Атаки социальной инженерии являются одной из самых опасных форм кибератак, поскольку они эксплуатируют человеческий фактор, а не технические уязвимости. В прошлом году стратегии злоумышленников усложнились и стали еще хитроумнее. В этой статье мы рассмотрим основные текущие тренды социальной инженерии и предложим способы защиты от них.

Защита от социальной инженерии может быть осуществлена двумя основными способами. Первый — это оборонительная стратегия, включающая обширное обучение и моделирование сценариев социальных атак. Второй — это наступательная стратегия, предполагающая «мышление хакера». Этот метод включает агрессивное применение тех же инструментов, что и киберпреступники, но для устранения уязвимостей и обнаружения массивов общедоступной информации, которую хакеры используют в своих схемах.

Тренды

Комплексное исследование данных по социальной инженерии показывает, что фишинговые атаки чаще всего успешны из-за психологической и эмоциональной уязвимости человека. Некоторые люди более восприимчивы к атакам из-за склонности к доверию и оптимизму, либо из-за страха.

Современные тенденции в социальной инженерии основаны на тщательно продуманных сценариях и стратегиях. Интернет предоставляет множество платформ для организованных атак. Зачастую проблема заключается в предположениях, что злоумышленники не будут взаимодействовать с жертвой лично. Хотя некоторые действительно не будут, но они могут нанимать сторонних исполнителей грязной работы.

Традиционно и до сих пор атаки включают в себя фишинг, предлоги, приманки и скрытое проникновение, но в арсенале киберпреступников есть и другие тактики.

Дипфейки

Это мультимедийный контент (фото, аудио, видео), изменяющий внешность человека для того, чтобы он казался кем-то другим. Дипфейки часто используются для шантажа или распространения дезинформации. Социальные инженеры создают реалистичные поддельные видео или аудиозаписи руководителей, коллег или даже членов семьи, и манипулируют людьми для получения конфиденциальной информации. Жертвы, увидев знакомую фотографию профиля или видео, верят, что отправляют личные данные или деньги тому, кого считают знакомым.

Благодаря использованию ИИ, их еще труднее выявить. Они становятся настолько реалистичными, что даже правоохранительным органам сложно определить, поддельны ли изображения или видео.

Фишинг с использованием искусственного интеллекта

Алгоритмы ИИ могут создавать персонализированные и убедительные фишинговые сообщения, анализируя открытые данные и профили в социальных сетях. Эти сообщения учитывают интересы целей, что значительно увеличивает вероятность их открытия и выполнения указанных действий.

С помощью генеративного ИИ можно создавать фишинговые сообщения, лишенные характерных признаков мошенничества, таких как грамматические и орфографические ошибки. Чтобы показать, насколько легко это можно сделать, мы запросили у одной популярной нейросети пример фишингового письма. Без проблем и предостережений он сгенерировал пример сообщения. Вот какой результат он выдал:

Злоумышленники могут использовать чат-ботов для создания убедительных фишинговых писем, которые имитируют стиль и манеру общения руководителей компаний. Даже обученные сотрудники не распознают угрозу, если сообщение не будет содержать явных ошибок и в целом будет выглядеть достаточно реалистично. В таких случаях жертвы могут непреднамеренно передать конфиденциальную информацию.

Также генеративный ИИ может облегчить и ускорить процесс изучения жертвы, анализируя и обобщая о ней данные. Это позволяет злоумышленникам получать детальные сведения о своих целях и их интересах, не тратя особо много времени.

Разведка соцсетей

Когда профили в социальных сетях настроены как публичные, информация в них становится легко доступной. Киберпреступники анализируют активность своих жертв в соцсетях, пытаясь угадать их учетные данные для входа. Получив доступ к аккаунтам, они могут выдавать себя за владельца, отправляя сообщения всем его контактам и завоевывая их доверие.

Вишинг

Вишинг подразумевает использование телефонных звонков для обмана людей с целью раскрытия конфиденциальной информации. При помощи технологий киберпреступники имитируют голоса контактов, известных жертве. После голосовой обработки (также и с помощью ИИ), злоумышленник может говорить, как будто они родственник, друг или начальник жертвы.

Часто такой способ используется в схемах мошенничества с пожилыми людьми, когда злоумышленники загружают видео или аудиозаписи из социальных сетей. Используя ИИ, они выдают себя за близких. Они обманом заставляют пожилого человека поверить в то, что, к примеру, его член семьи в опасности, что в конечном итоге приводит к отправке денег.

Компрометация корпоративной электронной почты

Этот тип атак усовершенствовался, благодаря использованию искусственного интеллекта и машинного обучения. Злоумышленники отслеживают сообщения электронной почты, выявляют закономерности и создают персонализированные письма, которые выглядят вполне законными. Часто такие атаки нацелены на финансовые отделы с целью инициирования мошеннических транзакций.

Способы и инструменты защиты

Предлагаем вашему вниманию некоторые стратегии и технологии защиты от социальной инженерии:

• ИИ в системах обнаружения. Технологии искусственного интеллекта помогают выявлять фишинговые атаки, анализировать шаблоны электронной почты, поведение пользователей, сетевую активность и большие объемы данных в режиме реального времени. Машинное обучение позволяет адаптироваться к новым угрозам и повышает эффективность блокировки атак. В социальных сетях алгоритмы ИИ анализируют пользовательскую активность, выявляя попытки социальной инженерии. В результате, значительно повышается уровень защиты, сокращается время на обнаружение угроз и снижаются риски утечки данных.
  Например, чат-боты GigaChat помогают пользователям распознавать и предотвращать фишинговые атаки, анализируя подозрительные ссылки и сообщения. Инструменты анализа данных выявляют аномальное поведение пользователей и систем, которые могут указывать на возможные угрозы.

• Повышение уровня осведомленности. Регулярные тренинги и фишинговые симуляции помогают сотрудникам распознавать и реагировать на такие атаки. Во внимание берутся практические кейсы, а также данные из актуальных исследований и обзоров. Изучаются признаки атак социальной инженерии, формируются необходимые поведенческие навыки, рассматриваются технические методы защиты и экстренные действия сотрудников разных категорий в случае успешной атаки. Внедрение виртуальной реальности (VR) в обучающие программы обеспечивает реалистичные сценарии и погружение.

• Многофакторная аутентификация. Она усиливает безопасность, так как пользователям требуется применять нескольких способов подтверждения своей личности. В прошлом году увеличилось использование биометрической аутентификации, такой как распознавание отпечатков пальцев и лица и это усложнило злоумышленникам задачу по получению несанкционированного доступа.

• Защищенные каналы связи. Для защиты от вишинга и дипфейк-атак компании внедряют защищенные коммуникационные каналы. Зашифрованные платформы и безопасные мессенджеры обеспечивают надежную передачу конфиденциальной информации. Для проверки личности звонящих используется голосовая биометрия, что делает атаки менее эффективными.

• Безопасность в социальных сетях. Соцсети улучшают защиту пользователей от социальной инженерии. Мониторинг активности аккаунта, оповещения о подозрительных входах и настройки конфиденциальности постоянно совершенствуются. Пользователям рекомендуется регулярно проверять и обновлять свои параметры конфиденциальности.

• Архитектура нулевого доверия (Zero Trust). Модель построена по принципу, что никому нельзя доверять, как внутри, так и снаружи сети. Она требует регулярной проверки личности пользователя и прав доступа. Устанавливается культура, где сотрудники подвергают сомнению и проверяют любые необычные запросы, даже от надежных источников.

• Контроль доступа с минимальными привилегиями. Гарантирует доступ сотрудников только к необходимым данным и системам. Это снижает потенциальный ущерб в случае атак социальной инженерии.

• Поведенческий анализ. Использование инструментов для отслеживания аномалий в поведении пользователей, которые могут указывать на компрометацию учетных записей.

• Моделирование многовекторных атак. Тестирование защиты посредством симуляций, комбинирующих различные тактики социальной инженерии.

Некоторые инструменты в помощь:

• Maltego — OSINT-инструмент. С его помощью можно выявить связи между людьми и информационными активами, такими как электронные адреса, профили в соцсетях, ники и другие данные, связывающие человека с услугой или организацией. Этот инструмент помогает моделировать атаки социальной инженерии для оценки уровня осведомленности сотрудников о безопасности.

• Social Engineering Toolkit (SET) — это фреймворк с открытым исходным кодом, написанный на Python. Предназначен для тестирования на атаки социальной инженерии. SET предлагает разнообразные векторы атак.

• Metasploit Framework — инструмент для тестирования на проникновение, который помогает идентифицировать, эксплуатировать и проверять уязвимости. Одной из его мощных функций является возможность настройки поддельного SMB-сервера.

• GoPhish — фреймворк с открытым исходным кодом, предназначенный для фишинга.

• Wifiphisher — это мощный инструмент, который автоматизирует фишинговые атаки на сети Wi-Fi с целью получения паролей WPA/WPA2. Он выбирает близлежащую точку доступа, заглушает её и создает клон без пароля. Пользователь, подключившись к клонированной сети, видит фишинговую страницу, запрашивающую пароль для обновления прошивки. После ввода пароля Wifiphisher отправляет оповещение, выигрывает время с помощью поддельного таймера перезагрузки и экрана обновления, проверяя захваченный пароль.

Тенденции социальной инженерии будут развиваться вместе с технологическим прогрессом и усилением кибербезопасности. Дипфейки и искусственный интеллект станут более совершенными. Бдительность и внимательность, а также постоянное обучение и методы идентификации помогут минимизировать эти угрозы.