Приемы социальной инженерии

Рассказываем о популярных среди преступников приемах социальной инженерии, которые они используют для атак на компании. Сегодня в нашей программе: несколько вариантов схемы со звонками и сообщениями из фальшивой техподдержки, атаки с компрометацией корпоративной электронной почты и фальшивые запросы из правоохранительных органов на выдачу данных.

Здравствуйте, я из техподдержки

Одна из классических схем социальной инженерии — это звонок сотруднику компании от имени корпоративной службы технической поддержки. Например, взломщики могут позвонить в выходной и сообщить примерно следующее: «Здравствуйте, на вашем рабочем компьютере заметили странную активность, вам необходимо срочно приехать в офис, и мы вместе разберемся, что происходит». Разумеется, ехать в выходной день в офис мало кому хочется, поэтому сотрудник техподдержки с явной неохотой соглашается в виде исключения нарушить установленные правила и решить проблему самостоятельно. Но для этого ему придется сообщить логин и пароль. Что тут может пойти не так — нетрудно догадаться.

Есть еще одна вариация на ту же тему, получившая распространение во времена тотальной миграции офисных работников на удаленку. В этой версии фальшивая техподдержка якобы замечает странную активность на ноутбуке, с которого сотрудник работает из дома, и предлагает решить проблему с помощью удаленного подключения — то есть через RAT. Опять-таки итог довольно предсказуем.

Подтвердите, подтвердите, подтвердите…

Продолжим тему фальшивой техподдержки. Интересная методика была замечена во время атаки на Uber, произошедшей осенью 2022 года. Восемнадцатилетнему хакеру удалось скомпрометировать целый ряд используемых компанией систем. А началась атака с того, что взломщик раздобыл в даркнете логин и пароль одного из подрядчиков Uber к внутренним системам сервиса. Однако для получения доступа к ним требовалось преодолеть еще и многофакторную аутентификацию…

Вот тут-то мы и подходим к социальной инженерии. Многочисленными попытками логина взломщик заспамил несчастного подрядчика запросами на аутентификацию, а потом написал ему в WhatsApp от лица техподдержки и порекомендовал решение проблемы: чтобы поток спама прекратился, надо просто подтвердить запрос. Таким образом пала последняя преграда на пути хакера, и он оказался во внутренней сети Uber.

Это директор, срочно переведите деньги!

Снова вернемся к классике: на очереди тип атак под названием Business Email Compromise (BEC). Их суть заключается в том, что атакующие тем или иным способом вступают в переписку с сотрудниками компании, как правило, от лица якобы руководителя или какого-то важного контрагента. Эта переписка сводится к тому, что надо срочно перевести деньги или оплатить тот или иной счет по указанным мошенниками реквизитам. Впрочем, возможны и вариации: если взломщиков больше интересует доступ во внутреннюю сеть компании, то они отправляют своим жертвам зараженное вложение, которое получателям совершенно необходимо открыть.

В целом в BEC-атаках все так или иначе крутится вокруг компрометации электронной почты, но это, так сказать, техническая сторона. Гораздо большую роль в них играет как раз элемент социальной инженерии. Если большинство мошеннических писем, нацеленных на обычных пользователей, часто вызывают только смех, то в BEC-операциях участвуют люди с опытом работы в крупных организациях, которые действительно способны написать правдоподобно выглядящее деловое письмо и в итоге убедить получателей сделать то, что нужно преступникам.

Продолжим наш недавний разговор

Стоит отдельно обсудить одну специфическую методику атаки Business Email Compromise, приобретшую заметную популярность в последние годы. Называется она Conversation Hijacking (угон разговора), а суть ее состоит в том, что атакующие стараются вклиниться в уже идущую переписку от лица одного из участников. При этом, как правило, не используются ни взломы аккаунтов, ни технические приемы для маскировки отправителя — все, что нужно злоумышленнику, это добыть реальное письмо и создать похожий домен. Таким образом преступники могут автоматически заручиться доверием всех остальных собеседников и далее аккуратно направить разговор в нужное им русло. Для реализации этой атаки часто используют продающиеся в даркнете базы почтовой переписки, украденной в процессе взломов или утечек данных.

Сценарии развития такой атаки могут быть разными. Не исключен вариант с фишингом или отправкой вредоносного ПО. Но в классической схеме взломщики скорее всего постараются влезть в какую-нибудь беседу, которая напрямую касается денег, желательно крупных, аккуратно вбросить в нее нужные реквизиты для перевода и скрыться с полученными средствами в туманной дали тропических островов.

Отличный пример «угона беседы» — это история, произошедшая во время трансфера футболиста Леандро Паредеса. Преступникам удалось влезть в переписку от имени сотрудника дебютного клуба футболиста Boca Juniors, которому был положен небольшой процент от трансферного платежа — 520 000 €. Вот этой суммой мошенники в итоге и поживились.

Откройте данные, это полиция

Один из недавних трендов, появившийся, по всей видимости, в 2022 году: при сборе информации, который происходит в рамках подготовки атак на пользователей онлайн-сервисов, хакеры начали использовать «официальные» запросы данных. Преступники отправляют их американским провайдерам связи, социальным сетям и технологическим компаниям со взломанных почтовых аккаунтов, принадлежащих правоохранительным органам.

Здесь стоит добавить немного контекста. В обычной ситуации в США для получения данных требуется ордер, подписанный судьей. Однако для случаев, когда речь идет о возможной смерти или ущербе здоровью, существует отдельная процедура — так называемые экстренные запросы данных (Emergency Data Request).

Проблема в том, что если для нормальных запросов на выдачу данных существуют простые и понятные процедуры проверки их достоверности, то для экстренных запросов ничего подобного пока нет. Поэтому с высокой вероятностью такой запрос будет удовлетворен, если он в целом выглядит правдоподобно и поступил с почтового адреса, принадлежащего тому или иному правоохранительному ведомству. Вот таким образом хакеры могут получить информацию о своей жертве из надежного источника и использовать ее для дальнейшей атаки.

Как защититься от атак с использованием социальной инженерии

Основной целью злоумышленников во всех описанных методах атаки являются не бездушные железки, а люди. Поэтому именно с ними и необходимо работать для того, чтобы повысить защищенность организации от атак с использованием социальной инженерии. А именно: обучать сотрудников основам компьютерной безопасности, повышать их осведомленность об угрозах и о том, как правильно противодействовать различным видам атак. Отличный способ это сделать — использовать нашу интерактивную обучающую платформу Kaspersky Automated Security Awareness Platform.