Интро
No system is safe, говорили они. Правда ли это? Скорее да, ведь в любой системе есть как минимум одна уязвимость — человек. Поговорим обо всех типах атак СИ, от самых простых до самых продвинутых. Немножко практики и в целом приятная, легко читаемая статья с реальными примерами из истории.
Эволюция социальной инженерии, формы киберманипуляции, которая использует психологию человека для получения несанкционированного доступа к информации и системам, претерпела значительные изменения с момента своего появления. Изначально характеризовавшаяся базовыми техниками, такими как фишинг, предтекстинг и подставы, социальная инженерия перешла в более сложный арсенал психологических манипуляций. Эти техники развились до таких форм, как целевой фишинг (spear phishing), атаки на "китов" (whaling) и атаки через зараженные сайты (watering hole), используя уязвимости как человека, так и технологий для достижения вредоносных целей.
Социальная инженерия примечательна своей адаптивностью и эффективностью в компрометации как отдельных лиц, так и организаций. Она основывается на эксплуатации доверия, авторитета и когнитивных предубеждений, что делает ее грозной угрозой в ландшафте кибербезопасности. Растущая сложность этих атак наглядно демонстрируется резонансными инцидентами, такими как утечка данных RSA в 2011 году и утечка данных Target в 2013 году, которые подчеркивают значительные финансовые и операционные последствия успешных кампаний социальной инженерии.
В ответ на растущую угрозу социальной инженерии становится необходимой многоуровневая стратегия защиты, сочетающая технологические решения, непрерывное обучение безопасности и бдительный ответ на инциденты. Будущее социальной инженерии, вероятно, будет продолжать развиваться благодаря достижениям в области ИИ, растущему использованию новых технологий и эксплуатации глобальных социально-экономических условий. По мере того как злоумышленники продолжают совершенствовать свои методы, значение надежной защиты и этических соображений в кибербезопасности остается первостепенным.
Легкие Техники
Ранние (легкие) техники социальной инженерии в значительной степени опирались на фундаментальные психологические манипуляции и простые технические приемы для обмана целей, чтобы выведать конфиденциальную информацию или заставить их совершить действия, которые могли бы поставить под угрозу их безопасность.
Предтекстинг
Предтекстинг — ранняя техника социальной инженерии, при которой злоумышленник создает вымышленный сценарий для получения информации от цели. Во время предтекстинга злоумышленник часто притворяется человеком, занимающим авторитетную должность или имеющим законную причину для получения информации. Эта техника часто используется против компаний, хранящих данные клиентов, таких как банки, кредитные компании и коммунальные службы.
Приманка
Приманка включает в себя размещение чего-то заманчивого или любопытного перед жертвой, чтобы привлечь ее в ловушку социальной инженерии. Классический пример приманки — раздача бесплатных USB-накопителей на конференции. Ничего не подозревающий пользователь может подумать, что получает бесплатное устройство для хранения данных, но USB-накопитель может быть загружен удаленным доступом, который заражает компьютер при подключении.
Фишинг
Фишинг — одна из самых ранних и устойчивых форм социальной инженерии. Она заключается в том, что злоумышленник маскируется под доверенное лицо, чтобы обманом заставить пользователя открыть поддельное электронное письмо с вредоносной ссылкой, вложенным файлом или встроенным кодом. После того как жертва взаимодействует с письмом, злоумышленник может использовать систему пользователя для кражи данных, учетных записей или установки вредоносного ПО.
Термин «фишинг», с его причудливым написанием с использованием «ph» вместо «f», является отсылкой к ранней хакерской культуре, известной как «phreaks», которая нацеливалась на телефонные системы. Первое известное упоминание о фишинге датируется почти 36 годами назад, подчеркивая его долгосрочное присутствие как значительную угрозу в интернете.
Одним из распространенных примеров фишинга является фишинг по электронной почте, когда отправляют электронные письма, выдавая себя за других, в надежде извлечь ценную информацию. Например, киберпреступник может отправить письмо жертве, притворившись родственником, пытаясь собрать личную информацию, такую как адрес, день рождения или учетные данные.
Эволюция фишинга
Фишинг значительно эволюционировал с момента своего появления в формате электронной почты. Современные фишинговые атаки теперь включают различные векторы, такие как SMS-сообщения (смс-фишинг), QR-коды (квишинг) и обманчивые URL-адреса (фишинг HTTPS). Компрометация деловой электронной почты (BEC) также стала значительной угрозой, нацеливаясь на сотрудников, имеющих доступ к внешним инструментам, таким как электронная почта и социальные сети.
Проход и хвостовой проход
Проход и хвостовой проход — это физические техники социальной инженерии.
Проход включает в себя следование за авторизованным лицом в ограниченную зону без его ведома, в то время как хвостовой проход требует, чтобы авторизованное лицо сознательно позволило злоумышленнику получить доступ. Эти техники используют человеческое поведение и физические уязвимости безопасности для получения несанкционированного доступа к защищенным местам.
Целевой фишинг
Целевой фишинг — это целенаправленный метод фишинга, который фокусируется на конкретных лицах или группах в организации. В отличие от общих фишинговых атак, которые бросают широкую сеть в надежде поймать любую подозрительную жертву, целевой фишинг включает предварительное исследование и персонализацию
Злоумышленники собирают подробную информацию о своих целях, чтобы создать убедительные электронные письма или сообщения, которые кажутся исходящими от доверенного источника, например, коллеги или начальника. Этот уровень персонализации значительно увеличивает вероятность того, что цель ответит, выдав конфиденциальную информацию или совершив действие, которое поставит под угрозу безопасность.
Продвинутые техники
Эмоциональная манипуляция
Эмоциональная манипуляция играет важную роль в арсенале социальных инженеров. Они используют широкий спектр человеческих эмоций, таких как страх, любопытство и возбуждение, чтобы манипулировать своими целями. Техники, такие как сбор информации, включают тонкий и косвенный сбор данных, в то время как фрейминг формирует восприятие цели, представляя информацию в определенном контексте.
Доверие и авторитет
Социальные инженеры часто принимают на себя роли или идентичности, которые внушают доверие. Они представляются доверенными коллегами, старшими руководителями или знающими техниками ИТ, чтобы воспользоваться естественной склонностью людей подчиняться авторитетным фигурам и следовать социальным нормам. Этот метод особенно эффективен в средах с жесткой иерархической структурой, где сотрудники приучены выполнять инструкции от лиц, воспринимаемых как авторитеты, без лишних вопросов.
Когнитивная эксплуатация
Техники социальной инженерии сильно зависят от когнитивных предвзятостей, которые являются врожденными ошибками в процессе принятия решений человеком. Эти предвзятости – побочные продукты тенденции мозга к сокращению времени на обработку информации, что полезно с точки зрения эволюции, но может быть использовано в современном киберпространстве. Например, предвзятость представительности заставляет людей группировать схожие стимулы вместе, что облегчает злоумышленникам обман их с помощью фишинговых писем, которые кажутся исходящими от легитимных источников, таких как Apple или Amazon.
Взаимность и социальное доказательство
Предлагая что-то, что имеет явную ценность, например, бесплатное программное обеспечение или небольшие услуги, социальные инженеры стимулируют инстинкт взаимности. Когда люди чувствуют, что что-то получили, они с большей вероятностью ответят взаимностью, что может включать в себя предоставление конфиденциальной информации или доступ к защищенным системам. Кроме того, социальные инженеры используют предвзятость социального доказательства, демонстрируя, что другие уже выполнили их просьбы, что делает более вероятным, что цель последует их примеру.
Связь и доверие
Установление контакта и формирование связи с целью является мощным инструментом в социальной инженерии. Злоумышленники могут имитировать общие интересы, делать комплименты или казаться действительно приятными людьми, чтобы снизить бдительность жертвы. Это повышает готовность сотрудничать, что часто приводит к разглашению конфиденциальной информации или выполнению вредоносных запросов.
Эксплуатация последних тенденций
Социальные инженеры также используют последние тенденции и новости, чтобы их атаки выглядели более убедительно. Например, предвзятость к недавним событиям заставляет людей придавать большее значение последним событиям или информации. Вовремя подстроив свои атаки под последние события или новости, социальные инженеры увеличивают вероятность того, что их запросы будут приняты без должной проверки. Кроме того, предвзятость к излишней уверенности – склонность переоценивать свои способности и суждения – может заставить цели думать, что они слишком умны, чтобы попасться на уловки, делая их более уязвимыми для манипуляции.
Продвинутые инструменты и технологии
Недавние достижения в области генеративного искусственного интеллекта (ИИ) вызывают растущую озабоченность в области социальной инженерии. ИИ может быть использован злоумышленниками для создания высокоразвитых кампаний угроз, которые манипулируют человеческим поведением с большей точностью. Автоматизированный сбор данных и создание реалистичного, контекстно-специфического контента дополнительно повышают эффективность этих манипулятивных схем, делая их все труднее распознать и сопротивляться им.
Роль социальных сетей
Социальные сети значительно трансформировали ландшафт социальной инженерии, предоставив киберпреступникам новые платформы для осуществления своей деятельности. В отличие от традиционных средств коммуникации, таких как электронная почта и телефон, социальные сети особенно подходят для атак социальной инженерии из-за их повсеместного использования и огромного количества личной информации, которой пользователи делятся в этих сетях.
Социальные сети как инструмент фишинга
Социальные сети стали предпочтительным средством для киберпреступников для проведения фишинговых атак, известных как "социальный фишинг". Эти атаки могут включать захват учетных записей, имитацию, мошенничество и распространение вредоносного ПО. Выявление и устранение этих угроз сложнее, чем традиционные методы, так как социальные сети существуют вне периметра сети. Например, в 2014 году государственные акторы угроз провели масштабные атаки через социальные сети на компанию Microsoft, затронув несколько аккаунтов в Twitter и раскрыв пароли и электронные адреса десятков сотрудников Microsoft. Согласно Kaspersky Lab, в первом квартале 2018 года было зафиксировано более 3,7 миллионов фишинговых попыток, направленных на поддельные страницы социальных сетей, 60% из которых были поддельными страницами Facebook.
Психологическое профилирование и влияние социальных сетей
Современные социальные инженеры используют психологическое профилирование, чтобы лучше понять свою целевую аудиторию. Это помогает настроить сообщения для максимального воздействия. Социальные сети играют ключевую роль в этом процессе, позволяя злоумышленникам собирать обширные данные о людях, которые могут быть использованы для прогнозирования поведения и принятия решений. Рост влияния социальных сетей добавил новый измерение в социальную инженерию, где онлайн личности используют свое присутствие, чтобы вдохновлять действия, изменять восприятие и привлекать внимание к различным социальным вопросам.
Эволюция тактик
Принципы дефицита и срочности часто используются социальными инженерами для манипулирования людьми, заставляя их принимать поспешные решения. Создавая ложное чувство дефицита или срочности, злоумышленники могут вызвать немедленные действия, обходя рациональное суждение и критическое мышление. Эта техника не только подрывает процесс принятия решений, но и вызывает вопросы о этических последствиях манипулирования человеческой психологией для достижения злонамеренных целей.
Угроза социальной инженерии выходит за рамки индивидуальной или организационной безопасности, создавая риски для политической стабильности и свободного, независимого дискурса. Манипуляция информацией на платформах социальных сетей, как показано в скандале с Cambridge Analytica, подчеркивает, как социальная инженерия может быть использована для влияния на общественное мнение и результаты выборов.