Особенности киберпреступлений в России: инструменты нападения и защиты информации - страница 16
Роль социальной инженерии в фишинг-атаке всегда заключается в подведении пользователя к вводу необходимых данных или совершению необходимых действий.
Учитываются действия пользователя, а при совершении целенаправленной фишинг-атаки учитывается весь собранный информационный массив о конкретном человеке, разрабатывается сценарий, позволяющий получить пароль, открыть документ, запустить программу.
В практике встречались случаи, когда злоумышленники должны были получить доступ к электронной почте одного бизнесмена. Попытки заброса вредоносных программ к успеху не приводили. Злоумышленникам удалось подсунуть жертве магазин автозапчастей, где бизнесмен зарегистрировался. Вышло так, что бизнесмен не стал себя заморачивать разнообразием паролей и ключевых фраз и везде, где ему приходилось регистрироваться, указывал один и тот же пароль, что очень повеселило жуликов.
В другой похожей истории злодеям пришлось поработать немного больше. Для получения пароля от бдительной гражданки злодеи создали полнофункциональный онлайн-магазин, рекламу которого забросили жертве на почту. Предложения в магазине были настолько привлекательными, что наша гражданка не удержалась и решила совершить покупку.
Как выяснилось, для совершения покупки необходимо было создать аккаунт, то есть зарегистрироваться в магазине, а для полной-преполной защиты персональных данных (а гражданка к защите своих персональных данных относилась достаточно серьезно) необходимо было придумать несколько вариантов пароля и ключевую фразу. Эффект был тот же, что и в предыдущем случае, а вложенные злоумышленниками средства и усилия с лихвой окупились.
Другая группа хакеров изощренными путями затягивала жертв регистрироваться на модном сайте, для активации аккаунта на котором, как писала администрация модного сайта, нужно ввести код безопасности, который будет высылаться посредством SMS на указанный пользователем абонентский номер.
Предвосхищая недоумение от простоты и гениальности данной затеи, следует заметить, что модный сайт просуществовал недолго, но несколько десятков успешных копирований содержимого электронной переписки с зарубежного почтового сервера было-таки проведено.
Итак, как уже упоминалось, ставшая очень популярной методика двухфакторной авторизации также не устояла под натиском социальной инженерии.
При целевой атаке на предприятие осуществляются тщательный подбор и анализ сотрудников. В каких-то случаях доступ можно получить, введя в заблуждение новенького сотрудника компании, представившись системным администратором или сотрудником службы безопасности.
В любом случае, перед атакой злоумышленники могут воспользоваться доступными способами сбора информации о человеке или организации, основанными на использовании открытых источников (OSINT, или также называемой public intelligence)[15].
Рис. 1.14.Упрощенная схема сбора информации перед атакой
Статистика же показывает, что сотрудникам финансового департамента (бухгалтерии) закинуть наживку проще, что доказано на практике хищений денежных средств посредством использования систем дистанционного банковского обслуживания. Связано это, возможно, с тем, что в нашей стране постоянно что-то меняется в формах и видах отчетности в налоговых, пенсионных и других важных государственных структурах, в связи с чем бухгалтеры потоком по электронной почте получают всевозможные рассылки новостей, дополнительных инструкций, вестников, калькуляторов и программ.
После предварительного сбора списка подходящих сотрудников организации производится сбор данных об их сфере деятельности, зонах ответственности и связях. Затем злоумышленники на основе анализа полученной информации приступают к разработке сценариев атак.
С точки зрения психологии атака с использованием социальной инженерии всегда идет в обход аналитических инструментов разума. Она действует преимущественно на уровне эмоциональной сферы. Основатель экспериментальной психологии Вильгельм Максимилиан Вундт небезосновательно рассматривал роль чувств и эмоций в поведении человека. Согласно Вундту, вследствие физического истощения ассоциативные наклонности начинают преобладать над другими побуждениями.
