К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Бойтесь писем начальников: как социальную инженерию используют для взлома данных

Фото Getty Images
Фото Getty Images
В эпоху, когда технологии защиты данных становятся более совершенными, преступники все чаще используют не технические уязвимости компаний, а социальные — человеческий фактор. Директор Practical Security Lab Евгений Соболев в колонке для Forbes рассказывает, почему неожиданные письма от руководителей или даже от IT-отдела должны вас насторожить и как компании могут защитить сотрудников и свою репутацию от таких атак

На кого направлена социальная инженерия

Атаки с помощью социальной инженерии строятся на манипулировании сотрудниками, которые могут выдать конфиденциальные данные или выполнить опасные для компании действия. Эта форма кибератак уже привела к значительным финансовым потерям для крупнейших компаний по всему миру, и масштабы бедствия только растут. 

В 2023 году общие потери от кибератак достигли $10,3 млрд, более $2,7 млрд из этих потерь приходится на мошенничество с деловой перепиской и другие формы атак через коммуникацию с сотрудниками.

В большинстве случаев киберпреступники направляют свои атаки на нетехнических специалистов компании — тех, кто не обладает глубокими знаниями в области кибербезопасности. Это могут быть бухгалтеры, HR, помощники руководителей или менеджеры по продажам. Преступники моделируют правдоподобные ситуации, в которых жертва невольно выдает все, что им нужно. 

 

Многие сотрудники не подозревают, что стали жертвой манипуляции, и часто не догадываются сообщить о подозрительной активности или запросах вовремя. Либо осознают свою ошибку слишком поздно и боятся рассказать о ней, надеясь, что последствий не будет. В результате такие атаки остаются незамеченными до тех пор, пока не нанесут значительный ущерб компании. 

Классический метод киберпреступников: email-фишинг 

Классический фишинг — это электронные письма, которые побуждают сотрудников ввести свой логин и пароль на поддельном сайте или открыть вредоносный файл. Фишинговые атаки могут быть как массовыми — безадресными, так и таргетированными, когда злоумышленники нацеливаются на конкретную компанию или определенных сотрудников. 

 

Таргетированный фишинг может использовать настоящие имена сотрудников и соответствовать контексту текущих процессов и ситуаций в компании. Например, атакующие могут быть в курсе проводимой сделки и имен людей, участвующих в ней, и использовать эту информацию, чтобы гармонично встроиться в рабочие процессы. 

Антивирусные программы и другие средства защиты помогают только при массовой неприцельной рассылке. Если атака таргетированная, то, прежде чем прислать вам письмо и вредоносный файл, злоумышленники проводят большую подготовительную работу и добиваются того, чтобы вредоносное содержимое не обнаружилось. Приведем примеры стандартных приемов атак через социальную инженерию.

  1. Ошибочно отправленные письма. Злоумышленники якобы случайно отправляют письма не тому адресату. В них содержится важная информация: например, о премиях, зарплатах или списках на увольнение. В таких случаях злоумышленники делают расчет на любопытство.
  2. Общее официальное письмо. Имитация реальной внутренней рассылки компании, например информация о партнерских акциях со скидками к Новому году или расписание отпусков.
  3. Сообщение от руководителя. Официальное письмо от имени руководства компании, «обязательное к прочтению и исполнению». Это может быть письмо о новых правилах, распоряжениях или особой ситуации, призванное вызвать интерес у сотрудников.
  4. Письма от IT-службы. Злоумышленники выступают от имени  IT-департамента, сообщая о внедрении новой системы или изменении почтового сервера, и просят сотрудников ввести учетные данные на новом сайте.
  5. Сообщение, связанное с бизнес-процессами. Сложный для обнаружения метод, поскольку контент письма связан с прямыми обязанностями потенциальный жертвы. Это может быть, например, рассылка копирующего уведомление из таск-трекера о новой задаче для сотрудника. На поддельном сайте ему предложат ввести логин и пароль, чтобы увидеть «новую задачу». 

Примеров таких атак много, а жертвы есть даже среди технологических гигантов, государственных структур и финансовых организаций. Так, в 20132015 годах Facebook (принадлежит компании Meta, которая в России признана экстремистской организацией и запрещена) и Google понесли ущерб на общую сумму $100 млн. Мошенник выдавал себя за крупного тайваньского производителя оборудования Quanta Computer, с которым обе компании действительно сотрудничали. Используя поддельные счета и контракты, он убедил сотрудников осуществлять платежи на его счета. 

 

Новые киберугрозы: мессенджеры, дипфейки и поддельные звонки 

Атака через мессенджер

Мессенджеры для мошенников удобны тем, что подталкивают сотрудника к тому, чтобы он отреагировал немедленно. Ему не дают времени обдумать ситуацию или показать сообщение кому-то еще. Дополнительное давление создается тем, что пишет якобы руководитель. 

В почтовом фишинге сотрудник еще может заметить признаки поддельного письма, например ошибки в адресе отправителя. А вот личный аккаунт начальника в мессенджере он может и не знать вовсе и, соответственно, не сможет оперативно проверить подлинность. Данные для подставного профиля — фамилия, имя и отчество руководителя — легко найти в интернете. Например, на сайте компании, в соцсетях или СМИ. 

В этом году жертвой хакеров стал CEO крупнейшей мировой рекламной группы WPP Марк Рид. Злоумышленники создали его аккаунт в WhatsApp и использовали его для звонка с топ-менеджментом в Microsoft Teams. Фотографию преступники взяли из общего доступа, а голос — с записей выступлений директора на YouTube. На встрече «Марк Рид» пытался запросить деньги и чувствительные данные. Бдительная команда WPP заподозрила, что на звонке присутствует не настоящий CEO, и попытка злоумышленников провалилась.

Атака с помощью дипфейков

 

Если раньше атаки строились на поддельных письмах или сообщениях, то теперь сотрудник может получить видеозвонок от своего «генерального директора», который попросит выполнить срочное задание или провести финансовую операцию. Учитывая авторитет и визуальное подтверждение личности, сотрудник с высокой вероятностью выполнит просьбу без лишних вопросов.

В 2019 году исполнительный директор британской энергетической компании (ее название в СМИ не разглашалось) получил звонок якобы от генерального директора их немецкого подразделения. Голос с немецким акцентом просил срочно перевести €220 000 на счет венгерского поставщика. Злоумышленники использовали технологию дипфейка для имитации голоса руководителя. Сотрудник не заподозрил обмана и осуществил перевод. Позже выяснилось, что деньги были переведены на счет мошенников.

Поддельные звонки

Атаки с применением социальной инженерии не ограничиваются электронными письмами и сообщениями в мессенджерах — старомодные телефонные звонки все еще эффективны. Особую опасность представляет подделка номера телефона — так называемый спуфинг Caller ID. Так злоумышленники могут отображать на телефоне жертвы любой номер, включая официальный номер компании или известного партнера. У сотрудника снижается бдительность, поскольку на экране отображается знакомый номер.

 

Для успешной атаки не обязательно использовать технологию дипфейка голоса. В больших компаниях сотрудники не всегда лично знакомы и могут не знать голос друг друга, особенно если речь идет о коллегах из других филиалов или стран.

Как защитить свою компанию 

Число атак постоянно растет, поэтому бизнесу нужно принимать проактивные меры для защиты своих данных, финансов и репутации. Вот ключевые стратегии и рекомендации, которые помогут противостоять угрозам и минимизировать риски.

Постоянно обучайте сотрудников 

Человек со своими слабостями является самым уязвимым звеном в цепи безопасности. Поэтому обучение персонала должно стать приоритетом. Полезно время от времени проводить тренинги по распознаванию признаков фишинга и поддельных звонков. Также можно создавать имитации атак — проводить внутренние фишинговые тесты, чтобы оценить уровень бдительности специалистов.  

 

Внедряйте строгую политику и процедуры безопасности

Четко определенные политика и процедуры помогут стандартизировать подход к безопасности во всей организации. Такой инструмент, как многофакторная аутентификация, усложнит злоумышленникам доступ ко внутренним системам, даже если они получат учетные данные сотрудника. А принцип минимальных привилегий оставит сотрудникам доступ только к тем системам и данным, которые необходимы для выполнения их обязанностей.

Введите процедуры для подтверждения финансовых трансакций или изменений в учетных записях через независимые каналы. Например, любые запросы на крупные переводы должны быть подтверждены по телефону или лично.

Используйте технические средства защиты

 

Технологические решения могут помочь обнаружить и предотвратить многие атаки социальной инженерии. Обновляйте и настраивайте системы фильтрации электронной почты для обнаружения фишинговых писем и вредоносных вложений. Внедряйте решения на основе искусственного интеллекта и машинного обучения, которые могут выявлять необычное поведение пользователей или систем.

Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

Защищайтесь от физических методов социальной инженерии

Используйте системы контроля доступа, видеонаблюдения и проверку посетителей, чтобы предотвратить несанкционированное проникновение. Так у злоумышленников будет меньше шансов подключиться к внутренним системам изнутри или разбросать «забытые» USB-устройства с вредоносными программами.

Постоянно отслеживайте новые угрозы 

 

Мир кибербезопасности постоянно меняется. Чтобы быть в курсе новых подходов к кибератакам, следите за отчетами аналитических центров, компаний по кибербезопасности и государственных органов. Регулярно обновляйте операционные системы, приложения и средства безопасности, чтобы закрывать известные уязвимости.

Социальная инженерия стала одной из самых серьезных угроз для современного бизнеса. В эпоху цифровой трансформации, когда компании активно внедряют передовые технологии защиты, киберпреступники смещают фокус на человеческий фактор. Для лидеров бизнеса это сигнал к действию. Инвестиции в технологические решения должны сопровождаться развитием культуры безопасности внутри организации. Обучение сотрудников, внедрение строгих политики и процедур, а также проактивное управление рисками — ключевые элементы защиты в современном мире. Поощряйте сотрудников сообщать о подозрительных письмах, звонках или поведении. 

Защита данных и репутации компании — стратегический приоритет в условиях растущей конкуренции и глобальных вызовов. Осознание рисков атак с применением методов социальной инженерии и комплексные меры по их нейтрализации помогут не только сохранить позиции на рынке, но и укрепить доверие клиентов и партнеров.

Мнение редакции может не совпадать с точкой зрения автора

 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+