SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Что такое социальная инженерия и как от нее защититься

Что такое социальная инженерия и как от нее защититься
29.07.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

Новости об обманутых мошенниками гражданах появляются с пугающей частотой: люди сообщают злоумышленникам свои пароли и коды из СМС, лишаются накоплений, берут кредиты, совершают акты вандализма под воздействием различных психологических манипуляций. При этом уловки и приёмы атакующих известны, о них регулярно напоминают банки, СМИ, государственные службы, правоохранительные органы. Однако количество жертв мошенников не снижается - не помогают ни социальная реклама, ни анти-фрод системы финансовых учреждений.


Зачастую осознание случившегося приходит к пострадавшему лишь после того, как он лишился всех денег или совершил правонарушение по указанию злоумышленников - многие люди описывают своё состояние в момент атаки как гипноз, при котором критическое и рациональное мышление как будто отключалось. Методы психологических манипуляций и нейролингвистического программирования, которые применяются современными киберзлоумышленниками, хорошо известны специалистам по когнитивной и социальной психологии. Фактически, единственной инновацией цифровых мошенников является использование современных методов коммуникации с жертвами (электронная почта, мессенджеры, видеозвонки), но база для социоинженерных атак всё та же - свойственные многим гражданам когнитивные искажения и социальные установки, о которых мы поговорим в данной публикации. Для понимания особенностей атак с использованием методов социальной инженерии рассмотрим некоторые психологические характеристики атакующих и жертв, проанализируем технические методы, используемые атакующими, а также дадим рекомендации по защите.


Итак, кибермошенники, также как и прочие преступники, могут обладать насильственными или корыстными мотивами: в первом случае злоумышленники испытывают удовлетворение от причинения страданий жертве, во втором - сознательно выбирают криминальный «заработок». С точки зрения психологических особенностей, кибермошенникам могут быть свойственны психопатические черты личности: отсутствие сочувствия к жертвам, склонность ко лжи, неспособность к раскаянию. По мнению некоторых психологов, характерной особенностью психопатов является сниженная способность к эмпатии (сопереживанию, состраданию), которая регулируется специальной мозговой системой зеркальных нейронов; кроме того, предполагается, что психопаты могут самостоятельно управлять этим чувством.


Использование современных средств коммуникации («виртуализация» и удаленность от жертвы) и работа в преступной группе (в мошеннических колл-центрах трудятся тысячи «звонарей») дают мошенникам не только ложное чувство собственной безопасности и недостижимости для возмездия, но и сглаживают возможные негативные эмоции от совершения преступления: согласно результатам известных психологических экспериментов Стэнли Милгрэма, удаленность атакующего от жертвы и иерархическое подчинение «руководителю» колл-центра снижают уровень возможного морального дискомфорта злоумышленников. Кроме того, мошенники непрерывно совершенствуют свои навыки: учатся «считывать» жертву (методы холодного и горячего чтения), импровизировать, говорить уверенным тоном и использовать специфическую лексику, соответствующую выбранной модели обмана («служба безопасности банка», «полиция», «оператор сотовой связи» и т.д.). В итоге мы получаем портрет типичного мошенника: умение разбираться в людях (в том числе только по голосу или по фотографиям и постам из социальных сетей), хорошо подвешенный язык, склонность ко лжи, беспринципность и циничность, восприятие своего мошенничества как «работы». Кроме того, киберпреступники и мошенники не испытывают никаких угрызений совести и считают, что обманутые ими люди сами виноваты в произошедшем из-за своей доверчивости и внушаемости.


Жертвами цифрового мошенничества и кибератак с применением методов социальной инженерии становятся самые разные люди, от пенсионеров и домохозяек до госслужащих и даже сотрудников силовых структур. Можно утверждать, что никто не может быть застрахован от социоинженерной атаки: даже самый внимательный и подготовленный человек может оказаться слишком уставшим или занятым в момент атаки, проявить невнимательность или поддаться уловкам атакующих. Рассмотрим основные социальные установки и когнитивные искажения, которые свойственны многим людям и используются злоумышленниками.


Социальные установки - это шаблоны мышления и поведения человека, которые формируются с жизненным опытом под давлением общества, диктующего нормы социально ожидаемого и одобряемого поведения. Социальные установки, с одной стороны, позволяют сформировать в обществе набор единых для всех правил поведения и взаимодействия, что улучшает стабильность социума, а с другой - развивают социальные «приобретенные рефлексы», которыми злоумышленники пользуются для своих целей. Например, такими установками могут быть:


   ·   Доверие людям в форменной и деловой одежде - врачам, полицейским, банковским клеркам;

   ·   Доверие тем, кто должен лучше разбираться в специфическом вопросе - работникам государственных организаций, специалистам техподдержки;

   ·   Подчинение руководителям и государственным служащим, особенно если звонящие представляются «большими начальниками» и показывают «удостоверения» и «официальные документы»;

   ·   Стремление к вежливости - отвечать на входящие звонки, не класть трубку первым, не расспрашивать у звонящего должность и фамилию;

   ·   Стремление к законопослушности - беспрекословное выполнение указаний тех, кто представляется сотрудниками силовых структур;

   ·   Стремление быть последовательным в поступках и решениях - начав «сотрудничать» с теми, кто представился, например, сотрудниками полиции, человеку будет неудобно резко менять линию своего поведения и отказаться от дальнейшего общения с ними.


Когнитивные искажения - это отклонения от рационального мышления, восприятия, поведения, которые автоматически используются сознанием человека в случаях переизбытка информации, отсутствия знаний, необходимости быстро реагировать, ограничения памяти и особенностей запоминания. На сегодняшний день психологам известны более 100 типов когнитивных искажений, но атакующие активно используют лишь некоторые из них:


1. Эффект фрейминга: форма подачи информации влияет на её восприятие. Например, мошенники, заманивающие людей в финансовую пирамиду обещаниями баснословной прибыли, рассказывают только о выигрыше и говорят о нем как о гарантированном результате, но не упоминают о сопутствующих рисках.


2. Эффект прайминга: человек интерпретирует новую информацию в зависимости от ранее полученных сведений. Например, если человеку позвонит кто-либо от лица его непосредственного руководителя и предупредит о том, что скоро с ним свяжется «сотрудник полиции», то жертва будет ожидать этого звонка и станет менее критично воспринимать дальнейшие указания мошенников.


3. Склонность к подтверждению своей точки зрения: если человек уверен в чем-либо, то входящую информацию он будет трактовать в пользу своей убежденности, не обращая внимания на противоречия. Например, если мошенники внушили жертве, что среди сотрудников банка есть «шпионы» и они будут препятствовать переводу его денег на «безопасный счет», то при взаимодействии с настоящими сотрудниками банка человек не будет слушать их предупреждения, считая, что они мешают ему «спасать» свои накопления.


4. Эффект Розенталя (эффект Пигмалиона, эффект самосбывающегося пророчества): ожидание каких-либо событий настраивает человека на поведение, которое и приводит к реализации этого ожидания. Например, разнообразные гадания, эзотерика и астрология формируют у человека ожидание того, что «пророчество» в будущем сбудется, поэтому он меняет своё поведение уже сейчас таким образом, что эти «предсказания» действительно начинают реализовываться.


5. Эффект Барнума (эффект Форера, эффект субъективного подтверждения): люди высоко оценивают точность достаточно общего описания личности, созданного якобы специально для них. Например, разнообразные гороскопы и гадания дают человеку достаточно общее описание свойств характера, которые свойственны большинству людей, поэтому у них выше статистическая вероятность оказаться соответствующими ожиданиям.


7. Эффект Конкорда (эскалация вовлеченности, эффект иррационального усиления): человек остается верным своему прошлому поведению и следует принятым ранее решениям, даже если становится очевидно, что они были ошибочными и не приводят к успеху. Например, мошенники могут настаивать на переводе всё большего количества денежных средств на «безопасные счета» и принуждать жертву совершать правонарушения (вандализм, хулиганство), объясняя свои новые требования тем, что «осталось совсем чуть-чуть» и скоро все их обещания будут выполнены. Жертва при этом может считать, что раз уже так много сделано (мошенникам переведены и все накопления, и взятые кредиты, и деньги от срочной продажи квартиры), то оставшиеся требования нужно выполнить, чтобы наконец «закончить дело».


Разумеется, кроме социальных установок и когнитивных искажений атакующие эксплуатируют еще массу особенностей человеческой психики - мы уже писали об этом ранее.


Злоумышленники используют различные методы получения первоначальной информации о жертве, что помогает предъявить ей социальное доказательство и втереться в доверие: например, если звонящий представится не просто «сотрудником полиции», а участковым уполномоченным по району, в котором действительно проживает жертва, то вероятность успешной реализации мошенничества повышается. Методами получения информации о жертве могут быть:


   ·   Метод холодного чтения: определение примерного возраста, пола, финансового положения, психотипа человека по внешнему виду, голосу, манере вести беседу;

   ·   Метод горячего чтения: определение примерного возраста, пола, финансового положения, психотипа человека по содержанию постов в соцсетях, публикуемым фотографиям, переписке в почте и мессенджере (если они были предварительно скомпрометированы на стороне отправителя или получателя);

   ·   Методы разведки по открытым источникам (OSINT, Open Source Intelligence): сбор информации о жертве из общедоступных источников, например, через официальный сайт компании-работодателя, поиск в Интернете и государственных веб-сервисах по фамилии и номеру телефона, анализ страниц в социальных сетях, выявление деловых и родственных связей, анализ опубликованных фотографий. Могут также использоваться и нелегальные базы данных, которые зачастую формируются на основе крупных утечек персональных данных, и доступные в Даркнет сервисы «пробива», т.е. получения информации о жертве через инсайдеров в банках и телеком-операторах. К глубокому OSINT-анализу жертвы, как правило, прибегают замотивированные, продвинутые киберпреступники - простым мошенникам достаточно получить некоторые фрагментарные сведения о жертве, например, методом горячего чтения.


Для защиты от атак мошенников и киберпреступников, использующих методы социальной инженерии, можно применять следующие методы:


1. Повышать свои знания о тактиках и техниках атакующих, применяемых ими психологических манипуляциях, используемых источниках информации о потенциальных жертвах.


2. Обучать работников, коллег, родственников и знакомых: рассказывать о методах и уловках атакующих, о вероятных источниках информации, которые могут использовать при социоинженерных атаках. Важно разъяснить, что бдительность не бывает излишней, особенно в текущих условиях резкого роста числа мошенничеств: например, не будет невежливым или избыточным перезвонить руководителю при поступлении от него странной информации или звонка - тем самым Вы подчеркнете свою ответственность и предупредите возможное мошенничество от имени начальника.


3. Вырабатывать недоверие по умолчанию ко всей входящей информации - звонкам, сообщениям, письмам. Важно осознавать, что отображаемый номер телефона злоумышленники могут подделать, email отправителя - взломать и писать с него, а голос и видеоизображение - сгенерировать с помощью технологии создания дипфейков.


4. Развивать в себе критическое и рациональное мышление, руководствоваться не мнениями и эмоциями окружающих, а проверенными самостоятельно фактами и собственным пониманием явлений.


5. Сформировать план действий на случай вероятных социоинженерных атак: обсудите с коллегами и родными способы проверки входящей информации, методы резервной коммуникации (на случай недоступности обычного способа связи), договоритесь о кодовых словах (используйте заранее выбранное слово для того, чтобы подтвердить подлинность личности звонящего), выпишите номера телефонов банков, государственных органов и полиции.

 

В заключение можно порекомендовать следующий список литературы для более глубокого погружения в предметную область:

·   Даниэль Канеман - «Мышление быстрое и медленное» (в русскоязычном издании название переведено как «Думай медленно… Решай быстро»);

·   Дэвид Майерс – «Социальная психология»;

·   Дэвид Рок – «Мозг. Инструкция по применению»;

·   Роберт Чалдини – «Психология влияния»;

·   Пол Экман – «Психология лжи».

ИБ для начинающих Нарушители ИБ Практика ИБ Подкасты ИБ

Похожие статьи

Два столпа Linux мониторинга
Два столпа Linux мониторинга
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности

Похожие статьи

Два столпа Linux мониторинга
Два столпа Linux мониторинга
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности