Социальная инженерия: когда главная уязвимость — человек

Это не про «взлом серверов», это про взлом поведения и решений. Поэтому социальная инженерия сегодня — один из самых опасных и трудноискоренимых инструментов мошенников. О том, как работают такие атаки, рассказываем в статье.

Если отбросить сложные термины, социальная инженерия — это чистой воды психология. Злоумышленник воздействует на человека, чтобы тот сам отдал нужную информацию или доступ. Его интересуют пароли, корпоративные данные, инсайдерская информация или даже ключи от серверной.

Несмотря на развитие мессенджеров, электронная почта по-прежнему остается основной точкой входа для злоумышленников. В корпоративных средах мессенджеры часто ограничены или запрещены, а почта есть у каждого. Злоумышленники отправляют письма, которые внешне неотличимы от деловой переписки со знакомыми контрагентами.

Внутри такого письма может быть ссылка на поддельный сайт — точную копию банковского личного кабинета или другой площадки, где жертва вводит свои логин и пароль. Эти данные тут же уходят мошенникам.

Дальше начинается второй этап. Если включена двухфакторная аутентификация, злоумышленникам нужно получить и второй фактор. Здесь в ход идут звонки с легендами — «подтвердите доставку цветов», «ваш заказ с Wildberries», «проблема со СДЭКом». Все это звенья одной цепи — классического фишинга, где ставка сделана на доверие.

Но есть и другой сценарий, когда жертву уговаривают скачать файл или перейти по ссылке. Маскируются под безобидное — документ, фотографию, счет — и запускается программа, которая действует уже от имени самого сотрудника. А поскольку у каждого в корпоративной сети есть свои права и доступы, злоумышленник получает в распоряжение эти полномочия.

Популярны и мессенджеры. Telegram, WhatsApp¹ — здесь атаки идут либо со взломанных аккаунтов знакомых, либо от имени подрядчиков, службы безопасности, коллег. Схема та же: втереться в доверие, получить доступ или данные. Разница только в упаковке.

Современные технологии добавляют новые риски. Уже сейчас синтез голоса и видео (дипфейк) достигает такого уровня, что отличить подделку от реальности становится почти невозможно. Даже обычный разговор по видеосвязи — будь то Zoom или любой другой сервис — уже содержит в себе элемент неопределенности.

Именно поэтому озвучивать в таких разговорах логины, пароли или другую критически важную информацию — плохая практика.

Когда атака с использованием социальной инженерии достигает цели, перед компанией встает вопрос — во что это обошлось? Если хотя бы одна из следующих характеристик пострадала, это значит, что произошел инцидент, и его последствия подлежат анализу.

• Доступность — это когда система перестает работать. Например, злоумышленник, получив доступ через фишинговое письмо, вывел из строя сервер с бухгалтерской 1С. Компания не может сдать отчетность, операции встали. Здесь ущерб считается относительно просто — час простоя умножается на средний заработок в этот период. Для интернет-магазина, где каждую минуту идут заказы, потери очевидны.

• Целостность — более коварная история. Данные не украдены, но изменены или испорчены. Мошенник, представившись специалистом техподдержки, уговорил бухгалтера дать доступ и подкорректировал цифры в отчетах или внес ложные сведения в базу клиентов. Последствия могут проявиться не сразу. Выявить и исправить такое сложно, а ущерб складывается из внутренних издержек на восстановление и потерь от неверных решений.

• Конфиденциальность — самая громкая и неприятная категория. Утечка персональных данных, коммерческой тайны, параметров сделок. Здесь срабатывает целый каскад негатива: репутационные потери, разбирательства с клиентами и партнерами, а также штрафы от регуляторов. Для компаний в финансовом секторе это может грозить отзывом лицензии, для объектов критической инфраструктуры — уголовной ответственностью.

Однако далеко не всегда ущерб можно посчитать с калькулятором в руках. Малый и средний бизнес зачастую даже не представляет, какими данными оперирует и какая информация является конфиденциальной. Нет классификации, нет понимания ценности информации, а значит, нет и модели рисков.

Кроме того, ущерб может быть комплексным — система частично работает, но медленнее, данные вроде на месте, но вызывают сомнения, звонки от клиентов не проходят из-за сбоя АТС. Для одного бизнеса десять минут простоя телефона — пустяк, для другого — потеря потока заказов. Здесь все индивидуально и зависит от конкретной ситуации.

На каких сотрудников чаще всего нацелены атакующие? Ответ зависит от конечной задачи злоумышленников. Если цель — финансы, главной мишенью становится бухгалтерия. Именно там проще всего инициировать перевод денег или получить доступ к платежным документам.

Если нужно похитить клиентскую базу или коммерческую тайну, удар направляется на коммерческий блок, менеджеров по продажам, секретарей, которые могут вывести на нужных сотрудников. А когда стоит задача парализовать работу компании или нанести максимальный урон, атакующие ищут контакты системных администраторов — обладателей самых широких полномочий.

Именно поэтому в компаниях должны быть выстроены не только технические, но и организационные барьеры: процедуры согласования любых действий с повышенными привилегиями, системы контроля, а также кадровая политика, мотивирующая сотрудников на лояльность и открытость. Человек должен знать, что в случае подозрительных предложений он может обратиться к руководителю или специалисту по безопасности без страха обвинения.

В конечном счете ответственность за сохранность данных лежит не на ИТ-отделе и не на службе безопасности, а на том, кто понесет самый большой ущерб — на собственнике. Поэтому разговор о защите данных нужно начинать с него: если собственник не видит ценности информации и не готов вкладываться в защиту, одними технологиями проблему не решить.

Сформулируем несколько ключевых рекомендаций, которые должны стать основой корпоративной культуры безопасности.

Еще в девяностых годах создатель легендарного антивируса Питер Нортон повторял простую фразу: «Делайте резервные копии чаще». С тех пор ничего не изменилось. Резервное копирование остается самым надежным способом сохранить данные при любом инциденте — будь то шифровальщик, технический сбой или человеческая ошибка.

При этом резервное копирование — не просто скидывание файлов на флешку. Это многоуровневая система, требующая и программных, и аппаратных ресурсов, и регулярного тестирования. Она стоит денег, но эти затраты несоизмеримы с ущербом от полной потери данных.

Чем больше факторов, тем лучше. Но важно понимать, что действительно считается разными факторами. Есть два базовых типа:

• фактор знания — пароль, кодовое слово, ответ на секретный вопрос;

• фактор предъявления — одноразовый код из SMS или мессенджера, аппаратный токен, сертификат, подтверждение в приложении.

Подлинная безопасность строится на связке «знаю» и «имею». Даже если мошенник узнал ваш пароль, войти в систему без второго фактора — вашего телефона или токена — он не сможет. Поэтому использование одноразовых кодов, push-уведомлений или аппаратных ключей обязательно для всех критических систем.

Главный принцип защиты от социальной инженерии — изначально исходить из того, что никому нельзя доверять без проверки. Да, это может немного замедлить процессы, но многократно снижает риск ошибки.

Любой неожиданный запрос, особенно связанный с доступом к данным, деньгам или конфиденциальной информации, должен запускать механизм верификации. Если звонящий представляется коллегой, подрядчиком или руководителем и в разговоре вызывает подозрение — положите трубку и перезвоните по номеру, который точно ему принадлежит. Не по тем контактам, что продиктовали в разговоре, а по тем, что есть в записной книжке или официальных источниках.

Это набор простых, но критически важных привычек, аналогичных мытью рук перед едой:

• не переходить по подозрительным ссылкам, особенно в письмах и сообщениях от незнакомцев;

• при сканировании QR-кодов всегда проверять, какой адрес скрывается за кодом, прежде чем перейти;

• не общаться с незнакомыми людьми в рабочих мессенджерах, если инициатива исходит от них;

• относиться с подозрением к любой неожиданной просьбе, даже если она кажется срочной и важной.

Люди — главная мишень злоумышленников, и это не изменить. Но можно изменить поведение людей. Регулярное обучение, напоминания, тестовые фишинговые рассылки — все это постепенно формирует культуру безопасности.

Сотрудники перестают быть пассивными жертвами и сами начинают играть ключевую роль в защите компании от атак.

Социальная инженерия — это системная угроза, использующая человеческую психику как входной билет в корпоративные сети. Атаки могут быть нацелены на любого, от секретаря до генерального директора, а последствия варьируются от временных неудобств до полной остановки бизнеса.

Но защита существует. Она складывается из технических мер (резервное копирование, многофакторная аутентификация, сокращение поверхности атаки), организационных процедур (верификация запросов, контроль доступа) и человеческого фактора (цифровая гигиена, обучение). Только в комплексе эти элементы способны создать по-настоящему надежный барьер.

И помните: даже если кажется, что ваша компания никому не интересна — это иллюзия. Атаки не выбирают по размеру бизнеса — они ищут легкие цели.