Специалисты Positive Technologies собрали статистику эффективности атак с применением методов социальной инженерии. В ходе проектов по анализу защищенности корпоративной инфраструктуры эксперты компании имитировали активность хакеров и отправляли сотрудникам компаний-заказчиков сообщения, содержащие вложенные файлы, ссылки на веб-ресурсы и формы для ввода паролей. Всего было отправлено 3332 письма и 17% из этих сообщений в реальной жизни могли бы в итоге привести к компрометации компьютера сотрудника, а впоследствии — и всей корпоративной инфраструктуры.
Самым эффективным методом социальной инженерии оказались сообщения с фишинговой ссылкой: по ней перешли 27% получателей. Пользователи невнимательно читают адрес или даже просто, не глядя, кликают на него и переходят на поддельный сайт. Для повышения эффективности атаки злоумышленники могут комбинировать различные методы: в письме одновременно может присутствовать и вредоносный файл, и ссылка на сайт с набором эксплойтов и формой для ввода пароля. Если вложения могут быть заблокированы антивирусом, то способа защиты от добровольной передачи пароля пользователем не существует.
Сотрудники часто не просто открывают незнакомые файлы и кликают по подозрительным ссылкам, но и вступают в переписку со злоумышленниками. В 88% случаев это делают работники, не связанные с IT (бухгалтеры, юристы, менеджеры и т. п.). Каждый четвертый участник такой переписки оказался руководителем отдела. Впрочем, на удочку хакеров могут попадаться даже специалисты по безопасности: в ходе наших экспериментов 3% из них вступили в диалог.
В ходе беседы с хакером пользователи могут жаловаться на то, что присланные зловредные файлы или ссылки не открываются, — в некоторых случаях перед этим они пробовали открыть файлы или ввести пароль по ссылке по 30–40 раз! Часто, если открыть файл сразу не удается, сотрудник пересылает письмо в IT-департамент компании с просьбой о помощи. Это увеличивает риски компрометации инфраструктуры, поскольку технические специалисты доверяют коллегам и с высокой вероятностью запустят файл. Иногда адресаты сообщали о том, что письмо попало к ним по ошибке и предлагали имена других сотрудников организации, кому его следовало бы отправить.
Эффективность рассылок от лица поддельных компаний сегодня снижается (11% потенциально опасных действий), в то время как если сообщение приходит от имени реальной компании и реального человека, вероятность успеха взломщиков возрастает (33%). Именно так действует, к примеру, группировка Cobalt, которая в ходе атак использует фишинговые письма не только через поддельные доменные имена, но и от лица сотрудников реальных банков и компаний-интеграторов, инфраструктура которых была для этого предварительно взломана.
Киберпреступники используют страх, жадность, надежду и другие эмоции для повышения эффективности своих атак. Поэтому в темах своих писем они используют фразы вроде «список сотрудников на увольнение» (спровоцировали 38% потенциально опасных действий), «выплаты премий за год» (25%) и т. п. При получении таких сообщений люди часто забывают об элементарных правилах безопасности.
Электронная почта — далеко не единственный инструмент социальной инженерии. Злоумышленники часто звонят сотрудникам компаний по телефону, чтобы, например, представиться специалистом техподдержки и получить важные данные или заставить собеседника совершить нужное действие. Классический пример — звонок рано утром в воскресенье с просьбой срочно явиться на работу. Когда в итоге смущенному сотруднику говорят, что можно и просто продиктовать свой пароль, чтобы «специалисты» разобрались во всем сами, — многие с радостью соглашаются.
«Наше исследование процессов обеспечения ИБ в российских компаниях показало, что 38% организаций вообще не проводят тренинги для сотрудников по вопросам ИБ, а 37% делают это формально, без какой-либо проверки эффективности, — комментирует аналитик Positive Technologies Дмитрий Каталков. — Для снижения вероятности успешной атаки с применением методов социальной инженерии важно периодически проводить обучение, с контролем информированности каждого сотрудника».