Несмотря на то, что при устранении последствий атаки основное внимание уделяется техническим проблемам, человеческий фактор приводит к тому, что в случившемся начинают винить сотрудника, ставшего объектом атаки, а от остальных требуют большей осторожности в вопросах безопасности. Проблема, однако, в том, что в большинстве организаций мало что предпринимается для выяснения причин, по которым злоумышленникам удалось успешно атаковать объект и, что более важно, как снизить риски новых атак.
Эксперты Радж Самани (Raj Samani), главный технический директор компании McAfee в регионе EMEA, и Чарльз Макфарланд (Charles McFarland), старший инженер-исследователь McAfee Threat Intelligence Service, дают термину «социотехника» следующее определение. Это намеренное использование методов, нацеленных на то, чтобы обманным путем подтолкнуть человека к раскрытию информации или совершению действий, которые могут привести к раскрытию информации.
В ходе социотехнической атаки объект атаки не осознает, что его действия являются вредоносными. Методы социотехники основаны на злоупотреблении доверчивостью объекта атаки, а не на использовании его преступных инстинктов. Атаки можно разделить на две категории: «охота» и «животноводство». «Охота» предполагает получение информации при минимальном взаимодействии с объектом атаки. При таком подходе взаимодействие, как правило, сводится к одиночному контакту атакующего с атакуемым, и после получения информации атакующий сразу прекращает общение с атакуемым. «Животноводство» предполагает установление продолжительных отношений с объектом атаки с целью его «доения» (т. е. получения информации) на протяжении длительного периода времени.
Ход атаки
Социотехнические атаки с использованием электронной почты в качестве средства связи чаще всего носят характер «охоты». Конечно, есть исключения вроде «нигерийских писем», в которых делаются попытки продлить контакт с целью извлечения большего количества денег. Социотехнические атаки в категориях «охота» и «животноводство» проводятся, как правило, в четыре этапа.
Первый этап – сбор информации. Цель этого необязательного этапа — сбор об объекте атаки информации, которая поможет «зацепить» его: увлечения, место работы, поставщики финансовых услуг и т. п.
Второй этап – «зацепка». Цель «зацепки» — успешно «развести» объект атаки, вступив с ним в контакт и создав повод для взаимодействия. Психолог Роберт Чалдини (Robert Cialdini) описал шесть рычагов влияния на объект атаки: взаимность (получив что-либо, люди чувствуют себя обязанными и стремятся дать что-нибудь взамен), дефицит (люди склонны выполнять просьбу, если считают, что речь идет о чем-то редком), последовательность (если объект атаки пообещал что-то сделать, то он будет стремиться выполнить обещание, чтобы не казаться неблагонадежным), симпатия (объект атаки охотнее выполняет просьбу, если злоумышленник ему симпатичен), власть (люди склонны выполнять просьбы, поступающие от представителей власти), социальное доказательство (склонность выполнять просьбу, если другие делают то же самое).
Третий этап – «разводка». Суть его заключается в выполнении основной части атаки. Это может быть раскрытие информации, переход по ссылке, перечисление денежных средств и т.д.
Четвертый этап – выход. Завершение взаимодействия. Во многих атаках, относящихся к категории «животноводство», злоумышленнику выгодно выходить из игры так, чтобы не вызывать подозрений. Однако это не всегда необходимо. Например, когда злоумышленнику удается убедить объект атаки раскрыть данные платежной карты, он, как правило, не хочет вызывать подозрений, чтобы объект атаки не заблокировал карту, объявив ее потерянной или украденной. Но если злоумышленнику удалось украсть исходный код или личную информацию, то объект атаки не сможет восстановить украденные данные даже в том случае, если у него возникли подозрения.
Василий Окулесский: Социнженерия стала самостоятельным видом кибермошенничества
Василий Окулесский, эксперт в области информационной безопасности, считает, что социальная инженерия занимает все более значимое место в организации кибератак.
CNews: По вашему мнению, усиливается ли роль социальной инженерии в кибермошенничестве, кибератаках?
Василий Окулесский: Я бы даже усилил акцент – социальная инженерия сейчас стала вполне самостоятельным видом мошеннического бизнеса. «Добровольный» увод персональных и учетных данных, увод денег, отработка нетехнических способов получения критически важных данных до проведения специальных «тематических» атак на банковские структуры – эти методы используются мошенниками все чаще.
Читать далее