Positive Technologies: страх, жадібність, надія - емоції співробітників, які допомагають хакерам
Positive Technologies: страх, жадібність, надія - емоції співробітників, які допомагають хакерам
У Positive Technologies зібрали статистику ефективності атак із застосуванням методів соціальної інженерії.
У ході проектів з аналізу захищеності корпоративної інфраструктури фахівці Positive Technologies імітували активність хакерів та відправляли співробітникам компаній-замовників повідомлення, що містять вкладені файли, посилання на веб-ресурси та форми для введення паролів. Всього було надіслано 3332 листи і 17% цих повідомлень у реальному житті могли б призвести до компрометації комп'ютера співробітника, а згодом — і всієї корпоративної інфраструктури.
Найефективнішим методом соціальної інженерії виявилися повідомлення з фішинговим посиланням: по ній перейшли 27% одержувачів. Користувачі неуважно читають адресу або не дивлячись на неї кликають і переходять на підроблений сайт.
Для підвищення ефективності атаки зловмисники можуть комбінувати різні методи: у листі одночасно може бути присутнім і шкідливий файл, і посилання на сайт із набором експлойтів та формою для введення пароля. Якщо вкладення можуть бути заблоковані антивірусом, способу захисту від добровільної передачі пароля користувачем не існує.
Співробітники часто не просто відкривають незнайомі файли та клацають за підозрілими посиланнями, а й листуються зі зловмисниками, з'ясували експерти. У 88% випадків це роблять працівники, які не пов'язані з ІТ — бухгалтери, юристи, менеджери тощо. Кожен четвертий учасник такого листування виявився керівником відділу. Втім, на вудку хакерів можуть траплятися навіть фахівці з безпеки: у ході експериментів 3% із них вступили у діалог.
Під час бесіди з хакером користувачі можуть скаржитися на те, що надіслані шкідливі файли або посилання не відкриваються, — у деяких випадках перед цим вони намагалися відкрити файли або ввести пароль за посиланням по 30–40 разів.
Співробітники завантажують шкідливі файли, переходять за фішинговими посиланнями і листуються з хакерами, поділяючись контактами колег.
Часто, якщо відкрити файл одразу не вдається, співробітник пересилає листа до ІТ-департаменту компанії з проханням про допомогу. Це збільшує ризик компрометації інфраструктури, оскільки технічні фахівці довіряють колегам і з високою ймовірністю запустять файл. Іноді адресати повідомляли про те, що лист потрапив до них помилково і пропонували імена інших співробітників організації, кому його слід було б надіслати.
Ефективність розсилок від імені підроблених компаній сьогодні знижується (11% потенційно небезпечних дій), у той час, коли повідомлення приходить від імені реальної компанії та реальної людини, ймовірність успіху зломщиків зростає — 33%.
Кіберзлочинці використовують страх, жадібність, надію та інші емоції для підвищення ефективності своїх атак. Тому в темах своїх листів вони використовують фрази на кшталт «список співробітників на звільнення» (спровокували 38% потенційно небезпечних дій), «виплати премій за рік» (25%) тощо. При отриманні таких повідомлень люди часто забувають про елементарні правила безпеки .
Електронна пошта — далеко не єдиний інструмент соціальної інженерії. Зловмисники часто телефонують співробітникам компаній, щоб, наприклад, представитися спеціалістом техпідтримки та отримати важливі дані або змусити співрозмовника вчинити потрібну дію.
Дослідження процесів забезпечення інформаційної безпеки в компаніях показало, що 38% організацій взагалі не проводять тренінги для співробітників з питань безпеки, а 37% роблять це формально, без перевірки ефективності.
