13 мая 2020 г.

Михаил Субханкулов

В условиях пандемии коронавируса ожидаемо активизировались злоумышленники в сфере компьютерных преступлений. Социоинженерные атаки и ранее были одним из основных способов их действий, а условия пандемии и карантина облегчили такого рода противоправную деятельность.

Можно выделить следующие типы социоинженерных атак:

  1. Фишинг — использование ложных ссылок, которые перенаправляют пользователей на сайты злоумышленников, цель — получение личной информации или внедрение вредоносного кода.
  2. Сценарии — использование хорошо отработанных сценариев общения с предполагаемой жертвой для получения личной информации.
  3. Приманки — обещание неких предметов или благ.
  4. Выгода в обмен на информацию — похоже на приманку. Обещания неких выплат, снижения налогов и т.д.
  5. Проникновение в защищенную область с целью получения физического доступа к ЛВС.
Одно из основных условий, облегчающих деятельность злоумышленника во время проведения социоинженерной атаки 1-4 типа — снижение критичности восприятия информации. Оно обусловлено длительным существованием в условия постоянного стресса и отчасти психоза, индуцированного СМИ. Не вдаваясь в подробности того, для чего это делается (а может, со вполне благими намерениями, имея целью поддержание системы принудительного карантина), на психическом состоянии людей и их возможности критично воспринимать информацию это сказывается не лучшим образом. Что уж тут говорить о слухах и так называемой «фейковой информации».

Пандемия активировала атаки по всем пяти выделенным векторам. При этом произошла некоторая модификация способов и сценариев воздействия на предполагаемую жертву, а также изменились возможные результаты социоинженерных атак.

Яркий пример — предложение чудо-лекарств. Зачастую может использоваться реальная или близкая к реальной информация по использованию антималярийных или анти-ВИЧ препаратов, дорогостоящих систем, которые, как уверяют злоумышленники, способны в некоторой степени заменить системы искусственной вентиляции легких, системы обеззараживания (часто на основе УФ-ламп, а иногда за УФ-лампы выдаются лампы для домашних оранжерей), предложение неких выплат и компенсаций со стороны государства, проникновение в опустевшие офисы с целью получения физического доступа к ЛВС организаций. При этом никуда не делась «классика жанра» — звонки от «службы безопасности банка «Вкадчикобманинвест» с целью получить доступ к управлению системой ДБО или средствами на карте жертвы.

Но в условиях пандемии, повышенной эмоциональности граждан и снижения критичности восприятия деятельность злоумышленников существенно облегчилась. А вот возможные результаты такой деятельности стали более серьезными. В отличие от ранее существовавшей ситуации, когда удаленный доступ к ЛВС организации был скорее исключением, чем правилом и предоставлялся, кроме специалистов ИТ и ИБ, только высшему руководству, сейчас удаленный доступ стал массовым. К сожалению, не всегда он организован корректно с точки зрения ИБ.

При работе с помощью удаленного доступа очень распространенной является ситуация, когда такой доступ осуществляется с помощью личных вычислительных средств — ноутбуков, десктопов, мобильных устройств. Это создает большую угрозу ЛВС предприятия, так как состав программно- аппаратного комплекса не контролируется администраторами и специалистами ИТ и ИБ организации. Исходя из практики, из всех СЗИ используются, если в принципе используются, средства противодействия воздействию вредоносного кода (ВВК). Так же нет гарантии, что имеющееся средства воздействия от ВВК своевременно и регулярно обновляют антивирусные базы и вообще на них не закончилась подписка. Кроме этой достаточно очевидной угрозы часто создаются условия, когда доступ к личным вычислительным средствам имеют все члены семьи, т.е. люди разной квалификации, возраста, уровня образования и осознания угроз ИБ.


Учитывая все вышесказанное, велика вероятность прецедентов, когда через наименее квалифицированного и ответственного пользователя вычислительного средства может быть осуществлена социоинженерная атака на локальную вычислительную сеть организации. Наиболее очевидный путь противодействия достаточно понятен — предоставление организацией специально подготовленных вычислительных средств для удаленной работы сотрудников. К сожалению, это практически всегда ведет к увеличению расходов. Поэтому такой вариант характерен скорее для крупных финансовых организаций и госкорпораций. В остальных случаях может быть рекомендовано усиление защиты ЛВС организации, в частности, использование антивирусных средств на межсетевых экранах и систем обнаружения и предотвращения вторжений. Важно не забывать о человеческом факторе и обучать сотрудников правилам кибергигиены.

Источник: Михаил Субханкулов, руководитель отдела консалтинга и аудита, ARinteg