Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Теперь рассмотрим распространенные техники и виды атак, которыми пользуются социальные инженеры. Все они основаны на особенностях принятия людьми решений, известных как когнитивные  предубеждения. Эти предрассудки используются в различных комбинациях, с целью создания наиболее подходящей стратегии обмана в каждом конкретном случае. Но общей чертой всех этих методов является введение в заблуждение, целью которых является заставить человека совершить какое-либо действие, необходимое социальному инженеру. Для достижения поставленного результата используется целый ряд всевозможных тактик:

• выдача себя за другое лицо;
• отвлечение внимания;
• нагнетание психологического напряжения и т.д.

Конечные цели обмана так же могут быть весьма разнообразными [55].

Техники социального инжиниринга:

1. Претекстинг – это набор действий, осуществляемый по определенному сценарию (претексту). Данная техника предполагает использование голосовых средств, таких как телефон, «Skype» и т.п. для получения нужной информации. Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, социальный инженер просит жертву сообщить ему пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя цель совершить необходимое действие или предоставить определенную информацию. В большинстве случаев данная техника требует каких-либо изначальных данных об объекте атаки. Самая распространенная стратегия при данной технике – использование в начале небольших запросов и упоминание имен реальных людей из организации, в дальнейшем, социальный инженер объясняет, что нуждаются в помощи (большинство людей могут выполнить задачи, которые не воспринимаются ими как подозрительные). Как только доверительная связь установлена, социальный инженер может попросить что-то более существенное и важное.
2. Фишинг (от англ. phishing, от fishing — рыбная ловля, выуживание) – это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. Достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов (например: от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru) [33, с. 95]. В письме содержится прямая ссылка на сайт, который внешне неотличим от настоящего, либо на сайт, содержащий редирект (автоматическое перенаправление пользователей с одного сайта на другой). После попадания на поддельную страницу, происходят попытки различными психологическими приёмами побудить пользователя ввести свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам, банковским счетам и т.п. Техника фишинга первый раз была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе «alt.online-service.America-Online» сети «Usenet» [55]. Пожалуй, это самая популярная схема социального инжиниринга на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок. Чаще всего целью фишеров являются клиенты банков и электронных платёжных систем. Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей. В данный момент множество ссылок на фишинговые сайты, нацелены на кражу регистрационных данных. По оценкам специалистов, более 70% фишинговых атак в социальных сетях успешны. Фишинг стремительно набирает свои обороты, а оценки ущерба сильно разнятся: по данным компании «Gartner», «в 2008 году жертвы фишеров потеряли 2,4 миллиарда долларов США, в 2009 году – ущерб составил 2,8 миллиарда долларов, в 2010 – 3,2 миллиарда [55].
3. Вишинг – данная техника основана на использовании системы предварительно записанных голосовых сообщений, целью которых является воссоздание «официальных звонков» от банковских и других IVR (англ. Interactive Voice Response) систем [40, с. 175]. Обычно, жертва получает запрос (чаще всего через фишинг электронной почты) о необходимости связи с банком для подтверждения или обновления какой-либо информации. Система требует аутентификации пользователя с помощью ввода PIN-кода или пароля. Основное отличие вишинга в том, что, так или иначе, задействуется телефон. Принцип действия IVR систем показан на рисунке 4.

Рисунок 4 Принцип действия IVR систем

Согласно информации от «Secure Computing» [49], мошенники конфигурируют автонабиратель, который набирает номера в определенном регионе и при ответе на звонок происходит следующее:

• автоответчик предупреждает потребителя, что с банковской картой производятся мошеннические действия, и дает инструкции – перезвонить по определенному номеру немедленно;
• при последующем перезванивании, на другом конце провода отвечает компьютерный голос, который сообщает, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;
• после введения номера, вишер становится обладателем всей необходимой информации (номер телефона, полное имя, адрес);
• затем, используя этот звонок, можно собрать и дополнительную информацию, такую, как PIN-код, срок действия карты, дата рождения, номер банковского счета и тому подобное.

4. Фарминг (англ. Pharming) – перенаправление жертвы по ложному интеренет-адресу. Для этого используется некая навигационная структура (файл «hosts», система доменных имен – «domain name system») [16, c. 69]. Суть работы фарминга имеет много общего со стандартным вирусным заражением. Жертва открывает письмо или посещает какой-либо веб-сервер, на котором выполняется скрипт-вирус, при этом происходит искажение файла «hosts», в результате жертва попадает на один из ложных сайтов. Механизмов защиты от фарминга на сегодня просто не существует.

5. Услуга за услугу – этот вид атаки подразумевает под собой звонок социального инженера в организацию по корпоративному (внутреннему) телефону. В большинстве случаев социальный инженер представляется сотрудником технической поддержки, который производит опрос на возникновение технических проблем. Во время процесса «решения» технических проблем, социальный инженер «заставляет» цель вводить команды, которые позволяют ему запустить или установить вредоносное ПО на компьютер пользователя [13, с. 433].
6. Троянский конь (или троянская программа) – это вредоносная программа, которая используется социальным инженером для сбора и использования информационных ресурсов в своих целях [39, с. 473]. Данная техника использует любопытство, либо другие эмоции человека.

Разработчики троянских программ используют те же приемы, что и маркетологи. Для достижения своей цели вирусописатели используют человеческие слабости:

• недостаточная подготовка;
• желание выделиться;
• жалость и милосердие;
• желание просмотра «интересного» контента;
• интерес к продукту, который нужен населению или который очень сложно достать;
• интерес к методикам быстрого обогащения с помощью финансовых пирамид, супер-идеям для успешного ведения бизнеса или беспроигрышной игры в казино.

Открывая прикрепленный к письму файл, сотрудник устанавливает на компьютер вредоносное ПО, которое позволяет социальному инженеру получить доступ к конфиденциальной информации.

Распространение троянских программ происходит путем размещения их на открытых ресурсах (файл-серверы, открытые для записи накопители самого компьютера), носителях информации или присылаются с помощью служб обмена сообщениями (например: электронная почта, ICQ) из расчета на их запуск на каком-то конкретном или случайном компьютере [17, с. 174].

Редко использование «троянов» является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.

Троянские программы чаще всего разрабатываются для вредоносных целей. Существует классификация, где они разбиваются на категории, основанные на том, как «трояны» внедряются в систему и наносят ей вред. Существует 5 основных типов:

• удалённый доступ;
• уничтожение данных;
• загрузчик;
• сервер;
• дезактиватор программ безопасности.

Целью троянской программы может являться:

• закачивание или скачивание файлов;
• копирование ложных ссылок, ведущих на поддельные веб-сайты, чаты или другие сайты с регистрацией;
• создание помех работе пользователя;
• похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для НСД к ресурсам;
• распространение других вредоносных программ, таких как вирусы;
• уничтожение данных (стирание или переписывание данных на диске, трудно замечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей;
• сбор адресов электронной почты и использование их для рассылки спама;
• шпионство за пользователем и тайное сообщение третьим лицам каких-либо сведений;
• регистрация нажатий клавиш с целью кражи информации такого рода как пароли и номера кредитных карточек;
• дезактивация или создание помех работе антивирусных программ и файервола [45, с. 37].

7. Сбор информации из открытых источников. Применение техник социального инжиниринга требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал ее сбор из открытых источников, главным образом из социальных сетей [34, с. 210]. К примеру, такие сайты, как «livejournal», «Одноклассники», «Вконтакте» содержат огромное количество данных, которые люди не скрывают (пример: «в ходе следствия о похищении сына Евгения Касперского, было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети»).

8. «Дорожное яблоко» – представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Социальный инженер подбрасывает «инфицированный» диск, или флэш-карту в место, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство [22, с. 80] (например, социальный инженер может подбросить диск, снабженный корпоративным логотипом и ссылкой на официальный сайт организации, снабдив его надписью «Заработная плата руководящего состава». Диск оставляется на полу лифта, или в вестибюле. Сотрудник по незнанию подбирает диск и вставляет его в компьютер, чтобы удовлетворить любопытство).
9. Обратный социальный инжиниринг. О нем упоминают в том случае, когда жертва сама предлагает злоумышленнику нужную ему информацию (например: сотрудники службы поддержки, для решения проблемы, никогда не спрашивают у сотрудников идентификатор или пароль. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения).

Обратный социальный инжиниринг строится на трех факторах:

• создание ситуации, которая вынуждает человека обратиться за помощью;
• реклама своих услуг или опережение оказания помощи другими людьми;
• оказание помощи и воздействие.

10. Человеческий отказ в обслуживании – суть атаки заключается в том, чтобы заставить человека (незаметно для него) не реагировать на какие-либо ситуации. Т.е., делается так, чтобы каждое слово социального инженера воспринимается как правда безоговорочно и без осмысливания. К такого рода атакам относится и отвлечение внимания. Социальный инженер осуществляет ложное представление о выполнении одной операции, а на самом деле выполняет совсем другую. Таким образом, пока жертва занята одним, другого она не замечает. Атаки такого рода выполняются довольно сложно, т.к. необходимо хорошо просчитать психологию жертвы, ее знания и реакции на такие действия [27, с. 50].

11. Технический социальный инжиниринг. К этому виду атак относятся все те атаки, в которых нет ни «жертвы» ни «воздействия на нее». В атаках этого типа используются принципы и стереотипы социума, что и относит их к социальному инжинирингу. В качестве примера можно привести следующие рассуждения: «Раз стоят камеры, то, скорее всего, никто не полезет» или «Чем больше организация, тем тверже у людей мнение о ее защищенности». Такой способ более широко известен как анализ ситуации. Человек видит, что пройти обычным путем (стандартным) не получится, и начинает просматривать иные варианты, то есть занимается анализированием ситуации [27, с. 51].
12. Личный визуальный контакт – является наисложнейшей техникой. Осуществить эту технику могут только профессиональные психологи или специально подготовленные люди. Техника осуществляется следующим образом: к жертве находится подход, находится слабое место, вычисляется это с помощью анализа ответов на вопросы. Главное для социального инженера в таком случае – разговаривать с жертвой «в рамках слабого места», что впоследствии приведет к тому, что он очень понравится жертве как человек, и та выложит все, что необходимо, считая, что ничего особо важного не рассказывает.
13. Системы обмена мгновенными сообщениями (IM). В настоящее время в интернет существует множество программ, которые могут тем или иным способом влиять на работу ICQ [29, с 18]. В список их возможностей входит отсылка сообщения от имени другого пользователя. Также злоумышленник может проводить атаку в виде специально сформированного текста, но основным путем распространения вирусов через ICQ является передача файлов, поэтому необходимо быть очень осторожным с предложениями загрузить файл от постороннего человека, т.к. операционная система не всегда способна правильно выдать информацию о запускаемом файле. Microsoft Windows по умолчанию не показывает расширения имен (например: имя файла «foto.jpg.ехе» будет показано как «foto.jpg»). Для маскировки реального расширения применяется двойное расширение вроде «xxx.jpg.exe» (в данном случае может помочь то, что некоторые почтовые серверы отказываются пропускать исполняемые файлы) или добавляется большое количество пробелов, из-за чего имя файла отображается не полностью.