Бойтесь писем начальников: как социальную инженерию используют для взлома данных
В эпоху, когда технологии защиты данных становятся более совершенными, преступники все чаще используют не технические уязвимости компаний, а социальные — человеческий фактор. Директор Practical Security Lab Евгений Соболев в колонке для Forbes рассказывает, почему неожиданные письма от руководителей или даже от IT-отдела должны вас насторожить и как компании могут защитить сотрудников и свою репутацию от таких атак.
На кого направлена социальная инженерия
Атаки с помощью социальной инженерии строятся на манипулировании сотрудниками, которые могут выдать конфиденциальные данные или выполнить опасные для компании действия. Эта форма кибератак уже привела к значительным финансовым потерям для крупнейших компаний по всему миру, и масштабы бедствия только растут.
В 2023 году общие потери от кибератак достигли $10,3 млрд, более $2,7 млрд из этих потерь приходится на мошенничество с деловой перепиской и другие формы атак через коммуникацию с сотрудниками.
В большинстве случаев киберпреступники направляют свои атаки на нетехнических специалистов компании — тех, кто не обладает глубокими знаниями в области кибербезопасности. Это могут быть бухгалтеры, HR, помощники руководителей или менеджеры по продажам. Преступники моделируют правдоподобные ситуации, в которых жертва невольно выдает все, что им нужно.
Многие сотрудники не подозревают, что стали жертвой манипуляции, и часто не догадываются сообщить о подозрительной активности или запросах вовремя. Либо осознают свою ошибку слишком поздно и боятся рассказать о ней, надеясь, что последствий не будет. В результате такие атаки остаются незамеченными до тех пор, пока не нанесут значительный ущерб компании.
Классический метод киберпреступников: email-фишинг
Классический фишинг — это электронные письма, которые побуждают сотрудников ввести свой логин и пароль на поддельном сайте или открыть вредоносный файл. Фишинговые атаки могут быть как массовыми — безадресными, так и таргетированными, когда злоумышленники нацеливаются на конкретную компанию или определенных сотрудников.
Таргетированный фишинг может использовать настоящие имена сотрудников и соответствовать контексту текущих процессов и ситуаций в компании. Например, атакующие могут быть в курсе проводимой сделки и имен людей, участвующих в ней, и использовать эту информацию, чтобы гармонично встроиться в рабочие процессы.
Антивирусные программы и другие средства защиты помогают только при массовой неприцельной рассылке. Если атака таргетированная, то, прежде чем прислать вам письмо и вредоносный файл, злоумышленники проводят большую подготовительную работу и добиваются того, чтобы вредоносное содержимое не обнаружилось. Приведем примеры стандартных приемов атак через социальную инженерию.
- Ошибочно отправленные письма. Злоумышленники якобы случайно отправляют письма не тому адресату. В них содержится важная информация: например, о премиях, зарплатах или списках на увольнение. В таких случаях злоумышленники делают расчет на любопытство.
- Общее официальное письмо. Имитация реальной внутренней рассылки компании, например информация о партнерских акциях со скидками к Новому году или расписание отпусков.