Блог

Социальная инженерия: как человеческий фактор ставит бизнес под удар

Почему инженеры по кибербезопасности начинают с проверки сотрудников?

В современном мире злоумышленники все чаще атакуют не системы, а людей. Социальная инженерия, или социотехнические атаки, прочно вошла в арсенал инструментов киберпреступников.
Дело в том, что, человеческий фактор является самым слабым звеном в цепочке корпоративной безопасности. Гораздо проще и быстрее вынудить сотрудников раскрыть пароли, перевести средства или открыть доступ к корпоративным системам, чем взламывать сложные системы защиты. По данным исследований, более 90% успешных кибератак начинаются именно с фишинга — одного из методов социальной инженерии.
Для оценки уровня уязвимости компании к таким атакам, СофтБаланс проводит проверки на фишинг. За это отвечают пентестеры, или тестировщики на проникновение, — это «белые хакеры», которые легально взламывают системы, чтобы обнаружить слабые места в их безопасности. Их цель — помочь организациям устранить риски и защитить информацию от реальных атак. Пентестеры моделируют реальные сценарии атак, отправляя сотрудникам фишинговые письма, чтобы выяснить, насколько персонал готов противостоять манипуляциям. Такие проверки не только помогают выявить слабые места, но и повышают осведомленность сотрудников, что является ключевым элементом защиты от социальной инженерии.
В этой статье мы разберем кейс из нашей практики и наглядно покажем: как социотехнические атаки становятся угрозой для бизнеса, почему человеческий фактор так важен в вопросах безопасности и как компании могут защитить себя от злоумышленников.

Реальный кейс: почему хакеры начинают взламывать бизнес через сотрудников?

Наши специалисты проводили комплексную проверку защищенности бизнеса клиента от хакерских атак. Один из этапов как раз заключался в проверке действий сотрудников во время фишинговой атаки.
Всем сотрудникам компании были отправлены письма, замаскированные под корпоративные, с требованием ознакомиться с изменениями в полисе ДМС. Чтобы открыть файл сотруднику предлагалось ввести свой пароль и логин на поддельном ресурсе, который был замаскирован под интерфейс почтового клиента Outlook.
Поддельный ресурс, имитирующий почтовый клиент Outlook
В результате рассылки один из руководителей предоставил свои данные.
Таким образом, если бы рассылка проводилась настоящими хакерами — они бы смогли прочитать всю корпоративную переписку руководителя отдела.
Дальнейшая проверка защищенности внутренней сети показала, что одной почтой злоумышленники бы не ограничились. Полученная учетная запись имела административный доступ на несколько устройств (что уже само по себе представляет риск). С одного из таких компьютеров специалистам удалось произвести выгрузку хешей из SAM — базы данных, хранящей пароли пользователей.
Примечательно, что Kaspersky Endpoint Security способен предотвращать такие атаки. Однако, на устройстве с которого была произведена выгрузка хешей Kaspersky Endpoint Security установлен не был.
Среди выгруженных данных был обнаружен хеш пароля администратора Active Directory. Поскольку ранее данная учётная запись использовалась для подключения к устройству.
С новым хешем удалось получить права администратора домена, после чего были выгружены все учётные записи в домене, а также пароли, сохраненных в браузерах пользователей. С помощью добытых учетных записей специалистами был получен доступ к панели управления Kaspersky Security Center, что, в случае реальной атаки, позволяет загрузить вредоносное ПО на все устройства, где установлен Kaspersky Endpoint Security. В результате, злоумышленник мог бы получить доступ к любому устройству в домене.
Наши специалисты выделили 2 наиболее вероятных вектора атаки:
Полная компрометация партнёрских порталов и внешних ресурсов
  1. Получение УЗ руководителя с административным доступом
  2. Подключение к устройству с помощью административного доступа
  3. Выгрузка хешей паролей из SAM
  4. Получение УЗ администратора Active Directory
  5. Выгрузка хешей паролей из NTDS. dit
  6. Доступ к контроллеру домена
  7. Сбор локально сохранённых паролей с рабочих станций
  8. Полный доступ ко всем внешним ресурсам компании
Вектор №1: полная компрометация
Шифрование информационных активов компании

  1. Получение УЗ руководителя с административным доступом
  2. Подключение к устройству с помощью административного доступа
  3. Выгрузка хэшей паролей из SAM
  4. Получение УЗ администратора Active Directory
  5. Выгрузка хешей паролей из NTDS. dit
  6. Доступ к контроллеру домена
  7. Выгрузка административной УЗ из LSA
  8. Доступ к Kaspersky Security Center
  9. Добавление вредоносного ПО в белый список и его удалённая установка
  10. Шифрование всех информационных активов компании
Вектор №2: шифрование активов
Таким образом, тестирование на проникновение показало, что в случае фишинговой атаки в руках хакера могли бы оказаться: сервер виртуализации, Kaspersky Endpoint Security и внешние партнёрские платформы, например, личный кабинет партнёра 1С.
Практика показывает, чаще всего администратор домена Active Directory является администратором всей корпоративной сети. А значит, завладев подобной учетной записью, хакер может легко получить самые высокие права в сети компании подключившись к рабочим станциям других сотрудников или серверам.

Потенциальные последствия

Административный доступ к Active Directory позволяет зашифровать данные на всех корпоративных устройствах, украсть корпоративные и партнёрские аккаунты, что в свою очередь может привести к полной остановке работы.
Как правило, после такого злоумышленники требуют огромный выкуп за данные, однако на порядочность хакеров надеяться не стоит — перевод денег никоим образом не гарантирует восстановление данных.
Устранение последствий атаки дело не быстрое, и всё это время бизнес может простаивать, что влечет за собой: срыв договоров, подрыв доверия клиентов и партнёров и другие неприятные последствия.
Но если клиенты могут прийти и уйти, то вот от регулирующих органов не спрятаться. Например, довольно часто хакеры шифруют базы 1С: и по очевидным причинам компания не сможет вовремя сдать бухгалтерскую отчетность и корректно рассчитать налоги, за что ей грозит штраф.
Важно понимать, что взломом вашей компании злоумышленники могут не ограничиться и прийти уже к вашим клиентам. Не говоря уже о том, что законодательство в сфере персональных данных постоянно ужесточается и за подобную утечку может грозить крупный штраф.
К счастью, в рассматриваемом кейсе сценарий пошел по другому пути. А всё потому, что дыру в безопасности обнаружили не преступники, а инженеры СофтБаланс. В конечном итоге были разработаны рекомендации, позволяющие минимизировать шанс возникновения ситуации, описанной выше.

Почему фишинг остается самым популярным методом атак?

Итоги 2024 года показали, что рост атак на российские компании в следующие несколько лет будет только увеличиваться, что в свою очередь уже успело привести к существенному повышению спроса на услуги в сфере информационной безопасности.
Количество инцидентов связанных с фишингом бьет все рекорды:
  • Выводы ведущих компаний в данной сфере совпадают: доля атак с использованием социальной инженерии в 2024 году составила 51%.
  • ТАСС сообщает об увеличении количества фишинговых атак в РФ на 425% в 2024 году.
  • Solarотмечает расцвет фишинга — число выявленных поддельных ресурсов за I-III кварталы 2024 года выросло на 116% в сравнении с тем же периодом прошлого года.
  • По данным Positive Technologies за 2023 и 2024 года в 48% атак на организации и в 92% атак на частных лиц использовались методы социальной инженерии. Используемые злоумышленниками каналы социальной инженерии:
Какие каналы социнженерии чаще всего используют злоумышленники: статистика
Фишинг один из самых опасных видов атак, поскольку не требует сложных технических навыков — он основан на манипуляции человеческими эмоциями. Часто подобная атака — это лишь первое звено в цепочке, поскольку ее легко масштабировать. Даже если сработает лишь небольшой процент, этого достаточно для успешного взлома.
Осложняет ситуацию и то, что вариаций подобных атак уйма: от мошеннических сайтов и телефонных звонков до писем и флешек с вредоносными файлами.
К сожалению, даже высококвалифицированные сотрудники могут быть обмануты, если письмо выглядит убедительно и вызывает доверие. И поэтому особенно важно проводить регулярные проверки сотрудников, чтобы оценить, как они себя поведут в подобной ситуации. Защита системы — это комплексный подход, и не стоит забывать, что люди тоже ее часть.
Чтобы минимизировать риски фишинговых атак, компаниям необходимо:
  • Обучать сотрудников
Регулярное обучение: проводите тренинги по кибербезопасности, чтобы сотрудники умели распознавать фишинговые письма, подозрительные ссылки и вложения.
Симуляции фишинга: организовывайте тестовые фишинговые атаки для сотрудников, чтобы оценить их готовность и улучшить навыки распознавания угроз.
Информирование о новых угрозах: держите сотрудников в курсе новых методов фишинга.
  • Использовать технические меры защиты
Фильтрация входящей почты: используйте антиспам-решения и системы анализа почты для блокировки подозрительных писем (например, DMARC, SPF, DKIM, rspamd, Proxmox Mail Gateway).
Защита от вредоносных ссылок и вложений: внедрите решения для проверки URL и файлов (например, песочницы для анализа вложений).
Двухфакторная аутентификация (2FA): обязательно используйте 2FA для всех критически важных систем, чтобы даже при утечке паролей злоумышленники не смогли получить доступ.
Обновление ПО: регулярно обновляйте операционные системы, браузеры и антивирусные программы, чтобы закрыть известные уязвимости.
Хранение паролей: исключите возможность хранения паролей в браузере, вместо этого используйте корпоративное хранилище паролей.
Антивирусное ПО: установите и постоянно обслуживайте антивирусное программное обеспечение на всех устройствах в корпоративной сети.
  • Внедрить организационные меры
Политика безопасности: разработайте и внедрите политику кибербезопасности, которая включает правила работы с почтой, ссылками и вложениями.
Ограничение прав доступа: применяйте принцип минимальных привилегий, чтобы ограничить доступ сотрудников к критически важным данным и системам.
Процедуры реагирования: создайте четкий план действий на случай успешной фишинговой атаки, включая изоляцию зараженных систем и уведомление ответственных лиц.
  • Мониторить и анализировать
Логирование и анализ: ведите журналы активности пользователей и анализируйте подозрительные действия (например, массовые отправки писем или попытки доступа к защищенным ресурсам).
  • Ввести культуру безопасности
Поощрение бдительности: создайте культуру, в которой сотрудники не боятся сообщать о подозрительных письмах или действиях.
Регулярные проверки: проводите пентесты и аудиты, чтобы выявить слабые места и улучшить защиту.
  • Работать с внешними угрозами
Защита доменов: регистрируйте похожие доменные имена, чтобы злоумышленники не могли использовать их для фишинга.

Заключение

Социальная инженерия — как никогда актуальная угроза, с которой уже успели столкнуться многие компании. Но этой угрозе можно и нужно противостоять: регулярное проведение пентестов, обучение сотрудников и создание системы управления информационной безопасностью — помогают сохранить бизнес и сосредоточиться на его развитии.
Легче предотвратить инцидент, чем разбираться с его последствиями. Доверьте безопасность вашего бизнеса профессионалам!
Направление информационной безопасности СофтБаланс поможет вам выявить уязвимости, усилить защиту и минимизировать риски. Не ждите, пока проблема станет критической — действуйте на опережение!
Пройдите тестирование безопасности в этом году!
Оставьте заявку — и наши эксперты подберут для вас оптимальное решение с учетом ваших потребностей и бюджета.
Ваша безопасность — наш приоритет!