Социалното инженерство все още е едно от най-големите предизвикателства за организациите. Осигуряването на ИТ инфраструктурата с най-новите актуализирани инструменти, които да осуетят новоприетите тактики, техники и процедури за киберпрестъпници (TTP) със сигурност има все по-голямо значение.
Хората продължават да бъдат най-слабото звено в киберсигурността. Verizon отбелязва в своя доклад за разследване на нарушения на данни за 2023 г., че 74% от общите нарушения са причинени от човешка грешка. От над 16 312 инцидента със сигурността, анализирани от Verizon, 5 199 са довели до пробиви на данни.
Проблемът е по-скоро психологически, отколкото технически. И така, подобно на повтарящата се неспособност на хората да отблъскват социалните инженери, компаниите отново разглеждат основите на социалното инженерство.
Какво е социално инженерство?
Социалното инженерство е използване на доверието, измама и манипулиране на психиката на човек, като той бъде убеден да кликне върху злонамерена връзка или прикачен файл чрез фишинг или да разкрие идентификационни данни. Успехът на социалното инженерство до голяма степен зависи от слабостта на „човешката защитна стена“.
Атаките чрез социално инженерство са номер едно сред най-успешните видове атаки от началото на компютрите и това няма изгледи да се промени скоро. Те заобикалят повечето технически защити, работят с всички платформи и всички езици и обикновено позволяват на атакуващия да влезе в периметъра, сякаш техническата защита дори не е била там.
Защо социалното инженерство е успешно?
Експертите вярват, че социалното инженерство като функция, основа или предшественик на други по-технически кибератаки е широко подценено. Именно то участва в 50% до 90% от атаките, но никоя компания не харчи дори 5% за борба с него. Това основно несъответствие е причината хакерите и техните творения на зловреден софтуер да са толкова успешни.
Социалното инженерство е ефективно, защото разчита на човешки качества (уязвимости). Това включва доверие, страх, задължение към авторитет и др.
Дрор Лиуър, съосновател на Coro, обяснява, че тъй като социалното инженерство не изисква почти никакви технически умения – практически всеки може да инициира атака чрез него. Той добавя, че „печалбата е сравнително голяма, тъй като това е измамна игра и залозите могат да бъдат много високи.“
Като силно персонализирана атака, тя изисква целенасочена интелигентност и висока степен на персонализиране. И двете отнемат време и усилия, за разлика от масовата фишинг атака. Въпреки че степента на успех може да не е висока, тя се балансира от сравнително по-висока от средната печалба.
Финансовата печалба е основният и най-важен мотив за участниците в заплахата да пробият корпоративни и индивидуални системи чрез социално инженерство. Например Caesars, която стана жертва след MGM през септември 2023 г., плати приблизително половината от поискания от нея откуп от 30 милиона долара.
Общи инструменти, използвани в социалното инженерство
Социалното инженерство може да бъде силно динамично и неограничено от гледна точка на технически управляваните атаки. Обезпокояващото обикновено е, че хората в цялата организационна структура, независимо дали са ръководители от най-високо ниво или обикновен служител, са изложени на риск.
Като се има предвид, че силно субективният човешки ум е първата линия на защита срещу атаки на социалното инженерство, експертите са съгласни, че елиминирането е далечна възможност. Потребителите обаче могат да се обучат да идентифицират признаци на метода на проникваща атака.
Те трябва постоянно да внимават за издайническите признаци, включително страх, любопитство, гняв или всякакви други молби, предизвикващи емоции. Създаването на чувство за неотложност също е червен флаг. Например имейл, който подканва потребителите бързо да подновят абонамента си за антивирусна услуга, за да не станат жертва на кибератака, е класически опит за фишинг чрез социално инженерство.
Нападателите могат също така да се възползват от природни бедствия, икономическо сътресение, спортни, празнични, политически събития и здравни кризи, наред с други събития, за да примамят субектите да действат по нещо, което не трябва да правят.
Още един важен аспект на социалното инженерство е непоисканата комуникация, било то чрез имейл, телефонно обаждане, SMS или нещо друго, което изисква лична или финансова информация.
Повечето компании обучават служители веднъж годишно, за да забелязват такива атаки. Според специалистите обаче това не е достатъчно. Все по-често се препоръчва на организациите да провеждат ежемесечно обучение и поне веднъж месечно симулирани фишинг тестове, за да подпомогнат обучението на своите служители.
Освен образованието, организациите могат да предприемат няколко технически мерки, включително антивирусен софтуер, защитни стени, имейл филтри и многофакторно удостоверяване.