Несколько актуальных приемов социальной инженерии — от самых классических до новых трендов.
Рассказываем о популярных среди преступников приемах социальной инженерии, которые они используют для атак на компании. Сегодня в нашей программе: несколько вариантов схемы со звонками и сообщениями из фальшивой техподдержки, атаки с компрометацией корпоративной электронной почты и фальшивые запросы из правоохранительных органов на выдачу данных.
Есть еще одна вариация на ту же тему, получившая распространение во времена тотальной миграции офисных работников на удаленку. В этой версии фальшивая техподдержка якобы замечает странную активность на ноутбуке, с которого сотрудник работает из дома, и предлагает решить проблему с помощью удаленного подключения — то есть через . Опять-таки итог довольно предсказуем.
Вот тут-то мы и подходим к социальной инженерии. Многочисленными попытками логина взломщик заспамил несчастного подрядчика запросами на аутентификацию, а потом написал ему в WhatsApp от лица техподдержки и порекомендовал решение проблемы: чтобы поток спама прекратился, надо просто подтвердить запрос. Таким образом пала последняя преграда на пути хакера, и он оказался во внутренней сети Uber.
В целом в BEC-атаках все так или иначе крутится вокруг компрометации электронной почты, но это, так сказать, техническая сторона. Гораздо большую роль в них играет как раз элемент социальной инженерии. Если большинство мошеннических писем, нацеленных на обычных пользователей, часто вызывают только смех, то в BEC-операциях участвуют люди с опытом работы в крупных организациях, которые действительно способны написать правдоподобно выглядящее деловое письмо и в итоге убедить получателей сделать то, что нужно преступникам.
Сценарии развития такой атаки могут быть разными. Не исключен вариант с фишингом или отправкой вредоносного ПО. Но в классической схеме взломщики скорее всего постараются влезть в какую-нибудь беседу, которая напрямую касается денег, желательно крупных, аккуратно вбросить в нее нужные реквизиты для перевода и скрыться с полученными средствами в туманной дали тропических островов.
Отличный пример «угона беседы» — это история, . Преступникам удалось влезть в переписку от имени сотрудника дебютного клуба футболиста Boca Juniors, которому был положен небольшой процент от трансферного платежа — 520 000 €. Вот этой суммой мошенники в итоге и поживились.
Здесь стоит добавить немного контекста. В обычной ситуации в США для получения данных требуется ордер, подписанный судьей. Однако для случаев, когда речь идет о возможной смерти или ущербе здоровью, существует отдельная процедура — так называемые экстренные запросы данных ( ).
Проблема в том, что если для нормальных запросов на выдачу данных существуют простые и понятные процедуры проверки их достоверности, то для экстренных запросов ничего подобного пока нет. Поэтому с высокой вероятностью такой запрос будет удовлетворен, если он в целом выглядит правдоподобно и поступил с почтового адреса, принадлежащего тому или иному правоохранительному ведомству. Вот таким образом хакеры могут получить информацию о своей жертве из надежного источника и использовать ее для дальнейшей атаки.
Рассказываем о популярных среди преступников приемах социальной инженерии, которые они используют для атак на компании. Сегодня в нашей программе: несколько вариантов схемы со звонками и сообщениями из фальшивой техподдержки, атаки с компрометацией корпоративной электронной почты и фальшивые запросы из правоохранительных органов на выдачу данных.
Здравствуйте, я из техподдержки
Одна из классических схем социальной инженерии — это звонок сотруднику компании от имени корпоративной службы технической поддержки. Например, взломщики могут позвонить в выходной и сообщить примерно следующее: «Здравствуйте, на вашем рабочем компьютере заметили странную активность, вам необходимо срочно приехать в офис, и мы вместе разберемся, что происходит». Разумеется, ехать в выходной день в офис мало кому хочется, поэтому сотрудник техподдержки с явной неохотой соглашается в виде исключения нарушить установленные правила и решить проблему самостоятельно. Но для этого ему придется сообщить логин и пароль. Что тут может пойти не так — нетрудно догадаться.Есть еще одна вариация на ту же тему, получившая распространение во времена тотальной миграции офисных работников на удаленку. В этой версии фальшивая техподдержка якобы замечает странную активность на ноутбуке, с которого сотрудник работает из дома, и предлагает решить проблему с помощью удаленного подключения — то есть через . Опять-таки итог довольно предсказуем.
Подтвердите, подтвердите, подтвердите…
Продолжим тему фальшивой техподдержки. Интересная методика была замечена во время , произошедшей осенью 2022 года. Восемнадцатилетнему хакеру удалось скомпрометировать целый ряд используемых компанией систем. А началась атака с того, что взломщик раздобыл в даркнете логин и пароль одного из подрядчиков Uber к внутренним системам сервиса. Однако для получения доступа к ним требовалось преодолеть еще и многофакторную аутентификацию…Вот тут-то мы и подходим к социальной инженерии. Многочисленными попытками логина взломщик заспамил несчастного подрядчика запросами на аутентификацию, а потом написал ему в WhatsApp от лица техподдержки и порекомендовал решение проблемы: чтобы поток спама прекратился, надо просто подтвердить запрос. Таким образом пала последняя преграда на пути хакера, и он оказался во внутренней сети Uber.
Это директор, срочно переведите деньги!
Снова вернемся к классике: на очереди тип атак под названием . Их суть заключается в том, что атакующие тем или иным способом вступают в переписку с сотрудниками компании, как правило, от лица якобы руководителя или какого-то важного контрагента. Эта переписка сводится к тому, что надо срочно перевести деньги или оплатить тот или иной счет по указанным мошенниками реквизитам. Впрочем, возможны и вариации: если взломщиков больше интересует доступ во внутреннюю сеть компании, то они отправляют своим жертвам зараженное вложение, которое получателям совершенно необходимо открыть.В целом в BEC-атаках все так или иначе крутится вокруг компрометации электронной почты, но это, так сказать, техническая сторона. Гораздо большую роль в них играет как раз элемент социальной инженерии. Если большинство мошеннических писем, нацеленных на обычных пользователей, часто вызывают только смех, то в BEC-операциях участвуют люди с опытом работы в крупных организациях, которые действительно способны написать правдоподобно выглядящее деловое письмо и в итоге убедить получателей сделать то, что нужно преступникам.
Продолжим наш недавний разговор
Стоит отдельно обсудить одну специфическую методику атаки Business Email Compromise, приобретшую заметную популярность в последние годы. Называется она (угон разговора), а суть ее состоит в том, что атакующие стараются вклиниться в уже идущую переписку от лица одного из участников. При этом, как правило, не используются ни взломы аккаунтов, ни технические приемы для маскировки отправителя — все, что нужно злоумышленнику, это добыть реальное письмо и создать похожий домен. Таким образом преступники могут автоматически заручиться доверием всех остальных собеседников и далее аккуратно направить разговор в нужное им русло. Для реализации этой атаки часто используют продающиеся в даркнете базы почтовой переписки, украденной в процессе взломов или утечек данных.Сценарии развития такой атаки могут быть разными. Не исключен вариант с фишингом или отправкой вредоносного ПО. Но в классической схеме взломщики скорее всего постараются влезть в какую-нибудь беседу, которая напрямую касается денег, желательно крупных, аккуратно вбросить в нее нужные реквизиты для перевода и скрыться с полученными средствами в туманной дали тропических островов.
Отличный пример «угона беседы» — это история, . Преступникам удалось влезть в переписку от имени сотрудника дебютного клуба футболиста Boca Juniors, которому был положен небольшой процент от трансферного платежа — 520 000 €. Вот этой суммой мошенники в итоге и поживились.
Откройте данные, это полиция
Один из недавних трендов, появившийся, по всей видимости, в 2022 году: при сборе информации, который происходит в рамках подготовки атак на пользователей онлайн-сервисов, хакеры начали использовать «официальные» запросы данных. Преступники отправляют их американским провайдерам связи, социальным сетям и технологическим компаниям со взломанных почтовых аккаунтов, принадлежащих правоохранительным органам.Здесь стоит добавить немного контекста. В обычной ситуации в США для получения данных требуется ордер, подписанный судьей. Однако для случаев, когда речь идет о возможной смерти или ущербе здоровью, существует отдельная процедура — так называемые экстренные запросы данных ( ).
Проблема в том, что если для нормальных запросов на выдачу данных существуют простые и понятные процедуры проверки их достоверности, то для экстренных запросов ничего подобного пока нет. Поэтому с высокой вероятностью такой запрос будет удовлетворен, если он в целом выглядит правдоподобно и поступил с почтового адреса, принадлежащего тому или иному правоохранительному ведомству. Вот таким образом хакеры могут получить информацию о своей жертве из надежного источника и использовать ее для дальнейшей атаки.
Как защититься от атак с использованием социальной инженерии
Основной целью злоумышленников во всех описанных методах атаки являются не бездушные железки, а люди. Поэтому именно с ними и необходимо работать для того, чтобы повысить защищенность организации от атак с использованием социальной инженерии. А именно: обучать сотрудников основам компьютерной безопасности, повышать их осведомленность об угрозах и о том, как правильно противодействовать различным видам атак.
Последнее редактирование модератором:
