Новый отчет компании Intel Security, подготовленный при содействии Европола, обозначил основные техники, используемые киберпреступниками для манипулирования жертвами и убеждения их в необходимости действий, нужных мошенникам и приводящим к утечкам конфиденциальных данных и краже средств через онлайн-системы.
Отчет вышел спустя несколько дней после того, как APT-кампания Carbanak привела к тому, что ряд крупнейших мировых банков лишился почти $1 млрд. Взлом сетей и компьютеров банков был произведен при помощи направленной фишинговой атаки. Это снова демонстрирует уязвимость системы безопасности из-за «человеческого фактора», так как непосредственной точкой входа для хакеров становится человеческая природа, а не технология. Этот прецедент подчеркивает необходимость повышения осведомленности сотрудников в области распространенных техник убеждения, используемых киберпреступниками.
«Основная тенденция, которую мы наблюдаем по мере изучения взломов и утечек данных, — это использование техник социальной инженерии, которые приводят к тому, что пользователь выполняет нужные злоумышленнику действия, влекущие заражение компьютера», — утверждает Радж Самани (Raj Samani), технический директор Intel Security в регионе EMEA и советник Центра изучения киберпреступности Европола.
Пол Гиллен (Paul Gillen), возглавляющий деятельность Центра, согласился с коллегой: «Сегодня киберпреступникам даже не требуется глубоких знаний в области технологий, чтобы достичь своей цели. Многие известные инструменты распространения зловредов оказываются в системе жертвы в ходе направленных фишинговых атак и полагаются на психологические манипуляции, позволяющие сломать первый рубеж обороны. Жертв зачастую убеждают открыть с виду легитимные вложения и ссылки, которые, на первый взгляд, происходят из доверенного источника».
В отчете подчеркивается особый размах и действенность техник социальной инженерии: аналитики McAfee Labs отмечают резкий рост количества вредоносных ссылок: на конец 2014 года их число достигло 30 млн. Это объясняется растущей популярностью коротких ссылок, за адресом которых легко замаскировать вредоносный сайт. Количество фишинговых сайтов из-за этого также резко увеличилось . Короткие URL стали излюбленным инструментом хакеров, все чаще использующих их с целью обмануть сотрудников. Так как 18% пользователей открывают полученное фишинговое сообщение и кликают на вредоносную ссылку, возросшая частота применения коротких URL — это повод для беспокойства.
Команда из 500 исследователей McAfee также утверждает, что две трети всего мирового email-трафика — это спам, при помощи которого злоумышленники выуживают информацию у жертв, зачастую также опустошая их счет. Таким образом, как сотрудникам компаний, так и самим работодателям нужно быть начеку и учиться противостоять методам, применяемым фишерами.
«Сегодня киберпреступники стали более сведущими в методах воздействия на мышление сотрудников, в том числе используя тактики продаж, которые применяются и в реальной жизни. Организации должны разработать ряд мер контроля технологий, процессов и людей, чтобы снизить риск», — утверждает Радж Самани.
Важность тренингов в области информационной безопасности и управления политиками доступа сейчас как никогда высока, однако, недавнее исследование Enterprise Management Associates обнаружило, что только 56% сотрудников когда-либо проходило тренинг по информационной безопасности или политикам доступа.
Отчет Intel Security «Как взломать операционную систему человека» приводит самые распространенные техники убеждения, о которых нужно знать всем в организации:
- обмен. Если людям предлагают что-либо, они чувствуют себя обязанными возвратить «долг» (на это полагаются все распространители «писем счастья»);
- потребность в оперативном действии. Люди с большей готовностью реагируют на что-либо в ограниченных временных рамках: например, этот метод воздействия широко используется в фишинговых кампаниях, в ходе которых жертве приходит якобы уведомление от банка, в котором от пользователя требуют совершения некоторых действий, чтобы избежать блокировки доступа к счету в течение 24 часов;
- постоянство. Как только жертва пообещала что-либо злоумышленнику, она стремится исполнить обещанное, не желая показаться ненадежным человеком. Например, хакер, представившийся сотрудником ИТ-отдела компании, может заставить жертву действовать согласно политикам безопасности, но затем попросить совершить ненадлежащее действие;
- расположение. Жертва обычно легко идет на поводу у хакера, если он вызывает симпатию. Злоумышленник, используя тактики социальной инженерии, для своей цели может призвать на помощь все свое очарование в телефонном разговоре или в переписке, и жертва даже не заметит этого;
- авторитет. Люди более подвержены воздействию, если требование исходит от человека, имеющего авторитетную роль. Например, подобный случай возникает, когда в бухгалтерию приходит запрос, якобы исходящий от руководителя;
- социальное одобрение. Жертва более охотно заглатывает наживку, если она не одна. Например, фишинговый email может выглядеть так, как будто его послали целой группе коллег, из-за чего жертва может посчитать, что, если в этом участвуют другие, никакой угрозы нет.