Как противостоять кибератакам, использующим социальную инженерию

Десять лет назад большинство кибератак начиналось с установки вредоносного ПО или c комплекса сложных действий, направленных непосредственно на инфраструктуру компании. Но сегодня все изменилось, и злоумышленники чаще всего используют фишинговые рассылки для кражи учетных данных.

 Рис. 1. Поиск лазеек в сложной инфраструктуре

Рис. 1. Поиск лазеек в инфраструктуре

Переход на цифровые технологии происходит повсеместно, и от этого никуда не деться. Это необходимый и естественный шаг в эволюции общества. Вопрос не в том, когда произойдет цифровая трансформация и будет ли происходить вообще, а в том, как она будет происходить. Мы в Microsoft ставим своей целью обеспечить безопасность цифровой трансформации. Мы даем нашим пользователям возможность защищать свои данные, обнаруживать кибератаки и реагировать на них.

Техники социальной инженерии сами по себе не новы. Они использовались задолго до появления современных широкополосных каналов связи. Но прежде мы называли таких злоумышленников не хакерами, а просто мошенниками. Фрэнк Абегнейл, старший консультант фирмы Abagnale & Associates, однажды сказал: «В прежние времена мошенники хорошо выглядели, были вежливыми, хорошо одевались, грамотно говорили и умели себя представить. Теперь все это не нужно. Преступники могут находиться в тысячах километров от жертвы».

Многие хакерские группы, такие как STRONTIUM — это просто современные мошенники. Они используют традиционные мошеннические приемы, только уже в цифровом мире. Они предпочитают такой способ действий потому, что отправить фишинговое электронное письмо гораздо проще, чем найти новую брешь или уязвимость, открывающую доступ к критически важным элементам инфраструктуры.

  Рис. 2. Пример фишингового письма от STRONTIUM

Рис. 2. Пример фишингового письма от STRONTIUM

Кит А. Родс, старший технолог Счетной палаты США, говорит: «Всегда найдется технический способ проникновения в сеть, но иногда это легче сделать через сотрудников компании. Надо просто обмануть их, чтобы они скомпрометировали собственную безопасность».

По данным отчета компании Verizon о расследованиях краж данных в 2016 году, пользователи открыли 30% фишинговых электронных писем. Типичный пользователь уже через 40 секунд после получения письма открывал его, а еще через 45 секунд открывал и вредоносное вложение. 89% всех фишинговых писем были отправлены организованными киберпреступными группами, а за 9% стояли государственные структуры.

 Рис. 3. Отчет Verizon о кражах данных за 2016 год

Рис. 3. Отчет Verizon о кражах данных за 2016 год

Самым слабым звеном остаются люди. Хотя есть мнение, что винить следует самих пользователей, в действительности многие целевые фишинговые письма так хорошо замаскированы, что типичный пользователь не может отличить поддельное письмо от настоящего.

 Пример фишингового письма, которое трудно отличить от настоящего

Рис. 4. Пример фишингового письма, которое трудно отличить от настоящего

Для подготовки фишингового письма может потребоваться всего несколько минут. Сначала злоумышленники изучают социальные и профессиональные сети, собирая как можно больше информации о жертве. Интерес могут представлять организационные диаграммы, образцы корпоративных документов, шаблоны заголовков электронных писем, фотографии нагрудных значков сотрудников и тому подобное. Существуют специальные инструменты, позволяющие получить максимум полезной информации из открытых источников или украденных баз данных. Кроме того, злоумышленник может купить необходимую информацию на цифровом «черном рынке» (darknet). Например, миллион скомпрометированных электронных адресов и паролей можно купить примерно за 25 долларов, банковские учетные записи — по доллару за штуку, а номера социального страхования вместе с данными для верификации по дате рождения — примерно по 3 доллара. После сбора данных злоумышленник подготавливает шаблон электронного письма, похожего на то, что ожидает увидеть получатель (например, запрос на восстановление пароля), и отправляет его жертве.

Социальная инженерия стала очень мощным и распространенным инструментом для многих мошенников. В зависимости от их конкретной цели, они могут основывать свои приемы социальной инженерии на специфике используемой системы, мобильного устройства, или же на человеческой психологии.

 Рис. 5. Этапы фишинговой атаки

Рис. 5. Этапы фишинговой атаки

  • Этап 1: злоумышленник создает целевые фишинговые письма и рассылает их жертвам.
  • Этап 2: сотрудник компании открывает фишинговое письмо, предоставляя злоумышленнику возможность выполнить вредоносный код или скомпрометировать учетные данные пользователя.
  • Этап 3: рабочая станция скомпрометирована, злоумышленник запускает на ней вредоносное ПО и собирает учетные данные.
  • Этап 4: злоумышленник использует украденные учетные данные для дальнейшего проникновения в корпоративную сеть, для получения доступа к ключевым элементам инфраструктуры и их компрометации.
  • Этап 5: злоумышленник крадет личные данные пользователей и другую ценную информацию.

Встроенный функционал продуктов Enterprise Mobility + Security, Windows 10, Office 365 и Microsoft Azure позволяет организациям противостоять таким атакам.  

Сегодня порог вхождения в сферу кибератак очень низок, поэтому вопросы кибербезопасности должны решаться на уровне руководителей компании. Организации должны отойти от прежней установки «у нас есть брандмауэр, антивирус и средства шифрования диска, так что мы защищены» к новой «кибератаки неизбежны, поэтому мы не можем ограничиваться исключительно построением преград, нам нужны еще и средства быстрого обнаружения и реагирования». Ключевой момент — исходить из того, что прорыв защиты или уже произошел, или обязательно произойдет – это лишь вопрос времени. Размер и сфера деятельности организации не имеет значения; сегодня у каждой компании есть данные, представляющие интерес для злоумышленников, а иногда и для других государств.

В современном мире жизненно важен последовательный подход к обеспечению информационной безопасности. Он включает правильные процедуры реагирования на инциденты, а также технологии для защиты от кибератак, их обнаружения и реагирования. И наконец, готовность ИТ-специалистов и пользователей.

Подробную информацию о продуктах и решениях Microsoft для информационной безопасности, а также ресурсы, которые помогут вам разработать свою стратегию безопасности, можно найти на сайте https://www.microsoft.com/secure.

Источник: блог Microsoft Secure

Связанные посты