Социальная инженерия.
Взгляд «Лаборатории Касперского»
Что показал минувший 2021 год в плане активности преступников, деятельность которых нацелена на банкинг и платежную индустрию? Каковы ключевые катализаторы роста социальной инженерии и методы противодействия ей? Эти и другие, не менее актуальные вопросы мы обсуждаем с Кириллом Кулаковым, техническим консультантом «Лаборатории Касперского».
ПЛАС: В начале нашей беседы расскажите, пожалуйста, о наиболее опасных направлениях преступной деятельности в сфере банкинга и платежной индустрии, которые проявились в 2021 году и остаются актуальными в наступившем 2022-м.
К. Кулаков: В 2021 году мы наблюдали за развитием нескольких основных угроз.
Во-первых, не теряют актуальности инструменты социальной инженерии: телефонное мошенничество, фишинг и скам. Злоумышленники продолжают эксплуатировать актуальную новостную повестку, в том числе пандемию, в своих схемах и легендах, которые постоянно эволюционируют и усложняются. Для большей убедительности мошенники зачастую обращаются к пользователям якобы от имени известных брендов, в том числе банков и торговых сетей.
Во-вторых, сохраняются угрозы, связанные с продолжающимся переходом на удаленный и гибридный режим работы в компаниях по всему миру. Злоумышленники используют уязвимости технологий работы из дома, часто в сильной спешке внедряемых организациями. В основном атаки были нацелены на устаревшие, неисправленные и недавно обнаруженные уязвимости, а также на получение начального доступа с помощью приемов той же социальной инженерии.
В-третьих, продолжает расти количество кибератак, в ходе которых используются разные облачные хранилища. Ускоренное внедрение облачных инфраструктур позволяет злоумышленникам воспользоваться уязвимостями при переходе на новые модели работы и пользовательского поведения. Взлом внешних облачных ресурсов является сегодня более распространенной причиной инцидентов, чем взлом локальных. При этом взломанные ресурсы обычно оказывались недостаточно надежно защищены или не имели развернутой многофакторной аутентификации.
Одной из ключевых угроз остаются программы- шифровальщики. Злоумышленники, использующие шифровальщиков, в последние годы постепенно переключаются на сложные таргетированные атаки на крупные компании. Цель таких атак — шантаж с целью получения выкупа за украденные данные.
Общая тенденция последних и ближайших лет заключается не только в росте количества киберугроз, но и в их усложнении. Сегодня большинство организаций, независимо от размера и сферы деятельности, работает с большими массивами данных, которые требуют бережного хранения и обработки. Поэтому потребность в надежных ИБ-решениях будет только расти.
К. Кулаков: В 2021 году мы наблюдали за развитием нескольких основных угроз.
Во-первых, не теряют актуальности инструменты социальной инженерии: телефонное мошенничество, фишинг и скам. Злоумышленники продолжают эксплуатировать актуальную новостную повестку, в том числе пандемию, в своих схемах и легендах, которые постоянно эволюционируют и усложняются. Для большей убедительности мошенники зачастую обращаются к пользователям якобы от имени известных брендов, в том числе банков и торговых сетей.
Во-вторых, сохраняются угрозы, связанные с продолжающимся переходом на удаленный и гибридный режим работы в компаниях по всему миру. Злоумышленники используют уязвимости технологий работы из дома, часто в сильной спешке внедряемых организациями. В основном атаки были нацелены на устаревшие, неисправленные и недавно обнаруженные уязвимости, а также на получение начального доступа с помощью приемов той же социальной инженерии.
В-третьих, продолжает расти количество кибератак, в ходе которых используются разные облачные хранилища. Ускоренное внедрение облачных инфраструктур позволяет злоумышленникам воспользоваться уязвимостями при переходе на новые модели работы и пользовательского поведения. Взлом внешних облачных ресурсов является сегодня более распространенной причиной инцидентов, чем взлом локальных. При этом взломанные ресурсы обычно оказывались недостаточно надежно защищены или не имели развернутой многофакторной аутентификации.
Одной из ключевых угроз остаются программы- шифровальщики. Злоумышленники, использующие шифровальщиков, в последние годы постепенно переключаются на сложные таргетированные атаки на крупные компании. Цель таких атак — шантаж с целью получения выкупа за украденные данные.
Общая тенденция последних и ближайших лет заключается не только в росте количества киберугроз, но и в их усложнении. Сегодня большинство организаций, независимо от размера и сферы деятельности, работает с большими массивами данных, которые требуют бережного хранения и обработки. Поэтому потребность в надежных ИБ-решениях будет только расти.
ПЛАС: Телефонное мошенничество с использованием приемов социальной инженерии продолжает набирать обороты и остается одним из наиболее опасных в российском банковском сегменте. Какие факторы, на ваш взгляд, в наибольшей степени повлияли на развитие социальной инженерии в России?
К. Кулаков: Росту объемов мошенничества с применением социальной инженерии и, в частности, телефонного мошенничества поспособствовало несколько факторов. Во-первых, относительно высокий уровень развития онлайн-банкинга и как следствие стремительный рост объемов онлайн-платежей. Во-вторых, свою роль сыграла пандемия. Пользователи стали проводить больше времени в сети, стремительно вырос сектор онлайн-услуг, а значит, у злоумышленников появилось множество дополнительных возможностей добраться до своих жертв.
Третья причина — зачастую такие преступления совершаются с территорий других государств, что усложняет проведение следствия и поимку преступников.
Еще один момент, который важно учитывать, — это то, что мошенники умело используют такие эмоции потенциальной жертвы, как жадность и страх. Сегодня, как известно, галопирующая инфляция и обесценивание заработков уже сами по себе заметно давят на психику пользователей, и при разговоре с мошенниками людей быстро охватывает паника и, соответственно, они становятся очень удобным объектом для манипулирования.
К. Кулаков: Росту объемов мошенничества с применением социальной инженерии и, в частности, телефонного мошенничества поспособствовало несколько факторов. Во-первых, относительно высокий уровень развития онлайн-банкинга и как следствие стремительный рост объемов онлайн-платежей. Во-вторых, свою роль сыграла пандемия. Пользователи стали проводить больше времени в сети, стремительно вырос сектор онлайн-услуг, а значит, у злоумышленников появилось множество дополнительных возможностей добраться до своих жертв.
Третья причина — зачастую такие преступления совершаются с территорий других государств, что усложняет проведение следствия и поимку преступников.
Еще один момент, который важно учитывать, — это то, что мошенники умело используют такие эмоции потенциальной жертвы, как жадность и страх. Сегодня, как известно, галопирующая инфляция и обесценивание заработков уже сами по себе заметно давят на психику пользователей, и при разговоре с мошенниками людей быстро охватывает паника и, соответственно, они становятся очень удобным объектом для манипулирования.
Еще одной причиной растущего распространения социальной инженерии в РФ является широкая доступность персональных данных и их низкая стоимость на черном рынке. Все это предоставляет мошенникам широкое поле для деятельности. На каждом этапе реализации той или иной преступной схемы можно найти избыток предложений, будь то сервис по отмыванию денежных средств, call-центры, базы персональных данных и т. п. В текущих реалиях уже не нужно самостоятельно создавать всю инфраструктуру для того, чтобы вести успешную мошенническую деятельность, — достаточно лишь ее грамотно организовывать и находить исполнителей, с которыми в силу упомянутых причин также нет особых затруднений.
Мошенникам также важны дополнительные экономические факторы, такие как простота реализации самой атаки, процент успешности, отношение вложенных в атаку средств к полученной прибыли. И чтобы снизить количество атак с использованием социальной инженерии, необходимо влиять на данные факторы, делая все для того, чтобы такие атаки были неэффективными и экономически невыгодными для мошенников.
Мошенникам также важны дополнительные экономические факторы, такие как простота реализации самой атаки, процент успешности, отношение вложенных в атаку средств к полученной прибыли. И чтобы снизить количество атак с использованием социальной инженерии, необходимо влиять на данные факторы, делая все для того, чтобы такие атаки были неэффективными и экономически невыгодными для мошенников.
ПЛАС: Какие сценарии социальной инженерии являются сегодня наиболее распространенными?
К. Кулаков: Мошенники продолжают использовать несколько популярных сценариев социальной инженерии. Из них можно выделить «Спасатель», «Инвестор» и «Офицер». Я назвал бы также четыре актуальных вектора атаки, которые используются на разных этапах реализации сценария: фишинг, вредоносное программное обеспечение (ВПО), мошеннические звонки и удаленный доступ.
При сценарии «Спасатель» преступники звонят клиенту банка, представляясь сотрудниками службы безопасности или сотрудниками правоохранительных органов, сообщают о подозрительном списании средств или платеже и предлагают свою помощь. Для предоставления помощи «спасатели» или «офицеры» просят клиента верифицировать себя через код, отправленный в SMS или push-уведомлении, под предлогом верификации самого клиента, остановки подозрительной операции или перевода денежных средств на «безопасный счет».
Эти рекомендации звучат очень убедительно, причем мошенники постоянно совершенствуют не только свои скрипты разговора, но и подходы, а также инструментарий. Переводят жертву на роботизированные системы для ввода кода из SMS, просят ввести его в тоновом режиме, установить специальное приложение с техподдержкой (которое потом оказывается, к примеру, RATом для удаленного доступа или вредоносной программой: троянцем, шпионским ПО или шифровальщиком), понимая, что так к процедуре у потребителя больше доверия.
С первых же минут разговора они завоевывают доверие абонента, показывая, что знают то, что может знать только банк, — не только ФИО и паспортные данные, но и последние транзакции. Таким образом, у опытного мошенника наготове несколько инструментов и сценариев «обработки» жертвы, что значительно повышает вероятность успешной атаки.
К. Кулаков: Мошенники продолжают использовать несколько популярных сценариев социальной инженерии. Из них можно выделить «Спасатель», «Инвестор» и «Офицер». Я назвал бы также четыре актуальных вектора атаки, которые используются на разных этапах реализации сценария: фишинг, вредоносное программное обеспечение (ВПО), мошеннические звонки и удаленный доступ.
При сценарии «Спасатель» преступники звонят клиенту банка, представляясь сотрудниками службы безопасности или сотрудниками правоохранительных органов, сообщают о подозрительном списании средств или платеже и предлагают свою помощь. Для предоставления помощи «спасатели» или «офицеры» просят клиента верифицировать себя через код, отправленный в SMS или push-уведомлении, под предлогом верификации самого клиента, остановки подозрительной операции или перевода денежных средств на «безопасный счет».
Эти рекомендации звучат очень убедительно, причем мошенники постоянно совершенствуют не только свои скрипты разговора, но и подходы, а также инструментарий. Переводят жертву на роботизированные системы для ввода кода из SMS, просят ввести его в тоновом режиме, установить специальное приложение с техподдержкой (которое потом оказывается, к примеру, RATом для удаленного доступа или вредоносной программой: троянцем, шпионским ПО или шифровальщиком), понимая, что так к процедуре у потребителя больше доверия.
С первых же минут разговора они завоевывают доверие абонента, показывая, что знают то, что может знать только банк, — не только ФИО и паспортные данные, но и последние транзакции. Таким образом, у опытного мошенника наготове несколько инструментов и сценариев «обработки» жертвы, что значительно повышает вероятность успешной атаки.
Сценарий «Инвестор» выглядит следующим образом. Мошенники представляются сотрудниками инвестиционной компании или инвестиционными консультантами банка. Обзванивая его клиентов, они предлагают им быстро заработать путем инвестирования в криптовалюту либо в акции компании напрямую со счета клиента без дополнительного обращения в отделение банка. Для предоставления инвестиционной услуги мошенник просит потенциальную жертву сообщить код, присланный в SMS или push-уведомлении. Инструментарий при этом точно такой же: IVR, RAT, SIP. Разница лишь в том, откуда мошенники получают базу данных по клиентам. Сценарий «Инвестор» используется, если потенциальная жертва ранее интересовалась приумножением своих накоплений.
В 2021 году мы наблюдали эволюцию легенд и схем мошенников. Например, к уже ставшим «классическими» легендам о фейковых сотрудниках банков добавляются комбинированные схемы, в том числе с участием фейковых сотрудников правоохранительных органов (сценарий «Офицер») и других абонентов. В конце года мы также наблюдали резкий рост звонков, мимикрирующих под роботизированные обзвоны.
В 2021 году мы наблюдали эволюцию легенд и схем мошенников. Например, к уже ставшим «классическими» легендам о фейковых сотрудниках банков добавляются комбинированные схемы, в том числе с участием фейковых сотрудников правоохранительных органов (сценарий «Офицер») и других абонентов. В конце года мы также наблюдали резкий рост звонков, мимикрирующих под роботизированные обзвоны.
ПЛАС: Итак, мы логично переходим к следующему вопросу: какие направления и сценарии борьбы представляются актуальными сегодня, что делается и что предстоит сделать на этом фронте?
К. Кулаков: На мой взгляд, основных векторов решения проблем социнженерии два: технологический и социальный.
Использование технологий идентификации устройств, поведенческого анализа и пассивной биометрии, анализа репутации входящих звонков уже дает результат. Но тут важно понимать, что какая-то одна технология сама по себе не решит задачу детектирования новых мошеннических схем.
Стоит обратить внимание на такой подход, как построение профиля пользователя, который учитывает различные проявления цифровой личности и позволяет создать более точное представление о том, кем является ваш пользователь, в том числе:
Учитывая подобные характеристики, можно более точно оценивать риск каждой пользовательской онлайн-сессии. Продукты, имеющиеся в портфолио «Лаборатории Касперского», способны эффективно выявлять различные мошеннические схемы с применением методов социальной инженерии, сценарии отмывания денежных средств, атаки типа account takeover, new account fraud, автоматизированную бот-активность, а также выполнять регуляторные требования 382-П, 16-МР, ОПКЦ СБП (см. рис. 2 и рис. 3).
К. Кулаков: На мой взгляд, основных векторов решения проблем социнженерии два: технологический и социальный.
Использование технологий идентификации устройств, поведенческого анализа и пассивной биометрии, анализа репутации входящих звонков уже дает результат. Но тут важно понимать, что какая-то одна технология сама по себе не решит задачу детектирования новых мошеннических схем.
Стоит обратить внимание на такой подход, как построение профиля пользователя, который учитывает различные проявления цифровой личности и позволяет создать более точное представление о том, кем является ваш пользователь, в том числе:
- какие устройства он использует;
- какими картами он платит;
- из каких локаций и в какое время он совершает операции;
- типично ли для него использование средств удаленного администрирования или proxy/VPN;
- есть ли у пользователя во время совершения платежа активный звонок, и какая репутация у входящего номера;
- было ли устройство пользователя заражено тем или иным вредоносным ПО ранее;
- переходил ли он по фишинговым ссылкам;
- пользуется ли клиент эмулятором.
Учитывая подобные характеристики, можно более точно оценивать риск каждой пользовательской онлайн-сессии. Продукты, имеющиеся в портфолио «Лаборатории Касперского», способны эффективно выявлять различные мошеннические схемы с применением методов социальной инженерии, сценарии отмывания денежных средств, атаки типа account takeover, new account fraud, автоматизированную бот-активность, а также выполнять регуляторные требования 382-П, 16-МР, ОПКЦ СБП (см. рис. 2 и рис. 3).
Под социальным путем я подразумеваю повышение осведомленности массового потребителя о базовых принципах кибербезопасности и финансовой грамотности. Работа с людьми — процесс достаточно продолжительный и очень непростой. На текущий момент государством и бизнесом уже сделано немало в области социальной рекламы и геймификации сценариев атак в банковских мобильных приложениях. Не стоит забывать и про психологическую составляющую подобных атак. Мошенники во всех сценариях так или иначе пытаются максимально втереться в доверие к пользователю, а уже потом сыграть на страхе или жадности, вызывая оцепенение или эйфорию. В таком состоянии пользователь, к сожалению, зачастую не в состоянии себя адекватно контролировать. Чтобы повысить общий уровень цифровой грамотности населения, уже сейчас в школах, университетах и других образовательных учреждениях необходимо вводить предметы, основной задачей которых будет повышение финансовой грамотности и обучение принципам кибербезопасности. Также будет актуально создавать подобные курсы на различных образовательных платформах и для других категорий граждан.
В качестве примера можно привести «Урок цифры» — всероссийский образовательный проект, для которого «Лаборатория Касперского» разработала обучающие материалы и тренажеры на тему «Исследование кибератак». Цель занятий — познакомить школьников с работой специалистов в области информационной безопасности и рассказать об основах безопасного поведения в интернете. Уроки от «Лаборатории Касперского» проходили в школах по всей стране, их запись будет доступна на сайте проекта весь 2022 год. Интересно отметить, что, согласно данным опроса, проведенного по заказу «Лаборатории Касперского» в январе 2021 года компанией OMI (Online Market Intelligence), больше трети школьников (37%) хотели бы работать в сфере информационных технологий.
В качестве примера можно привести «Урок цифры» — всероссийский образовательный проект, для которого «Лаборатория Касперского» разработала обучающие материалы и тренажеры на тему «Исследование кибератак». Цель занятий — познакомить школьников с работой специалистов в области информационной безопасности и рассказать об основах безопасного поведения в интернете. Уроки от «Лаборатории Касперского» проходили в школах по всей стране, их запись будет доступна на сайте проекта весь 2022 год. Интересно отметить, что, согласно данным опроса, проведенного по заказу «Лаборатории Касперского» в январе 2021 года компанией OMI (Online Market Intelligence), больше трети школьников (37%) хотели бы работать в сфере информационных технологий.
ПЛАС: Совсем недавно была выявлена новая схема мошенничества с использованием социальной инженерии на порталах различных государственных структур. Ваше мнение, какие меры могли бы уберечь наших граждан от мошенничества с использованием массовых госсервисов в целом? Речь идет как о преступлениях, связанных с мнимыми предложениями социальных пособий, медицинских услуг и товаров, получением несанкционированного доступа к банковским счетам, платежным инструментам, так и о краже паспортных и иных личных данных граждан с последующим оформлением от их лица кредитов, доверенностей и т. п.
К. Кулаков: Необходима более тщательная проверка приложений от магазинов апплетов, а также более оперативная реакция на жалобы пользователей. К сожалению, сейчас нередки случаи, когда очевидное мошенническое приложение продолжает месяцами оставаться в топах Google Play и App Store.
Важно доносить до граждан, что существует некоторое количество конкретных прозрачных схем получения социальных выплат, а все остальные предлагаемые варианты, включая приложения, мимикрирующие под госуслуги, уже по определению являются фейками и инструментами преступников. Ну и, конечно, гражданам надо вести себя более осторожно по отношению к предложениям, на которые они откликаются. Почти в любой мошеннической схеме есть некоторый изъян, который сразу будет указывать на нереалистичность данного сценария. Это касается и выплат НДФЛ физлицам, и сверхвыгодных инвестиционных предложений, и иных проявлений невиданной щедрости.
К. Кулаков: Необходима более тщательная проверка приложений от магазинов апплетов, а также более оперативная реакция на жалобы пользователей. К сожалению, сейчас нередки случаи, когда очевидное мошенническое приложение продолжает месяцами оставаться в топах Google Play и App Store.
Важно доносить до граждан, что существует некоторое количество конкретных прозрачных схем получения социальных выплат, а все остальные предлагаемые варианты, включая приложения, мимикрирующие под госуслуги, уже по определению являются фейками и инструментами преступников. Ну и, конечно, гражданам надо вести себя более осторожно по отношению к предложениям, на которые они откликаются. Почти в любой мошеннической схеме есть некоторый изъян, который сразу будет указывать на нереалистичность данного сценария. Это касается и выплат НДФЛ физлицам, и сверхвыгодных инвестиционных предложений, и иных проявлений невиданной щедрости.
ПЛАС: Ситуация с социнженерией в странах ближнего и дальнего зарубежья — отличается ли она от российской, и если да, то как, насколько и за счет чего?
К. Кулаков: В странах ближнего зарубежья ситуация с социальной инженерией выглядит сегодня очень похожей на то, что происходит в РФ. Единственным принципиальным отличием здесь является некоторая технологическая специфика. Так, например, в Республике Беларусь банки используют в качестве средств коммуникации с пользователями различные мессенджеры. Конечно, мошенники поспешили взять эту особенность на вооружение и достаточно часто используют данные каналы для коммуникации с пользователями под видом «уполномоченных лиц».
Если же взглянуть на европейский рынок, то там продолжается рост цен на данные кредитных карт и учетных записей в онлайн-банкинге. Сценарии социальной инженерии используются в целом те же, что и у нас. Пользователи наиболее обеспокоены кражей данных банковских карт и кражей персональных данных. Но если сравнивать обеспокоенность мошенничеством как явлением, то за последний год рост потребительской обеспокоенности в целом по всему миру составил около 40%.
К. Кулаков: В странах ближнего зарубежья ситуация с социальной инженерией выглядит сегодня очень похожей на то, что происходит в РФ. Единственным принципиальным отличием здесь является некоторая технологическая специфика. Так, например, в Республике Беларусь банки используют в качестве средств коммуникации с пользователями различные мессенджеры. Конечно, мошенники поспешили взять эту особенность на вооружение и достаточно часто используют данные каналы для коммуникации с пользователями под видом «уполномоченных лиц».
Если же взглянуть на европейский рынок, то там продолжается рост цен на данные кредитных карт и учетных записей в онлайн-банкинге. Сценарии социальной инженерии используются в целом те же, что и у нас. Пользователи наиболее обеспокоены кражей данных банковских карт и кражей персональных данных. Но если сравнивать обеспокоенность мошенничеством как явлением, то за последний год рост потребительской обеспокоенности в целом по всему миру составил около 40%.
Контакты