Одними з найпопулярніших атак є атаки з використанням соціальної інженерії. Такі атаки допомагають кіберзлочинцям без особливих зусиль отримати доступ до мережі. Жертва атаки фактично передає до рук зловмисника всі ключі.
Соціальна інженерія в контексті кібербезпеки – це процес обману людей з метою розкрити розкривати їхню особисту та корисну для кіберзлочинів інформацію. Існує безліч типів атак соціальної інженерії: електронні повідомлення з посиланнями на шкідливі сайти, телефонний дзвінок від кіберзлочинця, який прикидається службою технічної підтримки та витягує конфіденційну інформацію та інше. Соціальна інженерія застосовується як у цифровій сфері, так і у інших сферах, де потрібна певна інформація жертви для зловмисних цілей.
Кіберзлочинці використовують методи соціальної інженерії для приховування своєї справжньої «особистості». Для цього вони представляються жертвам надійними організаціями або особами. Цілю цих дій є отримання необхідної особистої інформації для доступу до цільової мережі шляхом обману та маніпуляцій. Соціальна інженерія використовується як перший етап великої кібератаки для проникнення в систему, установки шкідливого ПЗ, розкриття конфіденційних даних тощо. Популярність методу пояснюється простотою реалізації, тому що підірвати кібербезпеку, використовуючи людські слабкості набагато легше, ніж за допомогою мережевих вразливостей.
Для здійснення такої атаки необхідно зібрати цільову інформацію (інформація про корпоративну структуру, внутрішні операції, сторонніх постачальників тощо). Загальнодоступні профілі співробітників у соцмережах також можуть стати метою зловмисників. Після збору даних кіберзлочинець вибирає свою першу ціль для завдання удару. Найчастіше такою ціллю виступає співробітник низького рівня, яким маніпулюють для отримання доступу. Миттєве використання конфіденційних ресурсів рідко можливе. Зловмисники переміщуються мережею для виявлення облікових даних з вищим рівнем доступу. Їхня активність зазвичай прихована за легітимними процесами для уникнення виявлення антивірусом.
Основою всіх тактик соціальної інженерії є аспекти людської взаємодії та прийняття рішень, відомих як когнітивне упередження. Такі упередження можна назвати вразливістю в людському програмному забезпеченні, яке використовується для отримання необхідного доступу.
Основні засади соціальної інженерії:
- Взаємність. У маркетингу користується популярністю поширення безкоштовних зразків. Це пояснюється бажанням людей повернути послугу. Тому зловмисники можуть надати жертві щось безкоштовне, а потім запросити доступ до конфіденційної інформації.
- Прихильність та послідовність. Наприклад, співробітник виконує запит зловмисника на облікові дані, погодившись із цим спочатку, хоч і розуміє, що цього робити не варто.
- Соціальний доказ. Люди схильні повторювати дії інших, робити те, що роблять інші. Для цього злочинець може надати неправдиві докази співпраці з колегою жертви, змушуючи підкоритися.
- Авторитет. Люди часто підкоряються авторитетнішим особам і виконують навіть небажані дії. Саме це пояснює успіх цільових фішингових кампаній, які видають себе за генерального директора та спрямовані на співробітників нижчої ланки.
- Симпатія. Люди схильні піддатися впливу та переконанню, якщо людина їм симпатична.
- Дефіцит. Дефіцит збільшує попит. Така тактика робить атаки актуальними.
Шляхи запобігання атакам соціальної інженерії:
- Навчання співробітників з питань безпеки, реагування на спроби злому та запити особистої інформації тощо;
- Встановлення політики безпеки, де описані дії працівників за певних інцидентів;
- Вивчення інформації. У співробітників повинна з’явитися звичка перевіряти кожен отриманий лист та пристрій, який вони підключають до комп’ютера;
- Встановлення протоколів безпеки – програма управління інформаційними ризиками з протоколами безпеки, а також процедурами, що описують забезпечення безпеки даних;
- Перевірка стійкості до атак – тестування організації, проведення контрольованих атак соціальної інженерії, відправка псевдофішингових листів, навчання співробітників, які піддаються такого роду провокаціям;
- Регулярність тестових атак задля збільшення стійкості;
- Перевірка протоколів реагування на атаки, покращення та доповнення їх;
- Використання безпечних сервісів управління непотрібною інформацією для неможливості її використання злочинцями;
- Використання багатофакторної автентифікації;
- Використання методів операційної безпеки (OPSEC);
- Впровадження сторонньої системи управління ризиками для обробки великих обсягів інформації, що дозволяють ідентифікувати особистість;
- Виявлення витоків даних шляхом регулярного сканування даних на предмет розкриття та витоків.