомендуется оповещать клиентов. Когда организация отказывает звонящим в предоставлении информации, она должна сообщить им об этом и проверить, имеет ли звонящий право на получение запрашиваемой информации. Кроме того, организациям следует установить порядок обмена информацией с клиентами. Например, PayPal предоставляет пользователям следующую инструкцию по проверке подлинности получаемых электронных сообщений: «в своих электронных письмах мы никогда не запрашиваем информацию следующего типа: номера банковских карт, номера банковских счетов, номера водительских удостоверений, адреса электронной почты, пароли, ваше полное имя».
Для персонала, непосредственно работающего с клиентами, должен быть разработан простой порядок передачи потенциально мошеннических сообщений на рассмотрение в вышестоящие инстанции. Кроме того, стоит регулярно проводить проверки на уязвимость сотрудников к социотехническим атакам.
Избежать утечек информации также помогут простые технологические решения. Необходимо регулярно записывать входящие телефонные звонки — это помогает расследовать инциденты. Подозрительные звонки должны перенаправляться на контролируемый номер. Электронные сообщения, содержащие известные и неизвестные вредоносные программы, стоит сразу удалять. В компании должна быть настроена фильтрация веб-трафика и заблокирован доступ к вредоносным сайтам. Кроме того, нужна строгая проверка подлинности. Не устраняя полностью риск того, что в результате социотехнической атаки пользователи могут раскрыть злоумышленникам свои учетные данные, многофакторная проверка подлинности, однако, значительно усложняет злоумышленникам задачу получения учетных данных.
Опасность социотехнических атак очень серьезна. С их помощью киберпреступники незаконно получают доступ к информации, используемой в различных вредоносных целях. Для эффективной борьбы с этой проблемой необходимо понимать природу социотехнических атак. Это значит, что необходимо уметь выявлять наиболее вероятные действующие лица, используемые ими методы проведения атак и имеющиеся у них ресурсы, а затем принимать соответствующие меры по снижению уровня риска, связанного с такими атаками.
Василий Окулесский, эксперт в области информационной безопасности, считает, что социальная инженерия занимает все более значимое место в организации кибератак.
По вашему мнению, усиливается ли роль социальной инженерии в кибермошенничестве, кибератаках?
Василий Окулесский: Я бы даже усилил акцент — социальная инженерия сейчас стала вполне самостоятельным видом мошеннического бизнеса. «Добровольный» увод персональных и учетных данных, увод денег, отработка нетехнических способов получения критически важных данных до проведения специальных «тематических» атак на банковские структуры — эти методы используются мошенниками все чаще.
Нужна ли просветительская работа среди сотрудников компании в свете борьбы с социальной инженерией, и как она должна быть организована?
Василий Окулесский: Такую работу необходимо проводить, но ее надо сильно профилировать по аудиториям, типам атак, возможным последствиям. Надо проводить разнообразные тренинги по повышению психологической устойчивости. Направлений много, соответственно, много отдельных задач.
Насколько эффективны технические средства защиты при идентификации, локализации атак с использованием социальной инженерии?
Василий Окулесский: Это разные субъекты и объекты информационных отношений, с разными задачами и способами реализации. Но, как правило, все технические средства, возможные для использования в этой области, должны решать похожие задачи : фиксация самого факта инцидента, по возможности установление источника, в идеале — установление личности (личностей) участников. Это может быть и контроль трафика, и запись телефонных переговоров, и использование специальных средств трассирования и локации, использование специальных средств анализа социальных сетей и так далее. Для каждого вида воздействия свой арсенал.
Как вы оцениваете уровень готовности к атакам с использованием социальной инженерии в банковском секторе России по сравнению с развитыми рынками?
Василий Окулесский: Уровень готовности сильно зависит от типа атак. Но в любом случае объектом атаки являются люди, а не техника, в том и фокус, что высокий уровень технической защищенности не сможет противостоять атаке на эмоционально неустойчивую личность. Кроме того, атаки на родительские чувства неискоренимы, значительная часть родителей бросается сначала искать деньги в ответ на телефонный звонок, и только потом начинает анализировать ситуацию.
Ну и «пока на свете живы дураки, мошенники благословлять судьбу должны». Есть масса случаев, когда на всплывающее окно «проверьте безопасность своей карты» пользователи интернета вводят данные кредитки. «Тематические» атаки в социальных сетях — отдельная песня. Сами по себе социальные сети не добро и не зло. Это транспорт, инструмент. Не надо запрещать ими пользоваться, но необходимо установить правила их использования, правила техники безопасности и научиться правильно контролировать выполнение этих правил.
Сергей Крамаренко, руководитель службы контроля ИБ «Вымпелкома», рассказал об опыте борьбы с инцидентами, в которых весомую роль играют методы социальной инженерии.
Насколько часто оператор сталкивается с инцидентами в сфере информационной безопасности, инициированными с помощью социальной инженерии?
Сергей Крамаренко: Инциденты в сфере ИБ в любой крупной компании, такой как «Вымпелком», случаются регулярно. Конечно, они не одинаковы по масштабу и влиянию на бизнес. Но в сфере обеспечения ИБ гораздо важнее то, как быстро происходит идентификация инцидентов и насколько эффективно компания способна их предотвращать, минимизируя негативные последствия. Также важно проводить пост-фактум «работу над ошибками» и планировать на будущее проведение необходимых мероприятий. К счастью, крупные по своим последствиям инциденты с использованием социальной инженерии единичны. Мелкие инциденты случаются в среднем раз в месяц, но мы с ними быстро разбираемся.
Расскажите, пожалуйста, о самом ярком инциденте за последние пару лет.
Сергей Крамаренко: Внешние злоумышленники сделали рассылку писем сотрудникам компании, содержащих ссылку на сайт в сети интернет с вредоносным ПО. В результате были заражены рабочие станции, на которых были зашифрованы файлы пользователей. Через интернет отправлялись сообщения на командный центр управления бот-сетью. SOC (Security Operation Center) «Вымпелкома» оперативно среагировал, перекрыл инфицированным компьютерам выход в интернет, связался с вендорами антивирусных решений, передал образцы вредоносного ПО для выпуска обновлений БД сигнатур и организовал восстановление данных из back-up с привлечением специалистов дирекции ИТ.
Какие риски для бизнеса были сформулированы в результате?
Сергей Крамаренко: По факту инцидента с сотрудниками была проведена разъяснительная работа. Говорилось о недопустимости действий, нарушающих правила пользования ИТ-сервисами компании, о том, что такие действия несут риски нарушения конфиденциальности/целостности критически важной корпоративной информации и доступности элементов ИТ инфраструктуры.
Как меры принимаются в компании для нивелирования этих рисков?
Сергей Крамаренко: Ежегодно в компании формируется и реализуется план повышения осведомленности сотрудников в вопросах ИБ. Параллельно модернизируются системы и средства защиты ИБ, эксплуатируемые в SOC, ведется постоянный мониторинг сетевой и пользовательской активностей, выявление аномалий. Каждый месяц формируется отчет по рискам ИБ, проводится их анализ. Наиболее значимые с финансовой точки зрения риски озвучиваются на заседании комитета по управлению рисками (Corporate Risk Committee). В дирекции ИТ и департаменте ИБ налажена система контроля соответствия требованиям как национального законодательства (ФЗ-152 «О персональных данных»), так и международного (SOX-404 (CobIT)), а также стандартов ISO 27001 и PCI DSS, что подтверждено соответствующими сертификатами внешних аудиторов.
Оцените, пожалуйста, эффективность принятых мер.
Сергей Крамаренко: Динамика результатов, получаемых по итогам плановых тестов осведомленности сотрудников в сфере ИБ, говорит о снижении тенденции нарушений, допускаемых пользователями. Поясню: ежегодно «Вымпелком» тестирует всех новых сотрудников, а также тех, кто ранее показал неудовлетворительные результаты во время проверок. В тестировании участвуют все российские офисы компании, суммарно речь идет о тестировании примерно 20% персонала. Например, в 2012 году 16% сотрудников, участвовавших в тестировании, выполнили действия, которые могли бы привести к негативным последствиям для компании. В 2013 году их доля снизилась до 13%, в прошлом году она составила 7%. Работа по повышению осведомленности и культуры в сфере ИБ продолжается.
Внедрение новых средств защиты информации, таких, например, как системы выявления аномалий и проведения киберрасследований, позволит SOC проактивно реагировать на новые угрозы и вызовы ИБ. Обсуждение и эскалация рисков ИБ на CRC привела к заключению «Вымпелкомом» договора о страховании киберрисков с одной из крупных международных страховых компаний.
Станислав Павлунин, вице-президент по безопасности Тинькофф Банка, рассказал CNews, что за последние пару лет банк зафиксировал более 10 кибератак с применением методов социальной инженерии. Все они были вовремя идентифицированы и безуспешны.
Сколько раз за 2013-2014 года вы сталкивались с инцидентами в сфере информационной безопасности, инициированными с помощью социальной инженерии?
Станислав Павлунин: За это время было 12 серьезных попыток, которые привели к ИБ-инцидентам в банке. Часть их мы эмулировали сами, искусственно, а 4 атаки были внешними.
Какими были потери от этих инцидентов?
Станислав Павлунин: Потерь не было, потому что Тинькофф Банк — высокотехнологичный онлайн-банк, и у нас стоят одни из самых совершенных систем защиты, которые позволяют распознавать и предотвращать инциденты. Наиболее сложными были попытки APT-атак с использованием социальной инженерии, в основном через почтовый канал. Но все попытки были выявлены и локализованы подразделением информационной безопасности банка.
Какие риски для бизнеса были сформулированы в итоге?
Станислав Павлунин: Риски для бизнеса — это всегда возможная потеря денег.
Как меры принимаются в компании для нивелирования этих рисков?
Станислав Павлунин: В банке применяется комплекс различных мер. Это и техническое совершенствование систем реагирования, и автоматизация процессов для уменьшения времени отклика на инциденты, и обучение сотрудников, повышение уровня осведомленности сотрудников для исключения человеческого фактора, который, безусловно, влияет на общую защищенность информации в любом бизнесе.
Можно ли оценить эффективность применяемых мер?
Станислав Павлунин: Главное тут — системный подход, методология, Deming Cycle, Plan-Do-Study-Act, постоянное совершенствование. Наши меры защиты я оцениваю как эффективные.
Источник: CNews.Ru
Читайте также:
ПодписатьсяКак ускорить переход России на электронные документы
Электронный документооборот позволяет сократить издержки и повысить скорость и прозрачность работы бизнеса и государственных учреждений.