SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Что такое социальная инженерия и как от нее защититься

Что такое социальная инженерия и как от нее защититься
29.07.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

Новости об обманутых мошенниками гражданах появляются с пугающей частотой: люди сообщают злоумышленникам свои пароли и коды из СМС, лишаются накоплений, берут кредиты, совершают акты вандализма под воздействием различных психологических манипуляций. При этом уловки и приёмы атакующих известны, о них регулярно напоминают банки, СМИ, государственные службы, правоохранительные органы. Однако количество жертв мошенников не снижается - не помогают ни социальная реклама, ни анти-фрод системы финансовых учреждений.


Зачастую осознание случившегося приходит к пострадавшему лишь после того, как он лишился всех денег или совершил правонарушение по указанию злоумышленников - многие люди описывают своё состояние в момент атаки как гипноз, при котором критическое и рациональное мышление как будто отключалось. Методы психологических манипуляций и нейролингвистического программирования, которые применяются современными киберзлоумышленниками, хорошо известны специалистам по когнитивной и социальной психологии. Фактически, единственной инновацией цифровых мошенников является использование современных методов коммуникации с жертвами (электронная почта, мессенджеры, видеозвонки), но база для социоинженерных атак всё та же - свойственные многим гражданам когнитивные искажения и социальные установки, о которых мы поговорим в данной публикации. Для понимания особенностей атак с использованием методов социальной инженерии рассмотрим некоторые психологические характеристики атакующих и жертв, проанализируем технические методы, используемые атакующими, а также дадим рекомендации по защите.


Итак, кибермошенники, также как и прочие преступники, могут обладать насильственными или корыстными мотивами: в первом случае злоумышленники испытывают удовлетворение от причинения страданий жертве, во втором - сознательно выбирают криминальный «заработок». С точки зрения психологических особенностей, кибермошенникам могут быть свойственны психопатические черты личности: отсутствие сочувствия к жертвам, склонность ко лжи, неспособность к раскаянию. По мнению некоторых психологов, характерной особенностью психопатов является сниженная способность к эмпатии (сопереживанию, состраданию), которая регулируется специальной мозговой системой зеркальных нейронов; кроме того, предполагается, что психопаты могут самостоятельно управлять этим чувством.


Использование современных средств коммуникации («виртуализация» и удаленность от жертвы) и работа в преступной группе (в мошеннических колл-центрах трудятся тысячи «звонарей») дают мошенникам не только ложное чувство собственной безопасности и недостижимости для возмездия, но и сглаживают возможные негативные эмоции от совершения преступления: согласно результатам известных психологических экспериментов Стэнли Милгрэма, удаленность атакующего от жертвы и иерархическое подчинение «руководителю» колл-центра снижают уровень возможного морального дискомфорта злоумышленников. Кроме того, мошенники непрерывно совершенствуют свои навыки: учатся «считывать» жертву (методы холодного и горячего чтения), импровизировать, говорить уверенным тоном и использовать специфическую лексику, соответствующую выбранной модели обмана («служба безопасности банка», «полиция», «оператор сотовой связи» и т.д.). В итоге мы получаем портрет типичного мошенника: умение разбираться в людях (в том числе только по голосу или по фотографиям и постам из социальных сетей), хорошо подвешенный язык, склонность ко лжи, беспринципность и циничность, восприятие своего мошенничества как «работы». Кроме того, киберпреступники и мошенники не испытывают никаких угрызений совести и считают, что обманутые ими люди сами виноваты в произошедшем из-за своей доверчивости и внушаемости.


Жертвами цифрового мошенничества и кибератак с применением методов социальной инженерии становятся самые разные люди, от пенсионеров и домохозяек до госслужащих и даже сотрудников силовых структур. Можно утверждать, что никто не может быть застрахован от социоинженерной атаки: даже самый внимательный и подготовленный человек может оказаться слишком уставшим или занятым в момент атаки, проявить невнимательность или поддаться уловкам атакующих. Рассмотрим основные социальные установки и когнитивные искажения, которые свойственны многим людям и используются злоумышленниками.


Социальные установки - это шаблоны мышления и поведения человека, которые формируются с жизненным опытом под давлением общества, диктующего нормы социально ожидаемого и одобряемого поведения. Социальные установки, с одной стороны, позволяют сформировать в обществе набор единых для всех правил поведения и взаимодействия, что улучшает стабильность социума, а с другой - развивают социальные «приобретенные рефлексы», которыми злоумышленники пользуются для своих целей. Например, такими установками могут быть:


   ·   Доверие людям в форменной и деловой одежде - врачам, полицейским, банковским клеркам;

   ·   Доверие тем, кто должен лучше разбираться в специфическом вопросе - работникам государственных организаций, специалистам техподдержки;

   ·   Подчинение руководителям и государственным служащим, особенно если звонящие представляются «большими начальниками» и показывают «удостоверения» и «официальные документы»;

   ·   Стремление к вежливости - отвечать на входящие звонки, не класть трубку первым, не расспрашивать у звонящего должность и фамилию;

   ·   Стремление к законопослушности - беспрекословное выполнение указаний тех, кто представляется сотрудниками силовых структур;

   ·   Стремление быть последовательным в поступках и решениях - начав «сотрудничать» с теми, кто представился, например, сотрудниками полиции, человеку будет неудобно резко менять линию своего поведения и отказаться от дальнейшего общения с ними.


Когнитивные искажения - это отклонения от рационального мышления, восприятия, поведения, которые автоматически используются сознанием человека в случаях переизбытка информации, отсутствия знаний, необходимости быстро реагировать, ограничения памяти и особенностей запоминания. На сегодняшний день психологам известны более 100 типов когнитивных искажений, но атакующие активно используют лишь некоторые из них:


1. Эффект фрейминга: форма подачи информации влияет на её восприятие. Например, мошенники, заманивающие людей в финансовую пирамиду обещаниями баснословной прибыли, рассказывают только о выигрыше и говорят о нем как о гарантированном результате, но не упоминают о сопутствующих рисках.


2. Эффект прайминга: человек интерпретирует новую информацию в зависимости от ранее полученных сведений. Например, если человеку позвонит кто-либо от лица его непосредственного руководителя и предупредит о том, что скоро с ним свяжется «сотрудник полиции», то жертва будет ожидать этого звонка и станет менее критично воспринимать дальнейшие указания мошенников.


3. Склонность к подтверждению своей точки зрения: если человек уверен в чем-либо, то входящую информацию он будет трактовать в пользу своей убежденности, не обращая внимания на противоречия. Например, если мошенники внушили жертве, что среди сотрудников банка есть «шпионы» и они будут препятствовать переводу его денег на «безопасный счет», то при взаимодействии с настоящими сотрудниками банка человек не будет слушать их предупреждения, считая, что они мешают ему «спасать» свои накопления.


4. Эффект Розенталя (эффект Пигмалиона, эффект самосбывающегося пророчества): ожидание каких-либо событий настраивает человека на поведение, которое и приводит к реализации этого ожидания. Например, разнообразные гадания, эзотерика и астрология формируют у человека ожидание того, что «пророчество» в будущем сбудется, поэтому он меняет своё поведение уже сейчас таким образом, что эти «предсказания» действительно начинают реализовываться.


5. Эффект Барнума (эффект Форера, эффект субъективного подтверждения): люди высоко оценивают точность достаточно общего описания личности, созданного якобы специально для них. Например, разнообразные гороскопы и гадания дают человеку достаточно общее описание свойств характера, которые свойственны большинству людей, поэтому у них выше статистическая вероятность оказаться соответствующими ожиданиям.


7. Эффект Конкорда (эскалация вовлеченности, эффект иррационального усиления): человек остается верным своему прошлому поведению и следует принятым ранее решениям, даже если становится очевидно, что они были ошибочными и не приводят к успеху. Например, мошенники могут настаивать на переводе всё большего количества денежных средств на «безопасные счета» и принуждать жертву совершать правонарушения (вандализм, хулиганство), объясняя свои новые требования тем, что «осталось совсем чуть-чуть» и скоро все их обещания будут выполнены. Жертва при этом может считать, что раз уже так много сделано (мошенникам переведены и все накопления, и взятые кредиты, и деньги от срочной продажи квартиры), то оставшиеся требования нужно выполнить, чтобы наконец «закончить дело».


Разумеется, кроме социальных установок и когнитивных искажений атакующие эксплуатируют еще массу особенностей человеческой психики - мы уже писали об этом ранее.


Злоумышленники используют различные методы получения первоначальной информации о жертве, что помогает предъявить ей социальное доказательство и втереться в доверие: например, если звонящий представится не просто «сотрудником полиции», а участковым уполномоченным по району, в котором действительно проживает жертва, то вероятность успешной реализации мошенничества повышается. Методами получения информации о жертве могут быть:


   ·   Метод холодного чтения: определение примерного возраста, пола, финансового положения, психотипа человека по внешнему виду, голосу, манере вести беседу;

   ·   Метод горячего чтения: определение примерного возраста, пола, финансового положения, психотипа человека по содержанию постов в соцсетях, публикуемым фотографиям, переписке в почте и мессенджере (если они были предварительно скомпрометированы на стороне отправителя или получателя);

   ·   Методы разведки по открытым источникам (OSINT, Open Source Intelligence): сбор информации о жертве из общедоступных источников, например, через официальный сайт компании-работодателя, поиск в Интернете и государственных веб-сервисах по фамилии и номеру телефона, анализ страниц в социальных сетях, выявление деловых и родственных связей, анализ опубликованных фотографий. Могут также использоваться и нелегальные базы данных, которые зачастую формируются на основе крупных утечек персональных данных, и доступные в Даркнет сервисы «пробива», т.е. получения информации о жертве через инсайдеров в банках и телеком-операторах. К глубокому OSINT-анализу жертвы, как правило, прибегают замотивированные, продвинутые киберпреступники - простым мошенникам достаточно получить некоторые фрагментарные сведения о жертве, например, методом горячего чтения.


Для защиты от атак мошенников и киберпреступников, использующих методы социальной инженерии, можно применять следующие методы:


1. Повышать свои знания о тактиках и техниках атакующих, применяемых ими психологических манипуляциях, используемых источниках информации о потенциальных жертвах.


2. Обучать работников, коллег, родственников и знакомых: рассказывать о методах и уловках атакующих, о вероятных источниках информации, которые могут использовать при социоинженерных атаках. Важно разъяснить, что бдительность не бывает излишней, особенно в текущих условиях резкого роста числа мошенничеств: например, не будет невежливым или избыточным перезвонить руководителю при поступлении от него странной информации или звонка - тем самым Вы подчеркнете свою ответственность и предупредите возможное мошенничество от имени начальника.


3. Вырабатывать недоверие по умолчанию ко всей входящей информации - звонкам, сообщениям, письмам. Важно осознавать, что отображаемый номер телефона злоумышленники могут подделать, email отправителя - взломать и писать с него, а голос и видеоизображение - сгенерировать с помощью технологии создания дипфейков.


4. Развивать в себе критическое и рациональное мышление, руководствоваться не мнениями и эмоциями окружающих, а проверенными самостоятельно фактами и собственным пониманием явлений.


5. Сформировать план действий на случай вероятных социоинженерных атак: обсудите с коллегами и родными способы проверки входящей информации, методы резервной коммуникации (на случай недоступности обычного способа связи), договоритесь о кодовых словах (используйте заранее выбранное слово для того, чтобы подтвердить подлинность личности звонящего), выпишите номера телефонов банков, государственных органов и полиции.

 

В заключение можно порекомендовать следующий список литературы для более глубокого погружения в предметную область:

·   Даниэль Канеман - «Мышление быстрое и медленное» (в русскоязычном издании название переведено как «Думай медленно… Решай быстро»);

·   Дэвид Майерс – «Социальная психология»;

·   Дэвид Рок – «Мозг. Инструкция по применению»;

·   Роберт Чалдини – «Психология влияния»;

·   Пол Экман – «Психология лжи».

ИБ для начинающих Нарушители ИБ Практика ИБ Подкасты ИБ

Рекомендуем

Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Геймификация и управление персоналом
Геймификация и управление персоналом
Разработка без кода
Разработка без кода
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Метрики: их очарование и коварство
Метрики: их очарование и коварство

Рекомендуем

Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Геймификация и управление персоналом
Геймификация и управление персоналом
Разработка без кода
Разработка без кода
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Метрики: их очарование и коварство
Метрики: их очарование и коварство

Похожие статьи

Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции

Похожие статьи

Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции