Як захистити себе та колег від переконливих “спеціалістів” із соціальної інженерії

Як таке може бути, що Олена завантажила вірус, повіривши, що перейшовши за посиланням отримає в подарунок новенький iPhone? Чи Олексій вчинив краще від Олени, вставивши в робочий комп’ютер щойно знайдену в кафе гарненьку флешку з цікавим логотипом? Обидва стали жертвами соціальної інженерії.

Мабуть, ви не раз чули про те, як люди розкривають шахраям дані своїх банківських карток, секретні фрази, PIN-коди та паролі. Ще у 2019 році за даними Української Міжбанківської Асоціації членів платіжних систем “ЄМА”, шахраї викрали з банківських карток понад 360 млн грн, використовуючи методи соціальної інженерії.

Що таке соціальна інженерія


Взагалі соціальна інженерія — це наука, яка займається вивченням людської поведінки і факторів (обставин, середовища, системи цінностей особистості), які на неї можуть впливати.  Але цей термін широко використовується серед фахівців з інформаційної безпеки у сенсі психологічної маніпуляції, яка проводиться шахраями з метою отримання від користувачів мережі (або робітників компаній) конфіденційної інформації. 

Таких шахраїв часто називають “спеціалістами” із соціальної інженерії. Не дарма слово “спеціалісти” беремо в лапки, бо контекст слова тут зовсім не позитивний. Мусимо визнати, що маніпуляції у них добре виходять — у 65 % випадків шахраї досягають цілей там, де система надійно захищена апаратними методами. 

Слабкою ланкою в ній стає людський фактор, бо людина має почуття та схильна до емоційних станів, на відміну від техніки. Тож при певних обставинах людина може розкривати інформацію навіть незнайомцям, чомусь довіряючи їм. 

image7

Методи, які використовують шахраї для отримання інформації


Щоб отримати інформацію, шахраї насамперед використовують такі слабкості людини як страх, цікавість, неуважність, недосвідченість. Якщо зловмисники мають просунутий рівень та більш далекосяжні цілі, то намагаються подружитися з жертвою, увійти у довіру, спілкуючись з нею деякий час. 

Методи, якими зловмисники отримують потрібну їм інформацію, називаються так:

  • Претекстинг (привід).
  • Фішинг (фішинг у листуваннях або телефонний фішинг).
  • Дорожнє яблуко.
  • Плечовий серфінг.
  • Quid pro quo (послуга за послугу).

Претекстинг

image6

Суть цього методу полягає в тому, що жертва виконує дії, до яких її підштовхують зловмисники за розробленим раніше сценарієм. Це може бути розкриття якихось даних, або завантаження шкідливого програмного забезпечення. Щоб розробити відповідний сценарій, шахраї спочатку відстежують жертву, збирають дані про неї та про компанію, в якій вона працює: ПІБ, дату народження, посаду, назву відділу, назву проєктів, з якими працює, ім’я співробітників тощо. Про елементи, яких бракує, зловмисник намагається дізнатися через коло спілкування (наприклад, зламавши акаунти друзів у соцмережах).

Здобувши необхідну інформацію, шахрай може видавати себе за іншу особу, спілкуючись вже з керівником підрозділу. Зібравши дані про менеджера середньої ланки, він вже звертається далі — до його керівника. І так він діє, доки не отримає доступи до банківських рахунків компанії або не зламає обліковий запис суперадміністратора на сайті.

Фішинг

Фішинг може різнитися за способом спілкування: письмовий (97 %), розмовний (2 %) або їх поєднання (1 %). 

image2

Фішинг у листуванні

Листування — найчастіший вид фішингу. В його основі відправлення жертві SMS-сповіщення чи листа на пошту зі шкідливим програмним забезпеченням або підробленим сайтом з формою введення даних. Щоб визначити фальшивий сайт, треба звернути увагу на його адресу.

Для того, щоб користувач напевно відкрив повідомлення та перейшов за посиланням, зловмисник підробляє його під звернення від банків, державних установ, служби безпеки, поліції, волонтерської організації тощо.

image3

Приклад фальшивої сторінки, адреса якої відрізняється на одну літеру і має додатковий рівень домену “in”.

Ключові фрази, на які частіше реагують споживачі інтернету:

  • “Ваші фінансові рахунки заблоковані, введіть дані картки для розблокування”.
  • “Збираємо гроші на дрон (каски, одяг, їжу), надішліть певну суму”.
  • “Вітаємо, як постійний покупець нашого супермаркету, ви виграли телефон/комп’ютер/автомобіль/квартиру за нашою акцією”.
  • “Система вашого комп’ютера незахищена, оновіть антивірус”.
  • “Ваші документи на власність видалені з реєстру, завантажте їх заново”.
  • “Помилка з нарахуванням заробітної плати, для підтвердження надішліть дані паспорта та банківської картки”.

Телефонний фішинг

Телефонний фішинг ще небезпечніший за листування, бо в цьому разі шахраю легше створити умови для термінової дії, коли жертва не має часу на роздуми. А коли людина поспішає, вона частіше робить помилки. 

Теми, на які чіпляють телефонні шахраї схожі на ті, про які ми розповіли в попередньому пункті, але до них можуть додаватися інші маніпуляції, пов’язані з необхідністю невідкладного вирішення:

  • рідні потрапили в аварію;
  • чоловіка затримала поліція;
  • у вашого брата неприємності через великі борги тощо.

Крім того, шахраї використовують метод “офіційний дзвінок” від банків, сервісів чи поліції. Вони представляються іншими особами та повністю копіюють стиль офіційних повідомлень, тож людина зазвичай їм вірить. 

Також бувають випадки, коли жертві спочатку надсилають листа, а потім додатково дзвонять, щоб вона напевно його відкрила та отримала “троянського коня” (шкідливе програмне забезпечення під приводом завантаження начебто безпечного файлу).

Дорожнє яблуко

image1

Цей метод схожий на “троянського коня”. Тільки він полягає в тому, що жертві підкладається фізичний носій (флешка), який активує вірус-здирника або вірус-шпигуна. Носій має гарний вигляд, офіційні логотипи, щоб привернути увагу. Його ніби хтось губить у публічних місцях: у кафе, коворкінгу, на автостоянці, у спортклубі, приміщенні для перевдягання/куріння робітників тощо. І коли людина вставляє знахідку в персональний / робочий пристрій, то отримує неприємності, як-от: блокування програм, зміни у базах даних, крадіжку паролів.

Плечовий серфінг

image5

Цей метод не дуже простий і передбачає спостерігання за жертвою у публічних місцях. І хоча кожен може подумати, що зможе вчасно помітити людину, яка за ним стежить, це не завжди так. Бо зловмисники можуть працювати в команді, і один з них може відвернути увагу користувача, а другий стояти за спиною. Таким чином зловмисники можуть не тільки побачити PIN-код від картки (який людина вводить у банкоматі, або на касі в супермаркеті), а ще підглянути код-повідомлення для двофакторної автентифікації на екрані телефону/ноутбука.

У другому випадку він працює за такою методою: отримує номер телефону жертви, наприклад у соцмережах. Потім, коли вона стоїть десь у черзі, шахрай набирає функцію скидання пароля через отримання повідомлення на телефон. Людина, нічого не підозрюючи, дістає свій телефон, де на екрані видно повідомлення з кодом. Таким чином зловмисник відкриває обліковий запис у соцмережах та отримує доступ до всіх прив’язаних сервісів.

Quid pro quo

image4
Цей метод атаки передбачає створення таких умов, щоб людина повірила в те, що в неї виникли серйозні проблеми. Це можуть бути питання, пов’язані з банківськими рахунками, страхуванням, справністю техніки, доступом до мережі тощо. Зловмисник може дзвонити кілька разів, називаючи себе іншою людиною та питати, чи все добре, пропонувати пройти анкетування, потім свої послуги. Коли людина врешті решт переконується, що проблеми ніби є, вона звертається до зловмисника, який каже, що вирішується питання легко, треба тільки надати якісь дані, або встановити програму. 

Приклад діалогу у великій компанії, де спеціалісти з різних відділів майже не перетинаються один з одним.

 

— Вітаю! Я Андрій з технічного відділу. Як я можу до вас звертатися?
— Вітаю. Мене звати Максим. 
— Приємно познайомитися. Чи не було у вас часом проблем з мережею?
— Та ні, все гаразд. 
— Добре, а який у вас номер комп’ютера? 
— ХХХХХ123. А чому питаєте?
— Річ у тому, що у сусідньому кварталі аварійна ситуація, тож попереджають про довге відключення. Для вас не буде проблемою попрацювати 2-3 дні без інтернету?
— Та ви що! Я максимум пару годин можу протриматися.
— Добре, тоді дзвоніть на мій телефон у разі проблем. Ми можемо запропонувати альтернативне підключення.

Після цього зловмисник дзвонить у справжній технічний відділ та каже:
— Вітаю, я Максим, чи ви не могли б відключити на пару годин мій комп’ютер ХХХХХ123, мені потрібно провести деякі тестування.
— Та без проблем. 

 

Залишившись на годину без інтернету, Максим звичайно починає дзвонити “Андрію”, щоб він “допоміг” йому вирішити ситуацію. Своєю чергою “Андрій” надсилає Максиму нібито програмне забезпечення для підключення, а насправді “троянського коня”. Після чого знову дзвонить в технічний відділ та просить під’єднати комп’ютер, бо “тестування завершені”.

Чому в цій ситуації всі повірили “Андрію”? Бо технічний спеціаліст, який може розв’язати питання з мережею, беззаперечно викликає довіру. А для технічного відділу ім’я співробітника та назва комп’ютера виявилися достатніми факторами, щоб не перевіряти, хто дзвонить насправді. Хоча технічні спеціалісти могли б поставити більше запитань зловмиснику (які тестування, для чого, чи не потрібно надіслати когось із наших до вас), а Максим — розпитати колег, чи немає у них подібних проблем з мережею.

Як дізнатися, що до вас застосовують методи соціальної інженерії

Розпізнати атаки зловмисників може бути непросто. Особливо, коли працюєте в режимі багатозадачності та раптом отримуєте повідомлення нібито з компанії або державної служби. Але деякі нюанси повинні вас насторожити:

    • Необхідність термінового підтвердження якихось особистих даних — зазвичай на будь-яке підтвердження запиту відводиться достатньо часу, щоб людина могла встигнути зібрати інформацію, підготувати документи. Шахраї навмисне тиснуть на жертву, щоб не дати змогу їй обдумати рішення. 
    • Запит паролів, PIN-кодів, особистої інформації, особових рахунків, документів — жодна служба не має повноважень для таких запитів. Навіть, якщо в повідомленні йдеться про те, що для отримання зарплати потрібні певні документи, поставте дзвінок на паузу, подзвоніть у бухгалтерію, зверніться до адміністрації та дізнайтеся, чи справді надсилали вам листа. Або навіть запитайте в колег, чи отримували вони подібні запити.
    • Повідомлення про великий виграш або отримання спадку від далеких родичів із закордону — так, це може бути правдою, але зазвичай для його отримання не потрібно терміново платити податки на рахунок, який продиктує голос з трубки телефону. Якщо це мова про виграш, то вас попросять підтвердження учасника акції — це можуть бути цифри з лотерейного білета чи секретне слово під кришечкою тощо. Якщо мова про спадок, то скоріше за все ви спочатку отримаєте запрошення особисто відвідати відповідну інстанцію, взявши з собою документи, які будуть перераховані в надісланому переліку.
    • Дуже швидке проговорення співрозмовником імені, назви посади чи компанії. Якщо у шахраїв мало інформації, вони дуже розраховують на неуважність співрозмовника, тож дуже швидко переходять до суті питання та навмисно проговорюють деякі дані нерозбірливо (можуть навіть створити штучні скрипи в мережі). Достатньо не поспішаючи перепитати ім’я, посаду та назву компанії, щоб зловмисник попросив вибачення і, під приводом передзвонити пізніше, поклав трубку.
    • Необхідність надсилати кошти на номер рахунку, який потрібно вводити вручну, або через незнайомі, сумнівні сервіси на незахищених сайтах. Зазвичай оплата через якісні магазини, або надсилання коштів для надання допомоги здійснюється через офіційні платіжні канали однією кнопкою (наприклад, через сервіс Google Pay), а не через онлайн банкінг. І для цього не треба вручну набирати номер рахунку.

Як захиститися від “спеціалістів” із соціальної інженерії

Щоб захиститися від впливу шахраїв, радимо дотримуватися рекомендацій фахівців з кібербезпеки:

  • Намагайтеся бути обізнаними щодо методів соціальної інженерії.
  • Включайте критичне ставлення до будь-яких повідомлень.
  • Ставте дзвінки на паузу, щоб мати змогу обдумати дивне повідомлення.
  • Не соромтесь перепитати у співрозмовника ім’я, посаду, назву відділу, компанії тощо.
  • Перевіряйте правдивість фактів через додаткові канали зв’язку, щоб вас не могли залякати чи ввести в оману поганими новинами від родичів.
  • Консультуйтесь з рідними, знайомими перед тим, як надати відповідь стосовно виграшів чи спадку.
  • Перевіряйте дані відправника: чи немає помилок в адресі браузера/пошти, чи не відрізняється номер телефону від офіційного на сайті.
  • Якщо у вас просять гроші на допомогу, переказуйте кошти тільки через офіційні сервіси.
  • Не підбирайте флешки або не вставляйте їх в комп’ютер без попередньої перевірки фахівцями.
  • Замініть оплату кредитними картками на підтвердження платежів за допомогою телефону або смарт-годинника. Забудьте про введення PIN-кодів у публічних місцях.
  • Перевіряйте файли на віруси, перед тим, як їх завантажити.
  • Захищайте облікові записи за допомогою двофакторної автентифікації. Про неї докладніше в нашій статті: “Двофакторна автентифікація”.

Окремо виділяємо заходи для захисту від зловмисників робітників компаній:

  • Регулярно проводьте інструктажі з кібербезпеки, особливо для новачків.
  • Максимально обмежте права нових користувачів. Наприклад забороніть завантаження програм або використання флеш-накопичувачів.
  • Встановіть надійні антивірусні програми на кожному корпоративному комп’ютері.
  • Забороніть використання облікових даних будь-де за межами компанії.
  • Розробіть регламент поведінки у випадках запиту конфіденційної інформації.
  • Забороніть публікацію персональних даних та контактної інформації в публічних профілях соцмереж (якщо робітник не займає відповідну посаду, яка передбачає особисте спілкування з клієнтами, журналістами, лідерами думок та не займається громадською роботою тощо);
  • Введіть використання технічних засобів для  захисту облікових записів, як-от: біометричні сканери, смарт-картки, ключі безпеки.

Всі ці методи дуже дієві, і їх використання суттєво допоможе уникнути негативного впливу “спеціалістів” із соціальної інженерії. Безумовно, щоб надати більше практичних рекомендацій, фахівцям з кібербезпеки треба ознайомитися докладніше зі специфікою вашого бізнесу, провести тести на проникнення, поспілкуватися з вашими співробітниками тощо. 

Якщо вам потрібно побудувати надійну систему захисту для вашої компанії, звертайтеся до наших фахівців. Ми, як професіонали з 30-річним досвідом, допоможемо знайти вразливості системи та усунути їх, запропонуємо надійні хмарні рішення, щоб вам не довелося купувати додаткове обладнання, порекомендуємо найбільш відповідні для специфіки вашого бізнесу технічні засоби захисту облікових записів співробітників. Наші контакти.

Не відкладайте безпеку вашого бізнесу на потім. Звертайтеся до нас сьогодні!

Режим смарт-картки YubiKey на macOS — зручна автентифікація для розробників

Смарт-картки користуються великою популярністю вже багато років як надійний засіб для ідентифікації, автентифікації та авторизації на підприємствах чи в навчальних закладах. Вони бувають різних формфакторів: від SIM-картки на телефоні до пластикової картки. Але якщо...

OTP-паролі на YubiKey — як це працює

OTP-паролі — це одноразові паролі (походження OTP від англ. one time password), які використовуються для одного сеансу автентифікації. Їх дія зазвичай обмежена часом. Ви могли отримувати такі коди на телефон чи пошту при спробі зайти в онлайн-банкінг або коли...

Як захиститися від фішингу за допомогою YubiKey на Binance

Binance — одна з найбільших та найпопулярніших бірж криптовалюти у світі. За її допомогою можна відстежувати рухи ринку криптовалюти, інвестувати у цифрові активи та проводити торгові операції у режимі реального часу.  Звісно, для того, щоб ефективно користуватися...

Автентифікатор Yubico — інструкція з використання

Ця інструкція створена для того, щоб допомогти вам налаштувати ключі YubiKey в будь-яких сервісах, які пропонують підключення двофакторної автентифікації за допомогою програм-автентифікаторів, що генерують коди.

Як налаштувати YubiKey в Linux за допомогою функції “виклик-відповідь”

Апаратні ключі безпеки YubiKey роблять вашу систему більш захищеною. А саму процедуру входу в облікові записи — швидшою та зручнішою. Дотримуйтесь наступних інструкцій, щоб легко додати необхідні налаштування в системі Linux.Налаштування YubiKey в Linux значно...

5 способів встановлення ПЗ Yubico на Linux

Для того, щоб користуватися ключами YubiKey в системі Linux, вам знадобиться встановити відповідне програмне забезпечення (ПЗ) Yubico: Автентифікатор Yubico; YubiKey Manager; Вбудовані репозиторії; Пакети PPA Yubico; Компіляція з вихідного коду. Встановлення...

Як додати запасний ключ безпеки YubiKey та навіщо це робити

Як додати запасний ключ безпеки YubiKey та навіщо це робити Як додати запасний ключ безпеки YubiKey та навіщо це робити   Апаратний ключ безпеки YubiKey дуже надійний — він стійкий до зносу та не втрачає властивостей при потраплянні у воду. Але він має невеличкий...

Як налаштувати YubiKey в Linux за допомогою функції U2F

За допомогою апаратних ключів безпеки YubiKey ваша система отримує підвищений рівень захисту, а процес входу до облікових записів стає швидшим і зручнішим. Щоб легко налаштувати необхідні параметри в системі Linux, варто дотримуватись наведених інструкцій.Налаштування...

Як налаштувати YubiKey з обліковими записами Google

Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу до облікових записів безпечною. Дотримуйтесь цих покрокових інструкцій, щоб легко настроїти U2F ключ безпеки для роботи з обліковими записами Google.

Як налаштувати YubiKey з обліковим записом Facebook

Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу в облікові записи безпечною. Дотримуйтесь цих покрокових інструкцій, щоб легко налаштувати U2F ключ безпеки для роботи з обліковими записами Facebook.