Какво е социално инженерство и защо е такава заплаха през 2019 г.?

Какво е социално инженерство и защо е такава заплаха през 2019 г.?
Андрю Сандърс
Публикувано: 10 април 2019

Ако сте системен администратор, вероятно мислите, че задачите ви се заключават в това да инсталирате инструменти за сигурност, да ги конфигурирате за защита от най-новите заплахи, да поправяте сървъри и крайни точки и повторно да възстановявате системи, заразени с вирус. Това не е проста работа, но нейните параметри поне са ясни.

Ако правите само това обаче, все още вършите само половината от работата си. Някои от най-ефективните кибератаки, които някога ще срещнете, не са насочени към хардуер или софтуер – те са насочени към хора. Атаките на социалното инженерство често използват само телефон или имейл.

Атаките на социалното инженерство се развиват по подобен примерен начин: Първо, атакуващият се обажда или изпраща имейл до бюро за поддръжка и се представя за своята цел. Казва, че е забравил паролата си и обикновено ще измисли правдоподобна история за това. Така ще убеди представителя на отдела за обслужване на клиенти да промени регистрирания имейл адрес на целта си с адрес, който ще съобщи, след което ще нулира паролата. С това нападателят ще се сдобие с профила на целта си.

Може ли да станете цел на атаки тип социално инженерство?

Атаките на социалното инженерство работят усилено и не изискват специални умения за програмиране. Технологията, известна като VoIP спуфинг, позволява на нападателя да накара обаждането им да идва от телефона на целта – тази технология е широко достъпна и също не изисква специални умения. Затова не е изненадващо, че разпространението на тези атаки е високо и нараства. През 2017 г. 76% от специалистите по информационна сигурност са открили атаки тип социално инженерство чрез телефон или електронна поща, като основният вектор е имейла. През 2018 г. тази цифра скочи до 83%.

Това нарастване на социалното инженерство и фишинг атаките по имейл доведе до пропорционално покачване на инциденти с висок профил, като сред жертвите попадат и:

  • Blackrock
    Най-големият управител на активи в света е бил жертва на нападение от активисти за околната среда, които заблуждават както The Financial Times, така и CNBC. Активистите изпращат изключително убедително фалшиво съобщение до пресата, в което казват, че фирмата се насочва към портфолиото на околната среда, причинявайки кратък фурор.
  • Криптовалута
    Потребителите на цифрови портфейли за криптовалута, известна като Ethereum, получават фишинг атаки, маскирани като фалшиви съобщения за грешки. Те са под формата на имейл, който подканя потребителите да инсталират кръпка. Вместо това приложената връзка води до компрометирана версия на софтуера на портфейла, която позволява на нападателите да съберат цифровите доходи на жертвите си.
  • Разузнавателни агенции
    Още през 2015 г. един хакер в тийнейджърска възраст успява да се обади на Verizon, да намери лична информация, принадлежаща на Джон Бренън – тогавашният директор на ЦРУ – и да открадне достъпа до имейл адреса му в AOL. Този адрес съдържа чувствителна информация, включително подробности от заявлението на директора за издаване на разрешение за достъп. Хакерът дори успява да говори накратко с директор Бренън по телефона. Нужни са повече от две години, преди нападателят да бъде намерен и арестуван.

Тези инциденти показват колко лесно е да се всее хаос, използвайки най-простите инструменти, които можете да си представите. Хакерите могат да откраднат пари, да заблудят медиите и да изкопчат тайни от най-влиятелните хора на Земята, като използват само телефон и имейл адрес.

Как да се защитите от атаките на социалното инженерство

Има два начина да се защитите от атаките на социалното инженерство.

На първо място, това е технологията. Решение, познато като DMARC (Domain-based Message Authentication, Reporting and Conformance) е предназначено за откриване и поставяне под карантина на имейли, които са фалшиви, което означава, че адресът, който е очевиден за получателя, не е адресът, който действително е изпратил имейла. Въпреки че тази технология предпазва потребителите ѝ, гарантирайки, че техните имейли не могат да бъдат използвани, за да причинят вреда, степента на използването ѝ е много ниска – под 50% във всички индустрии.

В допълнение към технологията има и политика – в този случай обучение за повишаване на осведомеността относно сигурността. Тук администраторите по сигурността обучават своите служители, като ги тестват с примери на фалшиви имейли. Целта е служителите да разберат разликата между фалшив и автентичен имейл. Обучението за повишаване на сигурността е умерено ефективно, като след такова отварянето на фишинг имейли намалява с 75%. Но нападателите все още е необходимо да заблудят само един човек, за да се предизвика пробив.

В крайна сметка ограничаването на щетите и бързата реакция на инцидентите са най-доброто срещу фишинг атаките и социалното инженерство. И докато решителен хакер има много добри шансове да заблуди служители с фалшиви имейли или телефонни обаждания, добрите администратори все пак трябва да могат да уловят придобиване на профили, когато такива възникнат. Дори за нападателите да е лесно да откраднат акаунтите на потребителите, размерът на щетите, които те могат да причинят, може да бъде ограничен.

За автора

Андрю Сандърс
Андрю Сандърс

Андрю е технически райтър в сферите информационна сигурност, телекомуникации и др.