#знания
Социальная инженерия —
все еще любимый инструмент хакеров. Как обезопасить себя
от взлома?
все еще любимый инструмент хакеров. Как обезопасить себя
от взлома?
#Знания
Социальная инженерия — все еще любимый инструмент хакеров.
Как обезопасить себя от взлома?
Как обезопасить себя от взлома?
Принято считать, что за громкими хакерскими атаками и взломами серверов ИТ-гигантов стоят крупные преступные группировки, обладающие внушительным арсеналом различных гаджетов, вирусов и программ. Это не так. Зачастую мошенники используют слабости людей: доверчивость и непрофессионализм.
Летом 2021 года жертвой мошенников стал крупнейший издатель игр Electronic Arts, известный нам по играм FIFA, NHL, The Sims, Battlefield, Crysis, Mass Effect и др. Хакеры украли данных на 780 Гб, включая исходные коды игр, и начали искать покупателей в даркнете. Уникальность атаки на издателя — в простоте взлома. Хакеры использовали обычную социальную инженерию.
Социальная инженерия — один из самых популярных способов атаки с целью получения доступа к ценной информации. Метод не подразумевает использование каких-либо специальных технических средств. Он основан на использовании слабостей человеческого фактора и является очень эффективным в социальных сетях, мессенджерах и телефонных разговорах. Именно этот способ выведать конфиденциальную информацию у частных лиц и сотрудников компаний мы встречаем, когда нам звонят из «банков», называют наши имя и отчество и рассказывают, что со счетами «происходят подозрительные действия».
Как произошел «взлом» EA?
Атака серверов Electronic Arts разделена на три этапа. Сначала хакеры купили в интернете украденные cookie-файлы всего за $ 10. Эти файлы были ранее «слиты» с нескольких компьютеров сотрудников EA и включали в себя некоторые данные от рабочих чатов Slack (популярный корпоративный мессенджер — прим. ред.). Затем мошенники получили непосредственный доступ к чатам сотрудников.
Второй этап атаки — та самая социальная инженерия. В эксклюзивном интервью изданию Motherboard один из хакеров рассказал, как им удалось получить доступы к системе. «Как только мы проникли в чат сотрудников, сразу же написали в техподдержку EA, что якобы потеряли рабочий телефон на вчерашней вечеринке. Поэтому нам нужен многофакторный токен аутентификации, чтобы получить доступ к корпоративной сети EA и продолжить работу. Мы проделали такое дважды. И это дважды сработало!», — рассказал представитель хакеров.
Оказавшись в сети EA, хакеры нашли сервис для разработчиков по компиляции игр. Они успешно вошли в систему и создали виртуальную машину, с помощью которой получили доступ к еще одному сервису. В результате третьего этапа (уже вполне технического, а не социального) злоумышленники и загрузили исходные коды игр и другие важные файлы.
Второй этап атаки — та самая социальная инженерия. В эксклюзивном интервью изданию Motherboard один из хакеров рассказал, как им удалось получить доступы к системе. «Как только мы проникли в чат сотрудников, сразу же написали в техподдержку EA, что якобы потеряли рабочий телефон на вчерашней вечеринке. Поэтому нам нужен многофакторный токен аутентификации, чтобы получить доступ к корпоративной сети EA и продолжить работу. Мы проделали такое дважды. И это дважды сработало!», — рассказал представитель хакеров.
Оказавшись в сети EA, хакеры нашли сервис для разработчиков по компиляции игр. Они успешно вошли в систему и создали виртуальную машину, с помощью которой получили доступ к еще одному сервису. В результате третьего этапа (уже вполне технического, а не социального) злоумышленники и загрузили исходные коды игр и другие важные файлы.
Виды социальной инженерии
Как говорится, был бы человек, а метод найдется. В центре таких атак всегда находится человек со своими слабостями и эмоциями. Социальная инженерия отлично работает как против простых частных лиц, так и против сотрудников крупных компаний. И самое интересно (и печальное), что довольно часто от социальных атак страдают представители ИТ-компаний, в которых, казалось бы, применяются самые современные меры защиты от хакеров.
Фишинг (атака через невнимательность) — самый популярный вид социальной инженерии. Способ заключается в распространении ссылок на поддельные страницы банков, социальных сетей, антивирусных программ и т.д. Бывает, что такие ссылки очень похожи на реальные (тут важно быть внимательным: intersvyaz.media или intersvyas.media). Чаще всего такие ссылки отправляются в письмах, смс и мессенджерах под видом важной и ценной информации. Например, на корпоративную почту компании может прийти письмо от якобы отдела кадров с выгодными акциями и скидками для сотрудников на какой-либо товар или услугу партнера компании (фитнес-центр, медицинские услуги). Ссылка в письме будет, конечно же, фишинговой. Мошенники обязательно попросят ввести на сайте платежные или персональные данные, чтобы их украсть.
Троянский конь или дорожное яблоко (атака через любопытство) — в первом случае мошенники отправляют письмо со ссылкой на важный файл, обновление антивирусника или пикантный компромат на коллегу, а во втором подкидывают вам флешку. Вы открываете и получаете вирус.
Кви про кво (атака через доверчивость) — любимый прием социальной инженерии, с которым многие из нас встречались. Мошенники звонят под видом банка или техподдержки, задают множество вопросов и пытаются выманить конфиденциальные данные.
В арсенале злоумышленников есть множество других инструментов: и взлом страниц в соцсетях с последующей рассылкой по друзьям сообщений с просьбой одолжить денег, и взлом корпоративной почты для массовых рассылок, и многое другое. Существует и обратная социальная инженерия. Злоумышленники делают все, чтобы вы сами к ним пришли. Например, они выводят из строя ваше рабочее оборудование (принтеры или компьютеры), перед этим заботливо «подсовывая» письма или визитки с рекламой услуг компьютерного мастера.
Фишинг (атака через невнимательность) — самый популярный вид социальной инженерии. Способ заключается в распространении ссылок на поддельные страницы банков, социальных сетей, антивирусных программ и т.д. Бывает, что такие ссылки очень похожи на реальные (тут важно быть внимательным: intersvyaz.media или intersvyas.media). Чаще всего такие ссылки отправляются в письмах, смс и мессенджерах под видом важной и ценной информации. Например, на корпоративную почту компании может прийти письмо от якобы отдела кадров с выгодными акциями и скидками для сотрудников на какой-либо товар или услугу партнера компании (фитнес-центр, медицинские услуги). Ссылка в письме будет, конечно же, фишинговой. Мошенники обязательно попросят ввести на сайте платежные или персональные данные, чтобы их украсть.
Троянский конь или дорожное яблоко (атака через любопытство) — в первом случае мошенники отправляют письмо со ссылкой на важный файл, обновление антивирусника или пикантный компромат на коллегу, а во втором подкидывают вам флешку. Вы открываете и получаете вирус.
Кви про кво (атака через доверчивость) — любимый прием социальной инженерии, с которым многие из нас встречались. Мошенники звонят под видом банка или техподдержки, задают множество вопросов и пытаются выманить конфиденциальные данные.
В арсенале злоумышленников есть множество других инструментов: и взлом страниц в соцсетях с последующей рассылкой по друзьям сообщений с просьбой одолжить денег, и взлом корпоративной почты для массовых рассылок, и многое другое. Существует и обратная социальная инженерия. Злоумышленники делают все, чтобы вы сами к ним пришли. Например, они выводят из строя ваше рабочее оборудование (принтеры или компьютеры), перед этим заботливо «подсовывая» письма или визитки с рекламой услуг компьютерного мастера.
Читайте также
Профессия: переговорщик
с хакерами. Как решают проблемы
на миллион
с хакерами. Как решают проблемы
на миллион
К нему обращаются компании, когда их шантажируют.
Как защититься от социальной инженерии?
1
Как показывает пример Electronic Arts, сложных систем электронной защиты для компаний недостаточно, а у физлиц нет их и вовсе. Пожалуй, главный инструмент безопасности, который есть у каждого человека (по крайней мере, должен быть развит) — внимательность и бдительность. Только за счет этих качеств уже можно избежать большинства проблем. Проще говоря, «доверяй, но проверяй». Как правило, пары наводящих вопросов хватает для проверки, реальный ли друг или коллега вам пишет. Например, можно поинтересоваться у собеседника здоровьем тетушки Нины, которой никогда не существовало. Реальный банковский сотрудник во время звонка всегда смотрит в вашу анкету и прекрасно знает, как вас зовут и в каком городе вы прописаны, поэтому вопросы о вас должны вас насторожить.
2
Осведомленность. Рассказывайте знакомым и родственникам о социальной инженерии, посылайте эту статью коллегам в рабочих чатах. Чем больше люди знают об этом типе мошенничества, тем меньше риски для вас. Сотрудникам компании можно разъяснить, что все логины, пароли, рабочие чаты и другая информация являются конфиденциальной собственностью компании.
3
Двухфакторная аутентификация и надежные пароли — один из основных правил кибербезопасности. В нашем блоге мы неоднократно писали о том, какими должны быть пароли и как защитить свои данные.
4
Хладнокровие (или даже медлительность). Чем больше вы даете себе времени на обдумывание ситуации и сообщений от собеседников, тем выше ваши шансы на успешный анализ разговора. Помните, что каждый «социальный инженер» пытается ускорить процесс получения данных от вас, потому что спешка — еще один помощник мошенника.
5
Актуальность защитных средств. Регулярно обновляйте программное обеспечение личных и рабочих устройств, используя стандартные для ваших гаджетов и операционных систем способы. Не пренебрегайте проверками и обновлениями антивирусных программ. Следуйте указаниям и предписаниям ИТ-специалистов в вашей компании (главное, чтобы они сами не были взломаны).
Социальная инженерия — единственная угроза нашим данным, от которой не защитит ни один фаервол или антивирусная программа. Потому что цель атаки — человек.
Подписывайтесь на Интерсвязь в социальных сетях!