Социальная инженерия

Социальная инженерия — это любая атака, нацеленная на человеческий элемент системы безопасности. Злоумышленник не взломает криптографию и не воспользуется ошибкой безопасности памяти; они убеждают человека дать ему то, что он хочет. Поскольку безопасность в конечном итоге зависит от принятия человеком правильных решений в условиях ограниченного времени, социальная инженерия остается наиболее успешной категорией атак по объему.

Классические методы

• Фишинг. Массовая рассылка электронных писем или текстовых сообщений, которые выдают себя за доверенное лицо и обманным путем заставляют цель отказаться от учетных данных или установить вредоносное ПО. См. нашу статью о фишинге .
• Цепной фишинг. Нацелен на конкретного человека или организацию с персонализированным контекстом (настоящие имена, реальные проекты, реальные недавние события). Гораздо более высокий уровень успеха.
• Вишинг (голосовой фишинг). Телефонные звонки. Злоумышленник выдает себя за банк, ИТ-отдел, генерального директора, поставщика — за любого, на чьи полномочия может реагировать цель. Активно используется против пользователей только мобильных устройств.
• Pretexting. Злоумышленник придумывает предысторию, которая делает запрос правдоподобным. «Привет, это Джон из бухгалтерии, мне нужно, чтобы вы обновили инструкции по подключению для этого ожидающего платежа».
• Baiting. Оставлять зараженные USB-накопители на парковках, отправлять почту с вредоносными QR-кодами, размещать привлекательные объявления о работе для сбора резюме.
• Quid pro quo. Злоумышленник предлагает услугу (бесплатная техническая поддержка, подарок) в обмен на учетные данные или доступ.
• Tailgating. Следование за уполномоченным лицом через безопасную дверь, разговор по телефону или перенос кофе, чтобы он придержал дверь, не задумываясь.
• Водопой. Взломайте веб-сайт, который часто посещает целевая организация, а затем подождите, пока на него зайдут жертвы. Используется против конкретных отраслей или групп активистов.

Почему социальная инженерия работает

Когнитивные рычаги, которые злоумышленники используют:

• Авторизация. Запросы от «генерального директора» или «ИТ-поддержки» получают больше удовлетворения, чем запросы от сверстники.
• Urgency. Нехватка времени сокращает тщательное мышление. «Это должно произойти в течение следующих 30 минут, иначе сделка сорвется».
• Scarcity. Ограниченные по времени предложения, последний шанс, эксклюзивный доступ.
• Reciprocity. Сначала небольшая услуга (неожиданный подарок, часть полезной информации) создает ощущение обязательство.
• Ликинг. Люди подчиняются привлекательным, обаятельным или знакомым просителям.
• Социальное доказательство. «Ваши коллеги уже это сделали».
• Fear. «Ваша учетная запись взломана; нажмите здесь, чтобы немедленно защитить его».

Это те же рычаги, которые используются в законном маркетинге. Социальная инженерия превращает их в оружие против мер безопасности.

Эра усиления искусственного интеллекта

2023–2026 гг. ознаменовалась резким изменением качества социальной инженерии:

• Генераторный AI устраняет лингвистические признаки некачественного фишинга. Свободный английский (или любой другой язык), соответствующий контексту тон, персонализированные ссылки, взятые из общедоступных источников.
• Голосовое клонирование с помощью нескольких секунд аудио означает, что звонок «генерального директора» может звучать точно так же, как настоящий генеральный директор. Инцидент с компанией Arup в Гонконге в 2024 году — 25 миллионов долларов, переведенных после видеозвонка с дипфейковыми руководителями — является наиболее цитируемым примером. злоумышленники исследуют тысячи целей и персонализируют целевой фишинг способами, которые раньше были неэкономичными.

Защита не поспевает за ним так быстро. В частности, голосовые атаки имеют гораздо более высокий уровень успеха, чем три года назад.

Что работает против социальной инженерии

Техническое и процедурное вместе:

• Сильная аутентификация, которую трудно подделать. Аппаратные ключи FIDO, ключи доступа — привязывают учетные данные к законному источнику, чтобы фишинговые сайты не могли перехватить полезные секреты.
• Внеполосная проверка. Для запросов с высокими ставками (банковские переводы, сброс учетных данных, смена поставщиков) требуется обратный вызов заранее известный номер телефона, а не номер в подозрительном электронном письме или звонке.
• Уменьшайте срочность. Самая эффективная личная привычка: когда что-то кажется срочным, намеренно отложите 5 минут и проверьте запрос через отдельный канал.
• TНастольные упражнения и симуляции фишинга. Организации, которые практикуют, получают измеримые суммы лучше.
• Прозрачные пути эскалации. Сотрудники должны иметь простой способ сообщать о подозрительных запросах и никогда не подвергаться штрафам за сообщение о подлинных запросах, которые оказываются реальными.
• Кодовые фразы для выдачи себя за руководителя. Предварительно согласованные фразы или контрольные вопросы для ситуаций, когда фальшивый голос правдоподобно.

Что вы можете сделать индивидуально

• Скептически относитесь к неожиданным контактам, особенно к срочным запросам учетных данных или денег.
• Подтвердите внеполосную проверку — перезвоните в учреждение по номеру, который вы получили из своих записей, а не из подозрительного сообщения.
• Используйте аппаратный ключ 2FA или ключи доступа к важным учетным записям.
• Не раскрывайте общедоступную информацию, чтобы ее можно было исследовать — «OPSEC» имеет большее значение в эпоху искусственного интеллекта, чем раньше.
• Поговорите с семьей о мошенничестве с клонированием голоса, нацеленном на пожилых родственников, которое стало основной категорией мошенничества в 2024–2026 годах.