Почему хакерам не нужны ваши пароли?
Независимо от того, насколько надежен пароль или настройки безопасности, хакеры и мошенники всегда знают, что есть одна уязвимость, которой они могут воспользоваться — это вы.
Атаки социальной инженерии пользуются «человеческой лазейкой», чтобы обойти контрольно-пропускные пункты кибербезопасности. Вместо того чтобы взламывать учетные записи и украсть данные, они обманывают человека, используя фишинговые атаки, мошенничество с самозванцами и другие виды жульничества. Эксперты по информационной безопасности говорят, что киберпреступники применяют методы социальной инженерии в 98% случаев.
Так как же защитить себя, свою семью и бизнес от этих постоянно развивающихся методов вредительства? Лучшая защита — быть в курсе.
Что такое атаки социальной инженерии?
Это обман человека ради мошенничества и кражи личных данных. Хакеры используют психологические манипуляции, чтобы внушить страх, волнение или срочность. Как только человек окажется в повышенном эмоциональном состоянии, они будут использовать это против него, чтобы лишить бдительности и затуманить рассудительность.
Как работают атаки социальной инженерии?
Всё, что нужно хакеру, — это убедить одного недостаточно информированного, доверчивого человека сделать то, что он говорит. В ходе одной из самых громких уловок социальной инженерии за всё время хакеры обманом заставили сотрудников Twitter предоставить им доступ к внутренним инструментам. Затем захватили учётные записи таких людей, как Джо Байден, Илон Маск и Канье Уэст, чтобы попытаться заставить своих многочисленных жертв отправить биткоины хакерам.
Такие преступления легко осуществить, и все они следуют одному и тому же шаблону, который состоит из четырех этапов.
- Обнаружение и расследование
Мошенники начинают с выявления целей, у которых есть то, что они ищут. Обычно это учётные данные, несанкционированный доступ, деньги, конфиденциальная информация и т. д. Затем они находят потенциальных жертв в интернете. Например, смотрят онлайн-след, где человек работает, чем делится в соцсетях и так далее.
Как только информации достаточно, хакеры используют её для создания спланированного обмана. И поскольку злоумышленник так много знает о человеке, тот, скорее всего, ослабит бдительность.
- Обман и крючок
Когда мошенники узнают больше о своих жертвах, они будут искать потенциальные точки входа. Через электронную почту, телефон или учётную запись в соцсети. Затем они протягивают «крючок», чтобы заинтересовать вас. Например, человек получил новую должность и разместили её в LinkedIn. Мошенник может легко подделать электронное письмо от известного отраслевого веб-сайта и пригласить на собеседование. Это кажется безобидным и нормальным, так почему бы не ответить?
- Натиск
Этап, когда происходит основное злодеяние. Когда человек нажимает на ссылку, чтобы пройти онлайн-интервью, в это время мошенник тайно устанавливает вредоносное ПО на устройство. Следующее, что произойдёт, вся корпоративная сеть будет заражена, и мошенник украдёт гигабайты конфиденциальной информации.
Подобные крошечные ошибки в области кибербезопасности могут стоить компаниям огромных сумм. Средняя стоимость утечки для крупной компании составляет ошеломляющие 3,86 миллиона долларов.
- Отступление
Как только преступники завершат свою миссию, они исчезнут с минимальным количеством улик. Среднее время обнаружения кибератаки или утечки, составляет около 200 дней, поэтому никто даже не узнает, что произошло, пока они не исчезнут.
Наиболее распространённые типы атак социальной инженерии
1.Фишинговые атаки
Фишинг — наиболее распространённый тип тактики, за последние три года число таких атак увеличилось более чем в десять раз. Они происходят, когда мошенники используют любую форму связи для «ловли» информации. Эти сообщения выглядят идентично сообщениям из надежных источников, таких как организации и люди, которые человеку хорошо известны. Преступники часто меняют название знакомых сайтов, например, вместо оригинального ok.ru дают мошшеническую версию — 0k.ru.
Мошенник может отправить электронное письмо от имени банка, в котором обслуживается человек, где уведомляют, что пароль учетной записи был скомпрометирован. Поскольку такое письмо выглядит законным, а сообщение кажется срочным, вы быстро нажмете на включенную ссылку или отсканируете QR-код и введете данные своей учетной записи, которые затем попадут прямо к мошеннику.
Еще существуют вирусы-шифровальщики, которые также пересылаются по почте с целью наживы денег с юридических лиц. Например, пик таких атак приходится на период с 2014 по 2016 год. В основе такого обмана лежал принцип скорости и психологического давления. Например, выдвигалось требование, если не заплатите 200 биткоинов в течение трех дней, то все ваши файлы будут удалены, в том числе копии файлов. Распространялся вирус внутри локальной сети очень быстро. Расшифровка таких файлов могла занимать порядка 7 дней и только при известном шифровальщике, в остальных кейсах приходилось откладывать расшифровку на потом или же платить злоумышленникам.
У любого фишингового мошенничества есть три основные цели:
- Вынудить перейти по ссылке. Фишинговые электронные письма часто содержат ссылки, которые устанавливают вредоносное ПО на устройства.
- Простимулировать загрузить вложение. Мошенники также маскируют вредоносное ПО и вирусы под официальные документы и уведомления. Например, хакеры отправляют электронное письмо, якобы от юридической фирмы, с вложением «уведомление о явке в суд». Но когда загружается файл, устройство заражается.
- Попросить ввести учетные данные на веб-сайте. Всё тот же метод, сообщение о том, что учетная запись в интернете была скомпрометирована, и с просьбой изменить пароль.
Украденные учетные данные и вредоносные программы могут привести ко всему: от кражи личных данных до финансового мошенничества, захвата учётных записей, корпоративного шпионажа и многого другого.
Совет от профессионалов: установите антивирусное программное обеспечение, которое предупредит о фишинговых сайтах и вредоносных программах.
В прошлом вы могли проверить, является ли сайт безопасным, посмотрев, использует ли он HTTPS (а не HTTP) в своём URL-адресе. Но сегодня 50% фишинговых сайтов используют HTTPS, что затрудняет обнаружение вредоносных ссылок.
2.Целевой фишинг
Обычные фишинговые атаки не имеют конкретной цели, а целевые происходят, когда хакеры хотят достать конкретного человека или организацию. Почти 60% лиц, принимающих решения в области IT, считают, что целевые фишинговые атаки являются их главной угрозой безопасности.
В 2015 году хакеры совершили ограбление на 1 миллиард долларов в 40 странах с помощью целевого фишинга. Мошенники рассылали сотрудникам банка фишинговые электронные письма с вложением для развертывания вредоносного ПО Carbanak. После установления хакеры могли контролировать рабочие станции сотрудников и удалённо заражать серверы банкоматов.
Новый подход к целевому фишингу называется фишингом рыболова. Это происходит, когда мошенники выдают себя за сотрудников службы поддержки в соцсетях, чтобы заставить вас отправить им свои данные для входа.
В качестве разведки есть еще один подход — это нахождение ранее скомпрометированных паролей в интернете. Как правило человек устанавливает 2-3 вариации пароля на разные почты, соцсети и личные кабинеты магазинов и т.д. Какой-то магазин не имеет защиты, а пароль там стоит в ряде случаев точно такой же как на работе. Далее эти пароли часто можно найти в интернете и соотнести с логином (часто это почта). После чего нагружается словарь и пароли перебираются под учетные данные в компании. Часто логин легко подобрать, так как используется некий стандарт — имя и фамилия, фамилия, первая буква имени и фамилия и далее название компании или аффилиата — все это на латинице.
Таким образом легко перебрать логин и соотнести пару с паролем. Как правило, мошенники перебирают в самом начале, основываясь на перечне сотрудников компании, когда в соцсетях люди проставляют то, где они работают.
Путем наблюдения за потенциальной жертвой можно создать часто посещаемый сайт в виде фишингового и прислать письмо с агитацией зайти на любимый сайт, таким образом собрать необходимые данные.
3.Охота на китов (whaling)
Охота на китов — это термин, используемый для описания преследования конкретного известного человека. Обычно это руководитель, правительственный чиновник или знаменитость.
Киберпреступники считают жертв китобойных атак «крупной рыбой». Эти цели предлагают большой потенциал для мошенников либо с большими финансовыми выплатами, либо с доступом к ценной информации.
В случае со взломанными аккаунтами знаменитостей мошенники надеются найти компрометирующие фотографии, которые можно использовать для вымогательства непомерных сумм.
В другом примере хакеры рассылают поддельные электронные письма сотрудникам высшего звена. Отправитель утверждает, что знает конфиденциальную информацию о коллеге, но боится сообщить о ситуации лично. Затем, они делится своими доказательствами в виде таблиц, PDF-файлов или слайдов.
Но когда жертвы нажимают на ссылку, то попадают на вредоносный веб-сайт. И если они пытаются открыть вложение, вредоносное ПО заражает систему и распространяется в их сети.
4.SMS-фишинг и голосовой фишинг
Фишинг не всегда ограничивается почтой и мошенническими веб-сайтами.
Смишинг — это термин, используемый для описания фишинга с использованием текстовых SMS-сообщений. Мошенники покупают поддельные телефонные номера и рассылают сообщения, содержащие вредоносные ссылки.
Есть ещё вишинг, то же самое, что и фишинг, только по телефону.
Особое распространение вишинг получил в бизнесе. Мошенники связываются с ресепшеном компании, службой поддержки клиентов, отделом кадров или IT-отделом и заявляют, что им нужна личная информация о сотруднике. Ложь варьируется от ипотечных кредиторов, пытающихся «проверить» адреса электронной почты, до исполнительных помощников, запрашивающих смену пароля от имени своего начальника.
Все эти формы фишинга могут привести к краже личных сведений, вредоносным программам и финансовым потерям.
5.Приманка
Приманка — мошенники заманивают жертв, чтобы они предоставили конфиденциальную информацию, обещая им что-то ценное взамен. Мошенники будут создавать всплывающие окна с рекламой бесплатных игр, музыки или фильмов. Если вы нажмете на ссылку, ваше устройство будет заражено вредоносным ПО.
Мошенничество с наживкой также существует в физическом мире. Одним из распространенных примеров является стратегически размещенный USB-накопитель с заманчивой этикеткой, такой как «Заработная плата Q3» или «Основная клиентская база данных». Также флешки могут быть раскиданы перед входом в компанию или же находиться внутри здания организации, будто их случайно потеряли в коридоре.
Любопытный сотрудник берёт диск и вставляет его в свою рабочую станцию, которая затем заражает всю их сеть.
6.Пиггибэкинг и тейлгейтинг
Несанкционированный проход через пропускной пункт происходит, когда авторизованное лицо «разрешает» неавторизованному лицу доступ в зону ограниченного доступа. Эта форма мошенничества встречается на рабочем месте, если позволить кому-то следовать за вами в здание. Или это может произойти в вашем многоквартирном доме.
Мошенники могут переодеться в курьеров, сказать, что забыли удостоверение личности, или сделать вид, что они «новички». Оказавшись внутри, они могут шпионить за людьми, получать доступ к рабочим станциям, проверять имена в почтовых ящиках и многое другое.
7.Претекстинг
Претекстинг возникает, когда кто-то создает поддельный образ, или злоупотребляет своей настоящей ролью. Именно это чаще всего происходит при утечке данных изнутри.
Эдвард Сноуден печально известен тем, что сказал своим коллегам, что ему, как системному администратору, нужны их пароли. Жертвы, уважая его титул, охотно подчинились, не задумываясь.
Эти мошенники устанавливают доверие, используя своё имя, а затем убеждают жертв предоставить им конфиденциальные сведения. Они знают, что люди не решатся задавать им вопросы или будут слишком напуганы, чтобы дать отпор этим имитаторам, даже если что-то кажется неправильным.
8.Компрометация деловой электронной почты (BEC)
Существует три основных типа атак социальной инженерии BEC:
- Подмена. Это происходит, когда мошенники используют поддельные электронные письма, чтобы выдать себя за сотрудников или доверенных поставщиков и клиентов. Они будут просить свою цель отправить мошеннические платежи, изменить информацию о заработной плате и прямом депозите или поделиться конфиденциальной информацией.
- Компрометация аккаунта происходит, когда хакеры получают доступ к законному адресу электронной почты сотрудника. Они могут отвечать на письма и рассылать их по всей компании (клиентам, поставщикам и т. д.), содержащие вредоносный код.
- Перехват потока данных. Это расширенный подход с компрометацией учётной записи. Перехват темы происходит, когда хакеры сканируют скомпрометированные почтовые ящики на наличие строк темы, содержащих «Re:». Затем они автоматически отвечают сообщениями с вредоносным ПО. Получатели открывают взломанное письмо, не задумываясь, потому что они «знают» отправителя.
Атаки BEC обычно остаются незамеченными группами кибербезопасности, поэтому для их предотвращения требуется специальное обучение.
9.Мошенничество с технической поддержкой (Quid Pro Quo)
Quid pro quo переводится как «услуга за услугу». Наиболее распространённая версия «услуга за услугу» возникает, когда мошенники выдают себя за сотрудников IT-отдела или другого поставщика технических услуг.
Они звонят или отправляют сообщение с предложением ускорить ваш интернет, продлить бесплатную пробную версию ПО или даже дать вам бесплатные подарочные карты в обмен на опробование программного обеспечения.
Единственное, что нужно сделать жертве, — это создать бесплатную учётную запись или предоставить/подтвердить свои учётные данные для входа. Когда мошенники получают эту конфиденциальную информацию, они используют её против жертвы или продают в даркнете.
10.Медовые ловушки (honeytraps)
Honeytrap — тип романтической аферы, в котором мошенники создают профили в социальных сетях, используя привлекательные украденные фотографии. Авантюрист может изображать из себя дислоцированного военнослужащего, не имеющего возможности встретиться лично. Как только аферист устанавливает контакт с целью, начинает отправлять кокетливые и провокационные сообщения, быстро признается в любви. Далее требует от жертвы доказательств взаимных чувств в виде подарков, денежных переводов. Приманки особенно распространены в соцсетях, таких как Snapchat.
11.Пугалка и фиктивный антивирус (scareware)
Мошенническое программное обеспечение, которое пугает жертв, заставляя их поверить в неминуемую угрозу. Например, сообщение о том, что ваше устройство заражено вирусом. Пугалка часто появляется в виде всплывающих окон в браузере или спам-сообщениях.
Предполагается, что жертвы должны нажать на кнопку, чтобы либо удалить вирус, либо загрузить программное обеспечение, которое удалит вредоносный код. Но именно это приводит к проникновению вредоносного программного обеспечения.
12.Водопой (watering hole)
Атака водопоя происходит, когда хакеры заражают сайт, который, как им известно, регулярно посещает жертва. Когда человек посещает сайт, он автоматически загружает вредоносное ПО (известное как загрузка с диска). Или попадает на поддельную версию сайта, предназначенную для кражи учетных данных.
Мошенники могут перенаправить с обычной страницы входа на страницу, предназначенную для кражи имени и пароля учетной записи.
Наличие менеджера паролей может спасти от неприятностей. Если фишинговый сайт выглядит как настоящий, менеджер паролей не введет учетные данные автоматически.
Как определить большинство типов преступлений социальной инженерии?
Все обманы такого типа следуют одному и тому же шаблону. Как только начнете распознавать предупреждающие знаки, сможете быстро определить, пытается ли кто-то вас обмануть в интернете.
Так что же следует искать, если вы считаете, что стали целью преступников?
- Внимательно проверяйте электронные письма, включая имена, адреса и копии.
- Если вы получили подозрительное сообщение, проверьте его на наличие орфографических и грамматических ошибок.
- Адрес электронной почты похож на тот, что указан в вашем списке контактов, но немного отличается от него? Например, «[email protected]» — это не то же самое, что «[email protected]».
- Распознавайте распространённые темы фишинговых писем. Каждое фишинговое письмо использует заманчивую и эмоционально заряженную тему, чтобы зацепить своих жертв.
- Никогда не открывайте электронные письма, если не знаете отправителя и в папке со спамом.
- Замедлите темп и оцените эмоции, которые вызывает сообщение. Злоумышленники манипулируют такими чувствами, как доверие, волнение, страх, жадность и любопытство.
- При сильной реакции проверьте своё здравомыслие. Заслуживающие доверия представители никогда не заставят вас почувствовать угрозу или унижение, а также не заставят вас действовать быстро. Если предложение слишком хорошее, чтобы быть правдой, ищите подвох.
- Подтвердите личность любого, кого вы не знаете. Если с вами связался мошенник по телефону или вы подозреваете, что учётная запись электронной почты вашего коллеги была взломана, лучше действовать в соответствии со своими подозрениями.
- Авторитетные агенты никогда не будут запрашивать вашу конфиденциальную информацию по телефону или по электронной почте. Они подтвердят вашу личность с помощью заранее выбранного вами секретного вопроса. Вы можете напрямую связаться с банком или учреждением, которое они выдают за себя, чтобы подтвердить, был ли контакт законным.
Кто основные цели хакеров?
Основной интерес преступников, получение доступа к конфиденциальной информации, такой как банковские счета, архивы компании и т.п. Чем больше у кого-то доступа к тому, что хотят преступники, тем более привлекательной становится эта цель.
Жертвами чаще всего становятся:
- Высокопоставленные сотрудники и лидеры высокого уровня. Преступники нацелены на людей с высоким уровнем доступа. Вот почему мошенничество с генеральным директором теперь является аферой на 12 миллиардов долларов. Всегда полезно настроить фрод-мониторинг, или, другими словами, мониторинг мошенничества, чтобы предупредить, если кто-то получил доступ к личным финансовым счетам.
- Популярные личности в сети. Люди, которые делятся большим количеством приватной информации в интернете, с большей вероятностью станут мишенями мошенников. Если у человека 50 тысяч подписчиков в Instagram или ребёнок является ведущим стримером видеоигр, они могут стать мишенями.
- Молодое поколение и сотрудники, которые не осведомлены об угрозах кибербезопасности. Одно исследование показало, что 45% миллениалов не знают, что такое фишинг, несмотря на то, что это тип атаки №1 с использованием социальной инженерии. Что ещё хуже, только 27% компаний проводят обучение по упреждающей защите.
Эти группы — не единственные, на кого нацелены мошенники. Правда в том, что любой может стать жертвой.
Как защитить себя?
Большинство злодеяний основаны на простой человеческой ошибке. Поэтому убедитесь, что вы всегда в курсе последних рекомендаций по предотвращению мошенничества и знаете о новых киберугрозах.
Затем следуйте этим советам, чтобы обезопасить себя и свою семью от натиска преступников.
- Сократите свой онлайн-след. Чем меньше вы делитесь в интернете и социальных сетях, тем сложнее хакерам нацелиться на вас. Избегайте размещения личной информации. Даже такие вещи, как фотографии из отпуска в реальном времени или название школы вашего ребёнка, могут быть использованы против вас.
- Установите антивирусное программное обеспечение. Программы-вымогатели, вредоносное и шпионское ПО существуют сегодня в беспрецедентном количестве. Не позволяйте этим вредоносным приложениям нарушать вашу конфиденциальность.
- Используйте VPN при просмотре и покупках в интернете.
- Всегда используйте двухфакторную или многофакторную аутентификацию (2FA/MFA). Это второй уровень безопасности для всех ваших учётных записей. Поэтому, если хакер обманным путём заставит вас отправить пароль, ему всё равно понадобится специальный код, который есть только у вас, чтобы получить доступ к вашим учётным записям. Для лучшей безопасности используйте приложение для проверки подлинности вместо двухфакторной аутентификации по SMS.
- Научитесь распознавать фишинговые атаки и выработайте правильную реакцию на них. Например, существует обучающая платформа Security awareness, она служит для повышения осведомленности сотрудников о правилах информационной безопасности и для проверки готовности персонала к реальным кибератакам.
Как защитить свой бизнес?
Атаки социальной инженерии проводятся не только для получения личной информации. В большинстве случаев они нацелены на ваш бизнес или работодателя, чтобы украсть конфиденциальную информацию.
Несколько заключительных советов, которые помогут защитить вашу команду и компанию.
- Создайте позитивную культуру безопасности. Только 3% жертв сообщают руководству о вредоносных сообщениях. К тому времени, когда они это делают, система часто уже подвергается серьёзному повреждению. Поощряйте жертв сообщать о потенциальных инцидентах кибербезопасности, не опасаясь последствий. Необходимо, чтобы дела решались как можно быстрее, пока не стало ещё хуже.
- Организуйте участие сотрудников в обучении кибербезопасности. Более 60% IT-специалистов говорят, что новые сотрудники наиболее подвержены влиянию с применением социальной инженерии. Поэтому сделайте обучение по вопросам безопасности, обязательным во время адаптации.
- Регулярно проверяйте свою команду. Исследуйте сторонние сервисы, которые имитируют атаки социальной инженерии. Организуйте несколько тестов на проникновение, чтобы увидеть, какие сотрудники клюнут на удочку. Цель этих тестов не в том, чтобы смутить членов команды, а в том, чтобы показать им, как легко стать жертвой.
- Обновляйте свой сайт, приложение и оборудование. Когда хакеры замечают уязвимость или слабость на веб-странице, они могут заразить её вредоносным ПО. Затем это быстро заразит всех пользователей. Следите за тем, чтобы средства защиты от вредоносных программ, фильтры спама и брандмауэры всегда были в актуальном состоянии.
- Обновляйте свой сайт, приложение и оборудование. Когда хакеры замечают уязвимость или слабость на веб-странице, они могут заразить её вредоносным ПО. Затем это быстро заразит всех пользователей. Следите за тем, чтобы средства защиты от вредоносных программ, фильтры спама и брандмауэры всегда были в актуальном состоянии.
Итог: человеческого взлома можно избежать
Большинство людей знают о крупномасштабных киберпреступлениях, хотя с трудом представляют себе, что они способны разрушить их собственную репутацию, семьи и бизнес.
Любой может стать жертвой искусно разработанных методов социальной инженерии. И простая человеческая ошибка может нанести сокрушительный удар. Научиться обнаруживать все типы злодеяний в социальной инженерии — это первый шаг на пути безопасности.
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.