В нынешнюю цифровую эпоху киберугрозы становятся все более изощренными, но социальная инженерия по-прежнему является одной из самых коварных и эффективных атак.
Последние статистические данные подчеркивают распространенность и влияние атак социальной инженерии. Согласно Verizon Data Breach Investigations Report за 2023 год, социальная инженерия была задействована в 34% утечек данных, что указывает на ее значительную роль в киберпреступности. Известно, что только фишинговые атаки составляют 61% всех кибератак, причем ошеломляющие 90% этих атак связаны с социальной инженерией. Последствия социальной инженерии могут привести к серьезным финансовым потерям, репутационному ущербу и нарушению личной и организационной безопасности. Поэтому понимание социальной инженерии жизненно важно. Что же это за такое обманное искусство под названием «социальная инженерия» и какие существуют основные методы атак, используемые социальными инженерами?
Эта статья прольет свет на ряд вопросов, касающихся такого понятия, как социальной инженерии. Читатели поймут тонкости этих манипулятивных тактик, изучая примеры из реальной жизни и тематические исследования. Кроме того, будут рассмотрены основные методы профилактики, которые помогут людям и организациям защититься от различных типов атак социальной инженерии.
В области кибербезопасности социальная инженерия представляет собой всепроникающую и мощную угрозу. Важнейшие шаги для улучшения защиты от этой коварной кибератаки – понять ее определение, понять важность человеческого элемента и понять, почему она считается серьезной угрозой. Чтобы снизить риски, связанные с тактикой социальной инженерии, необходимо быть бдительным, проинформированным и иметь надежные протоколы безопасности.
В следующих разделах мы как раз подробно рассмотрим, что такое социальная инженерия, а именно, следующие важные составляющие этого явления:
Термин «социальная инженерия» используется для широкого спектра вредных действий, осуществляемых с помощью человеческого общества. Социальная инженерия – это форма психологической манипуляции, которая использует человеческое поведение и заставляет пользователей совершать ошибки для получения доступа к сетям, системам или конфиденциальной информации.
В отличие от традиционных методов взлома, которые используют технические уязвимости, все типы атак социальной инженерии нацелены на человеческий элемент безопасности. Используя такие тактики, как обман, манипуляция и выдача себя за другое лицо, злоумышленники стремятся обманом заставить людей раскрыть конфиденциальные данные или выполнить действия, которые ставят под угрозу безопасность. Такая зависимость от человеческого поведения делает социальную инженерию особенно сложной для защиты.
В сфере кибербезопасности человеческий элемент, человеческий фактор, считается самым уязвимым звеном в цепочке защиты. Независимо от того, насколько надежны технические средства защиты, человеческая ошибка или неправильные суждения могут привести к нарушению безопасности. Из этой слабости и извлекают выгоду социальные инженеры, используя общие человеческие черты, такие как доверие, любопытство, страх и желание помочь.
Нарушения безопасности подобного характера случаются довольно часто, т.к. люди склонны доверять другим, особенно в ситуациях, когда им предлагают убедительные примеры или срочные запросы. Социальные инженеры часто имитируют людей, которым можно доверять: коллег, сотрудников ИТ-отдела или даже друзей, чтобы ослабить контроль над своими целями и получить нужную информацию. Кроме того, в современном мире, в котором все обмениваются информацией, люди часто неосознанно раскрывают свои личные данные в Интернете. Эти данные могут быть собраны злоумышленниками для создания сложных типов атак социальной инженерии.
Поскольку атака социальной инженерии широко распространена и является достаточно эффективной формой кибератаки, она представляет большую опасность для отдельных лиц, организаций и даже правительств.
Основные причины, по которым атака социальной инженерии является серьезной проблемой кибербезопасности, следующие:
Социальная инженерия основывается на использовании человеческой психологии, в отличие от традиционных кибератак, которые могут требовать передовых технических навыков или сложных инструментов. Поэтому такой низкий барьер для входа делает социальную инженерию доступной для широкого круга злоумышленников, от новичков до опытных киберпреступников.
Атаки социальной инженерии имеют очень высокий уровень успеха по сравнению с другими кибератаками. Используя одни лишь человеческие эмоции и когнитивные предубеждения, а не передовые технологии кибератак, злоумышленники могут манипулировать людьми, заставляя их делиться конфиденциальной информацией или выполнять действия, ставящие под угрозу все меры безопасности.
Социальная инженерия охватывает ряд векторов атак таких, как фишинговые письма, телефонные мошенничества, предлоги и приманки. Эта универсальность позволяет злоумышленникам менять свою стратегию использования определенных уязвимостей для своих целей, что усложняет защиту от них для отдельных лиц и организаций.
Социальные инженеры создают убедительные сценарии, проводя тщательные исследования и сбор инсайдерских знаний о своих целях. Используя личную информацию или выдавая себя за доверенные лица, злоумышленники могут обмануть даже внимательных людей, которые могут ослабить свою бдительность в знакомых контекстах.
Атаки социальной инженерии получают несанкционированный доступ к системам или конфиденциальной информации с помощью использования психологии человека. Для создания эффективных стратегий предотвращения таких атак их необходимо понимать. Вот краткий обзор наиболее распространенных методов социальных инженерных атак:
Фишинг – это мошеннические попытки получить конфиденциальную информацию, маскируясь под доверенное лицо в электронных сообщениях. Целью фишинга является кража личных данных, таких как номера кредитных карт, учетные данные для входа или другая конфиденциальная информация. Фишинговые атаки делятся на следующие разновидности:
Наиболее распространенный тип фишинга – фишинг по электронной почте. Фишинг по электронной почте заключается в том, что злоумышленники отправляют электронные письма, которые выглядят так, как будто они отправлены из настоящих источников, таких как банки или известные компании. Когда люди нажимают на эти электронные письма, содержащие вредоносные ссылки или вложения, письма автоматически захватывают конфиденциальную информацию.
Пример: Допустим, вам прислали электронное письмо с темой «Срочно: проверьте данные вашего счета», которое якобы было отправлено PayPal. На самом деле письмо содержит ссылку, которая приведет вас на мошенническую страницу PayPal, где вас попросят ввести ваши данные пользователя. Таким образом будет произведена фишинговая атака по электронной почте.
Целевой фишинг, в отличие от обычного фишинга, имеет высокую целевую направленность. Злоумышленники изменяют свои ложные сообщения, чтобы адресовать их конкретному человеку или организации. Таким образом, изучив свои цели, создают персонализированные и убедительные электронные письма, которые могут помочь привести к утечке или несанкционированному доступу к данным.
Пример: Вам пришло электронное письмо, которое выглядит так, как будто оно отправлено высокопоставленным руководителем вашего бизнеса, который просит вас просмотреть важный документ, расположенный по ссылке. С использованием персональных данных электронное письмо выглядит так, будто оно пришло из надежного источника.
Уэйлинг – это разновидность целевого фишинга, которая ориентирована на высокопоставленных лиц, таких как руководители или высшие должностные лица в организации. Вероятность того, что человек станет жертвой мошенничества, увеличивается, когда сообщения составляются таким образом, чтобы они казались особенно срочными и соответствующими роли человека.
Пример: Пришло мошенническое электронное письмо, которое явно пришло от юридической фирмы, утверждает, что генеральному директору необходимо рассмотреть и подписать срочный юридический документ. В письме содержится правдивая информация и ссылка на фальшивый документ, предназначенный для извлечения конфиденциальной информации.
Идеальное решение для масштабных проектов. Безупречная защита, высокая производительность и гибкая настройка.
Претекстинг включает в себя разработку предлога или сценария для получения информации от цели. Злоумышленники могут убедить жертву раскрыть конфиденциальную информацию, выдавая себя за сотрудника надежной компании, например сотрудника службы ИТ-поддержки. Этот метод основан на убедительной предыстории и часто является комбинацией обмана и тактик социальной инженерии.
Пример: Злоумышленник звонит в службу поддержки компании, представившись сотрудником отдела финансов, который забыл пароль. Для того чтобы убедить сотрудника службы поддержки сбросить пароль и получить доступ к конфиденциальным финансовым системам, он может предоставить подробную информацию о внутренних процедурах компании.
Атаки с приманкой заманивают жертв в ловушку с обещаниями чего-то привлекательного, например бесплатного программного обеспечения или призов. В таких стратегиях часто используется физическая или цифровая приманка. Такой приманкой может быть USB-накопитель, оставленный на улице, или ссылка на загрузку на поддельном веб-сайте. Приманки часто вызывают установку вредоносного ПО или раскрытие личной информации.
Пример: Злоумышленник оставляет USB-накопители с надписью «Зарплата сотрудника» или «Конфиденциальный проект» в общественном месте. Когда невнимательный сотрудник подключает USB-накопитель к своему компьютеру, он устанавливает вредоносное ПО, которое позволяет злоумышленнику получить доступ к сети организации.
Пример цифровой приманки: Фальшивая реклама бесплатной загрузки программного обеспечения, которая утверждает, что производительность системы будет улучшена. Нажатие на рекламу запускает вредоносное ПО, которое выглядит как обычное программное обеспечение, которое может украсть данные или подвергнуть систему опасности.
Надежное пространство для резервных копий вашего проекта. is*hosting гарантирует защиту данных.
Принцип атаки «услуга за услугу» следующий: злоумышленники предлагают что-то в обмен на информацию. Например, они могут предложить услугу или вознаграждение в обмен на учетные данные для входа или другие конфиденциальные данные. Такой вид социальной инженерии часто подразумевает выдачу себя за агента технической поддержки или другого уполномоченного лица, которому нужна информация жертвы, чтобы помочь.
Пример: Злоумышленник, маскирующийся под агента технической поддержки, звонит удалсотрудникам и предлагает им бесплатную услугу или обновление. Он запрашивает учетные данные для входа или просит сотрудника установить программное обеспечение, которое и позволяет злоумышленнику получить удаленный доступ для завершения процесса.
Тейлгейтинг (Tailgating), как и еще один из методов претекстинга Пиггибекинг (Piggybacking), предполагает физический доступ к закрытым зонам путем следования за уполномоченным лицом. Злоумышленники могут выдавать себя за сотрудников или подрядчиков, эксплуатируя доверие и любезность людей, которые открывают им двери. Однако в случае тейлгейтинга злоумышленники получают доступ к зданию без ведома других людей. Этот метод может использоваться для получения доступа к системам или объектам, которые находятся под защитой, т.к.сотрудники не знают, кто только что вошел в здание.
Пример 1: Мошенник ждет у входа в охраняемое здание и следует за сотрудником через дверь, где ему нужно пройти через бейдж. Чтобы смешаться с толпой и получить доступ к закрытым зонам, преступник может завязать разговор или пройти заодно с собеседником.
Пример 2: Злоумышленник выдает себя за курьера с большой посылкой и просит сотрудника придержать дверь для него. В обоих случаях он может попытаться получить доступ к конфиденциальным зонам или собрать информацию, оказавшись внутри.
Вишинг использует голосовую связь, обычно по телефону, представляя себя надежными организациями, для того чтобы обмануть жертв и получить конфиденциальную информацию. Злоумышленники могут представиться сотрудниками банка, государственного учреждения или службы технической поддержки, чтобы заставить жертву раскрыть личные или финансовые данные. Этот тип социальной инженерии использует воспринимаемую легитимность голосового взаимодействия.
Пример: Мошенник звонит, представившись сотрудником отдела по борьбе с мошенничеством финансового учреждения, утверждая, что на счете жертвы была обнаружена подозрительная активность. Чтобы «защитить» ее учетную запись, они просят жертву подтвердить свои личные данные или информацию об учетной записи.
Пример: Звонящий, представившийся сотрудником технической поддержки, сообщает жертве, что на ее компьютере возникла серьезная проблема безопасности. Для решения этой проблемы жертва должна предоставить свои учетные данные для удаленного доступа или установить ПО, которое позволит злоумышленнику управлять ее компьютером.
В обоих случаях мошенник получает доступ к конфиденциальной информации путем предоставления жертвой своих учетных данных.
Как уже упоминалось ранее атаки с использованием социальной инженерии представляют большую угрозу для организаций: они могут стать причиной потери денег и данных, привести к ущербу репутации и юридическим проблемам. В следующих разделах представлен обзор влияния социальной инженерии на организации, включающий такие проблемные вопросы и последствия, как:
Атаки с использованием социальной инженерии могут иметь серьезные последствия. Пострадавшие от атак с использованием социальной инженерии, понесли средние финансовые потери в каждом случае в размере 1,8 миллиона долларов. Эта сумма включает как прямые расходы (кражи, мошенничество и восстановительные расходы), так и косвенные (потери производительности и сбои в работе).
Помимо прямых финансовых потерь, организации также несут затраты, связанные с улучшением безопасности, ремонтом систем и возможными штрафами. Например, IBM Security Report за 2023 год показал, что утечки данных с использованием социальной инженерии стоят в среднем 4,88 млн долларов США, показывая более широкое финансовое влияние этих инцидентов на бюджет организации и ее ресурсы.
Атаки с использованием социальной инженерии являются основной причиной утечек данных. Приводя не только к финансовым потерям, утечки данных в свою очередь могут принести значительный ущерб репутации компании. В отчете IBM Cost of a Data Breach Report за 2024 год отмечается, что 60% пострадавших организаций несут долгосрочный ущерб репутации после утечки. Клиенты и заказчики могут потерять доверие организации в защите своих данных, что может привести к снижению объемов бизнеса и возможной потере доли рынка. Известно, что в среднем 45% компаний, пострадавших от утечек данных, сообщают, что это повлияло на репутацию бренда.
Атаки с использованием социальной инженерии также могут вызвать серьезные правовые и нормативные проблемы. Одними из многочисленных законов, которые регулируют защиту данных организации являются Общий регламент по защите данных (General Data Protection Regulation, GDPR) и Закон Калифорнии о защите прав потребителей (The California Consumer Privacy Act, CCPA). В результате утечки данных организации могут столкнуться с юридическими санкциями и нормативными штрафами за неспособность защитить личную информацию в результате атак с использованием социальной инженерии.
Например, отчет о применении GDPR за 2023 год указывает, что штрафы за несоблюдение правил защиты данных могут составлять от 10 000 до 50 миллионов евро в зависимости от степени тяжести нарушения. В отчете о соблюдении CCPA за 2024 год также указано, что организации могут быть оштрафованы на сумму до 7 500 долларов за нарушение, что влечет за собой серьезные финансовые последствия.
Помимо нормативных штрафов, организации могут столкнуться с судебными исками со стороны лиц или групп, которые пострадали. Организации вовлеченные в серьезные утечки данных, сталкиваются с юридическими проблемами со стороны пострадавших сторон, что свидетельствует о растущем количестве коллективных исков, связанных с утечками данных. Атаки с использованием социальной инженерии могут еще больше усугубить финансовые и деловые последствия из-за расходов, связанных с юридической защитой, урегулированием и возможными судебными решениями.
Как мы видим, социальная инженерия глубоко влияет на организации, затрагивая финансовую стабильность, безопасность данных и соблюдение законов. Для того чтобы снизить риски, связанные с социальной инженерией, организации должны инвестировать в комплексные меры безопасности. Для борьбы с социальной инженерией требуется многогранный подход, включающий обучение и образование, меры безопасности, такие как MFA, регулярные аудиты и культуру безопасности. Внедряя практики и подходы, описанные в следующих разделах, организации могут повысить общую безопасность и значительно снизить уязвимость к атакам социальной инженерии.
Для борьбы с социальной инженерией обязательной практикой является необходимое обучение и подготовка сотрудников. Они должны знать, что такое социальная инженерия, различные используемые тактики и как правильно реагировать.
Многофакторная аутентификация (Multi-factor authentication, MFA) добавляет дополнительный уровень безопасности помимо пароля. MFA может предотвратить несанкционированный доступ даже в том случае, если злоумышленник получит учетные данные пользователя с помощью социальной инженерии.
is*hosting придет на помощь в любое время дня и ночи. Задавайте вопросы, обращайтесь с трудностями - мы ответим.
Регулярные аудиты и оценки безопасности необходимы для выявления слабых мест и обеспечения того, что меры безопасности работают правильно.
Создание культуры осведомленности о безопасности в организации помогает подчеркнуть важность осторожности и соблюдения протоколов.
Организации могут использовать следующие технологические решения для эффективной борьбы с социальной инженерией.
В заключение следует отметить, что атаки с использованием социальной инженерии представляют собой значительную угрозу. В условиях развития и появления все более сложных и изощрённых атак социальной инженерии, безопасность, ориентированная на человека, становится критически важной. Однако проактивный подход, включающий обучение, технологические меры безопасности, MFA, регулярные оценки безопасности и сильная культуру осведомленности о безопасности, может минимизировать эти риски.
В будущем, благодаря достижениям инновационных технологий ИИ и машинного обучения, тактика социальной инженерии, вероятно, создаст еще более убедительные схемы. Поэтому, для того чтобы оставаться на шаг впереди, организации должны постоянно обновлять свои стратегии профилактики, включая передовое обнаружение угроз и поведенческую аналитику. Проактивный информированный подход будет иметь ключевое значение для снижения рисков и защиты от меняющегося ландшафта угроз социальной инженерии. Отдавая приоритет не только технологическим, но и человеческим факторам, компании смогут создать устойчивую систему защиты, которая адаптируется к будущим вызовам.