42
TECHNICAL SCIENCE /
УДК 004.5
Свищёв А.В.
Ассистент кафедры практической и прикладной информатики,
Акатьев Я.А. Студент бакалавриата, 2 курс, МИРЭА-Российский технологический университет (РТУМИРЭА), 119454, Россия, г. Москва, проспект Вернадского, 78, Институт информационных технологий Россия, г. Москва DOI: 10.24411/2520-6990-2020-11703 АНАЛИЗ МЕТОДИК АТАК СОЦИАЛЬНЫХ ИНЖЕНЕРОВ ПРОИЗВОДИМЫХ ВО ВРЕМЯ
ВСЕМИРНЫХ ЭПИДЕМИЙ
Svishchev A. V.,
Assistant of the Department of Practical and Applied Informatics,
Akatev I.A., Bachelor student, 2 course,
MIREA-Russian Technological University (MIREA Russian Technical University),
78 Vernadsky Avenue, Moscow, 119454, Russia, Institute of information technology Russia, Moscow
ANALYSIS OF TECHNIQUES OF ATTACKS OF SOCIAL ENGINEERS PRODUCED DURING
GLOBAL EPIDEMS
Аннотация
В данной статье рассматриваются методики социальной инженерии, имеющие наибольшую эффективность во время всемирных эпидемий. Произведен анализ наиболее эффективных методик, а также наиболее удачных способов борьбы. Abstract
This article discusses the techniques of social engineering that are most effective during global epidemics. The analysis of the most effective techniques, as well as the most successful methods of struggle.
Ключевые слова: социальная инженерия, информационная система, всемирная эпидемия, атаки, методы социальной инженерии.
Key words: social engineering, information system, global epidemic, attacks, methods of social engineering.
Всемирные бедствия, такие как эпидемии, всегда приносят множество проблем обществу. В такое время наиболее опасны мошенники, которые пользуются доверчивостью людей и нередко становятся причиной разорения как обычных людей, так и целых компаний. Эти мошенники пользуются методами социальной инженерии, внушения людям определённой информации с целью извлечения выгоды из последующих действий объекта внушения.
Так, например в России: «О росте доли мошенничества с использованием социальной инженерии рассказал управляющий директор—начальник управления противодействия кибермошенничеству Сбербанка Сергей Велигодский. "Жалоб на звонки мошенников клиентам банка под видом службы безопасности кредитной организации в 2017 году было всего 160 тыс., — уточнил господин Велигодский. — А в 2019 году мы зафиксировали уже почти 2,5 млн обращений". По его словам, за три года социальная инженерия "фактически выдавила традиционные схемы киберворовства — скимминг и вредоносное программное обеспечение".
Он также считает, что если до 2018 года у клиента пытались выведать данные, чтобы самостоятельно провести незаконную операцию, то теперь
мошенники предпочитают использовать для совершения денежного перевода жертву» [3].
Социальная инженерия обладает спектром «классических» методов, таких как: претекстинг, дорожное яблоко, фишинг, троянский конь, кви про кво (услуга за услугу), обратная социальная инженерия и шантаж [2].
Однако реализация каждой методики во время конкретной атаки может существенно различаться, также методы могут комбинироваться, порождая существенно новые варианты атак. Реализация методики зависит от ряда факторов:
1. Жертва атаки. В зависимости от цели атаки подбирается наиболее удачный вариант взаимодействия с ней. Например, если цель атаки пожилая женщина, то злоумышленник может представится сотрудником правоохранительных органов или медицинским работником, вызвав к себе таким образом большее доверие. А если цель проникновение в базу данных компании через устройства наиболее доверчивых пользователей, то для метода «дорожное яблоко» может использоваться зараженный носитель с сопровождающей запиской, который подберет и вставит в компьютер любопытных охранник предприятия.
Важно понимать, что доверие жертвы наиболее важно во всей социальной инженерии. Ведь только в таком случае ей получится манипулировать и, возможно, убедить выполнить желаемое.
2. Ожидаемый результат. Данный фактор позволяет проследить какую информацию и в каком объеме хотят украсть социальные инженеры. Если это деньги с банковского счета одного клиента, полученные с помощью долго разговора с ним, то и использовать следует комбинацию методов «шантаж» и «обратная социальная инженерия». А если данные тысяч клиентов банка, то могут подключаться и аппаратные ресурсы в виде методов «дорожное яблоко» или «троянский конь».
3. Характер атаки - точечный или массовый. Если атака будет точечная, то результат атаки может быть получен практически сразу после ее завершения и иметь соответственно небольшой объем. К ней не придется готовить множество прикрытий и маскировок. А для массовой атаки, имеющей потенциально большую прибыль, мошенникам приходится подбирать множество запасных вариантов прикрытия, чтобы успеть провести большое количество звонков или рассылок до получения результата.
4. Внешние факторы. Общемировая или государственная обстановка может сильно повлиять, а то и вовсе добавлять новые методы социальной инженерии, создавая потрясения в обществе. А подобные потрясения ведут к отвлечению внимания от мошенников на глобальные проблемы.
Каждый фактор существенно влияет на всю атаку, однако последний может полностью поменять как подход к жертве, так и характер с разового на массовый.
Поэтому стоит проанализировать какие именно изменения происходят в методиках социальной инженерии во время эпидемии и как можно с ними бороться. Анализ построим на бушующей на момент написания статьи коронавирусной инфекции СОУГО-19, который является безусловно внешним глобальным фактором и в течении нескольких месяцев почти полностью парализует как государственные организации, так и частные компании во многих странах мира. В условии самоизоляции людей и введенных карантинных мер, социальные инженеры активно используют и создают новые сценарии атак.
Стоит учесть, что во время эпидемий и паники люди хотят верить, что все скоро закончится и все будет хорошо. Они воспринимают любую новость о возможной болезни острее и любую хорошую новость как шанс на спасение. Поэтому в первую очередь во время эпидемий меняется сценарий общения социальных инженеров, им важно быть ближе к теме, волнующей человека на данный момент больше всего. Также такие атаки становятся массовыми, ведь полиция занимается наведением порядков на улицах, а не борьбой со звонками.
Рассмотрим несколько типичных сценариев общения:
1. Колл центры начинают обзванивать граждан рассказывая им о найденном заболевании.
Это не обязательно бушующая в данный момент инфекция, человек все равно среагирует остро на любую информацию о своем здоровье и будет искать способы вылечится. Ему сразу же предлагают медицинские обследования и «гарантированное» лечение. Это характерный пример использования обратной социальной инженерии.
2. Сотрудники нелегальных кол-центров начали использовать модифицированный сценарий общения, который вызывает больше доверия, чем прежний. Обновленная схема оказалась более опасным видом социальной инженерии для владельцев счетов, считают банкиры. Если раньше мошенники «маскировались» под службу безопасности банка и сообщали жертве о блокировке счета из-за подозрительной трансакции, то теперь они интересуются, в каком отделении и когда клиент хочет закрыть счет - банком якобы получено заявление на эту операцию. Когда клиент сообщает, что никакого заявления не писал, его просят уточнить персональные данные, чтобы перевести деньги на «безопасный» счет [4].
Во время эпидемии многие люди подолгу сидят без работы или в неоплачиваемом отпуске, именно поэтому во время сообщения из банка о неких действиях с счетом человек забеспокоится сильнее всего. А сильный, но контролируемый страх является одним из самых древних методов социальной инженерии. Просто во время эпидемии страх легче развивается.
3. Социальные инженеры и мошенники предлагают за небольшое вознаграждение, часть из которого надо выплатить авансом, открыть для подобных предприятий долгосрочные беспроцентные кредитные линии, якобы поступающие из государственной казны [5]. Так как в условиях эпидемии многие компании быстро теряют заработок, а государство постоянно обещает помогать компаниям, этот сценарий общения вызывает наибольшее доверие среди глав компаний, особенно малого бизнеса, где нет большого количества экспертов.
4. Мошенники обзванивают людей и сообщают, что в связи с нарушением карантина, введенного на время эпидемии, необходимо заплатить определённую сумма денег. Конечно, они представляются сотрудниками правоохранительных органов или другими органами власти, чем вызывают доверие к своим словам.
Подобные сценарии общения с подвигают пользователя на выполнение выгодных злоумышленникам действий. Бороться с обратной социальной инженерией и претекстингом, описанными выше крайне сложно и часто подобные действия социальных инженеров, влекут утечку капитала и дестабилизацию финансового положения населения и так ослабленного карантинными мерами и бушующим заболеванием.
В борьбе с подобными методами социальных инженеров можно использовать информационные системы с пополняющимися базами данных, где срабатывает политика коллективной безопасности, когда первый пострадавший может сообщить о зво-
44
TECHNICAL SCIENCE / «Ш11ШУШМ~Л(ШГМА1>>#Ш62Ш2®
нившем. Стоит выделить такое программное обеспечение, как определители номеров. Они используют постоянно пополняющуюся базу данных, основывающуюся на отзывах пользователей и проверке номеров. Такая система прямо во время звонка с незнакомого номера может вам подсказать кто звонит - телефон посольства или же мошенники. Подобную систему поддерживает один из лидеров Российского рынка информационных технологий - Яндекс.
Такая информация опубликована на их сайте: «Определитель подскажет, кто вам звонит, если входящего номера нет в контактах вашего телефона. Неизвестные номера сравниваются с базой данных, которая регулярно обновляется, в том числе с помощью отзывов пользователей приложения. База скачивается на устройство при первом включении определителя и занимает примерно 15 МБ. Также номера проверяются по базе Ян-декс.Справочника. Если вам звонят из компании, которая есть в Справочнике, вы увидите ее название и сферу деятельности. Если организация неизвестна, приложение сообщит вам предполагаемую категорию звонка. Например, «Возможно, это реклама». Если входящий номер не определяется, возможно, его нет в базе данных. Вы можете пополнить базу, оставив отзыв на неизвестный номер. Доступа к содержимому звонков и сообщений у определителя нет» [7].
Подобные системы в данном случае могут помочь человеку, подсказать в нужный момент или хотя бы заставить насторожиться. Однако подобные определители номеров строятся на доверенных клиентских экспертах, которые должны несколько раз сообщить о вредоносном номере, чтобы он появился в списке определяемых. А за время внесения номера в список может пострадать уже множество людей.
Другой проблемой является не прямой контакт мошенника и жертвы, а рассылка фишинговых писем на электронные почты и в социальные сети.
Так тема коронавируса используется в хакер-ских атаках на пользователей и бизнес. По данным Check Point Threat Intelligence, с января 2020 года в
мире зарегистрировано более 4000 доменов, связанных с коронавирусом. Из этих сайтов 3% уже признаны вредоносными, а еще 5% — подозрительными. По словам экспертов Check Point, такие сайты — часто лишь один элемент атаки. Злоумышленники рассылают спам с ссылкой на вредоносный сайт от лица доверенных организаций, чтобы побудить потенциальную жертву перейти по ней. В случае с коронавирусом это могут быть рекомендации от организаций здравоохранения или данные о распространении вируса, которые могут заинтересовать получателя. В момент перехода по ссылке вредоносное ПО автоматически устанавливается на устройство пользователя. Check Point обнаружил фишинг-атаку якобы от лица Всемирной организации здравоохранения, которая распространялась в Италии. Специалисты отметили, что 10% организаций в Италии подверглись этой атаке. Спам-письмо, которое отправляли злоумышленники, содержало следующий текст: «В связи с ростом зафиксированных случаев заболевания коронавиру-сом в вашем регионе Всемирная организация здравоохранения подготовила документ, который включает в себя все необходимые меры предостережения против коронавируса. Мы настоятельно рекомендуем ознакомиться с документом, приложенным во вложении к этому письму. С наилучшими пожеланиями, Доктор Пенелопа Маркетти, Всемирная организация здравоохранения, Италия» [6].
Электронная почта и социальные сети стали главным инструментов общения в наше время. Поэтому именно эти ресурсы становятся главными целями атак социальных инженеров. Большое количество трафика на почте заставляет людей быстро проверять письма, сильно не вчитываясь, чтобы иметь возможность ответить всем. И если в одном из этих писем попадется вредоносная ссылка, пользователь даже не успеет подумать прежде чем нажмет на нее «на автомате».
Одним из вариантов решения видится создания экспертной системы проверки объема содержания писем, так как по статистике спамовые и фи-шинговые письма весят 0-2 Кб в более чем 80% писем на 2018 год. (См. Рис. 1).
KA$PER$IO
Рис. 1. Статистика объема фишинговых писем
Такие цифры приводит «Лаборатория Каспер-сого» на 2017 и 2018 года. К 2020 году этот процент только возрастает. При создании соответствующей экспертной системы или системы поддержки принятия решения, которая будет проводить оценку размера письма и возможно сверять адрес отправителя с базой данных «доверенных адресов» станет возможным более точное исследование получаемого сообщения перед его прочтением оператором системы. К моменту прочтения письма оператору уже будет известно принятое решение системы, и он будет более настороженно относится к помеченному письму и внимательно просматривать ссылки. Подобное решение может применяться как в крупных компаниях, так и как часть пакета антивирусного программного обеспечения.
Подобные системы основываются на машинном обучении и теории игр. Систему можно настроить как на долгий поиск по «тяжелым» доменам, так и на быстрый на «легких» доменах из-за чего машина сможет достаточно быстро принимать решение не тормозя работу компаний или же давать более долгий анализ, если пользователь не сильно торопится. Также атакующие могут постоянно менять адреса атак или их текст, но машинное обучение позволит систему подстраиваться.
Но и здесь мы сталкиваемся с проблемой того, что на обучение экспертной системы может тратится большое количество времени, за которое методики будут вновь адаптированы.
Получается, что во время эпидемии социальная инженерия приносит крупные убытки во всех секторах бизнеса, а также и лишает последних денег обывателей. Соответствующий подбор информационных систем может помочь защитится, но процент успешных атак убывает не сильно, так как информационные системы долгие в производстве, трудно и долго обучаются и просто не успевают за социальной инженерией.
Однако стоит помнить, что методы социальной инженерии вполне можно использовать не только для мошеннических схем и вреда окружающим. В условиях дестабилизированной экономики, увеличения случаев заболевших и нехватки продуктов в магазинах легко можно поддаться панике и страху, которыми так активно пользуются мошенники. Но использование социальной инженерии как инструмента борьбы с паникой вполне допускается.
Например, в России всем жителям Москвы старше 65 лет, которые просидят карантин дома, мэрия предложила выплатить 4000 рублей [1]. Таким образом Государство «покупает» доверительное отношение жителей ко всем будущим карантинным мерам. Это один из самых старых методов социальной инженерии - подкуп. Но использование его привело к тому, что многие пожилые люди остались дома и процент заболевших пожилых людей уменьшился.
Использование средств массовой информации для распространения доверительной информации также применяется довольно часто. Ведь люди си-
дят дома и для многих единственным средством общения с миром остается телевизор. А в новостях постоянно рассказывают об удачных научных испытаниях, успешном лечении больных. Таким образом контролируется паника. СМИ также могут брать интервью у знаменитых людей, чем модифицируя обратную социальную инженерию социальных инженеров. Такая информация внушается не одному человеку, а сразу большому количеству.
Другим методом социальной инженерии является страх, но контролируемый. Объект надо сначала сильно испугать, а потом уверить что всех ужасов можно избежать если довериться и сделать все, о чем говорят. Его можно использовать в благих целях - сообщать людям страшные подробности болезни, показывать высокий процент смертности, чем вызывать желание людей добровольно остаться на самоизоляции.
Подобная манипуляция сознанием приводит людей в состояние доверия к действиям государства, а значит они будут обладать полной информацией, которая не позволит ввести их в заблуждение; достаточно напуганы, чтобы слушаться; и немного подкуплены чтобы не злится на положение вещей.
Подведем итог: методы социальной инженерии активно подстраиваются под факторы внешней среды, мы это рассмотрели на примере коронави-русной инфекции СОУГО-19. Во время эпидемии могут пострадать многие граждане государств, охваченных волной заболевания и находящиеся в карантине. Различные информационные системы, в том числе рассмотренные нами как наиболее эффективные, все равно не могут дать быстрый, а тем более упреждающий эффект. Ведь создаются информационные системы на базе известных атак и предсказать новый метод атаки заранее практически невозможно.
Как уже было рассмотрено - социальную инженерию могут применять не только злоумышленники, если государство будет проводить комплекс мер в основе, которого такие методы как подкуп, страх, обратная социальная инженерия и претек-стинг, то сможет убедить население довериться, довести всю необходимую информацию и избежать паники и хаоса. А значит подобный вариант является оптимальный для противодействий атак методами социальной инженерии, модернизированными в связи с эпидемией.
Самой главной проблемой использования метода социальной инженерии государством является большой объем разрозненной информации, большинство из которой не является достоверной. Поэтому лучшим вариантом является создание информационных потоков, объявленных официально достоверными и точными. Такими информационными потоками могут стать: государственный канал на телевидении, сайт с грифом государства или новостной портал.
Главное — это вовремя избавляться от дезинформации и намеренно ложных новостей на законодательном уровне, как это, например реализовы-вается в Российском законодательстве по борьбе с «фейками».
TECHNICAL SCIENCE / <<Ш1кШетиМ~^®и©Ма1>#Щ62)),2©2©
46_
Правильно использованные методы социальной инженерии позволят с опережением избегать паники, роста мошенничества и киберворовства.
Использованные источники:
1. Статья РИА новости о выплатах пенсионерам [Электронный ресурс] URL: https://ria.ru/20200325/1569154779.html
(Дата обращения: 04.04.2020)
2. Статья «Искусственный интеллект как средство защиты от атак методами социальной инженерии» Свищёв А.В., Акатьев Я.А. Colloquium-journal №7 (59), 2020
3. Статья «Социальная инженерия выдавила другие схемы киберворовства» [Электронный ресурс] URL: http://www.finmarket.ru/main/article/5131178?utm_s ource=yxnews&utm_medium=desktop&utm_referrer =https%3A%2F%2Fyandex.ru%2Fnews (Дата обращения: 04.04.2020)
4. Статья «Мошенники придумали новый сценарий общения с владельцами банковских карт» [Электронный ресурс] URL: https://vestikarelii.ru/news/moshenniki-pridumali-novyj-stsenarij-obschenija-s-vladeltsami-bankovskih-kart/ (Дата обращения: 04.04.2020)
5. Статья «Преступность COVID-19» [Электронный ресурс] URL: http://zavtra.ru/blogs/prestupnost_covid_19 (Дата обращения: 04.04.2020)
6. Статья «Зарегистрировано более 4000 доменов, связанных с коронавирусом» [Электронный ресурс] URL: http://www.iksmedia.ru/news/5650026-Zaregistrirovano-bolee-4000-domenov.html (Дата обращения: 04.04.2020)
7. Информация с сайта Яндекс [Электронный ресурс] URL: https://yandex.ru/support/yandex-app-android/app/callerid-android.html (Дата обращения: 04.04.2020)