Претекстинг (предлог) — это тип атаки социальной инженерии, при которой злоумышленник с помощью заранее подготовленного выдуманного сценария пытается убедить жертву выдать секретную информацию или совершить определенное действие.
Одним из примеров претекстинга является ситуация, когда злоумышленник хочет узнать пароль от личного кабинета Интернет-банка у человека. Он звонит жертве по телефону и представляется сотрудником банка, просит назвать пароль, ссылаясь на серьезные технические проблемы в системе организации. Для большей убедительности он называет вымышленное имя сотрудника и его должность. Чтобы заставить жертву поверить, социальный хакер может наполнить свою историю правдоподобными деталями, сыграть на чувствах самой жертвы. После успешно проведенной атаки злоумышленник использует полученный пароль для входа в личный кабинет и кражи средств.
В таких случаях для правдоподобного предлога необходимы два компонента социальной инженерии:
1) Правдоподобный сценарий. Сценарий представляет собой последовательность правдоподобных ситуаций и событий, созданных и направленных социальным инженером для манипулирования целью и извлечения ценной информации.
Злоумышленники с предлогом заранее проводят обширные исследования, чтобы разработать сценарий, который цель считает правдоподобным. Чтобы создать реалистичную историю, они могут проверить социальные сети цели, чтобы узнать все, что могут, — от мест, которые посещает их цель, до людей, с которыми они встречаются. Кроме того, злоумышленники могут взломать электронную почту цели, чтобы восстановить недавние квитанции о покупках, данные онлайн-подписки или даже банковскую информацию.
Собирая все информационные следы вместе, злоумышленники могут сделать выводы о личности цели, образе жизни и работе. Это помогает им сфабриковать реалистичную историю и выдать себя за правдоподобного персонажа, чтобы завоевать доверие цели и в итоге манипулировать ею.
Таким образом, признаками правдоподобного сценария являются:
1. собирание информации о потенциальной жертве и её окружении заранее для создания доверительных отношений при общении;
2. предварительная подготовка текста диалога с жертвой на основании анализа полученных данных.
2) Персонаж. Правдоподобная ситуация предполагает, что социальный инженер играет «роль», очень похожую на роль актера. Это не обязательно означает выдавать себя за кого-то реального, на самом деле, это чаще вымышленный персонаж.
Вымышленным персонажем может являться сотрудник технической поддержки сотового оператора или программы, которой пользуется человек, инженер, менеджер, сотрудник банка, сотрудник отдела кадров, бизнес-партнер, представитель компании, клиент, новый сотрудник, давний знакомый, родственник, коллега.
Предлог работает, заставляя своих жертв неосознанно участвовать в придуманных сценариях, не осознавая этого. Чтобы это произошло, должны быть выполнены два основных условия:
1. Сценарий должен быть правдоподобным.
2. Злоумышленник должен хорошо играть свою роль.
Претекстинг (предлог) напрямую связан с другими техниками социальной инженерии, такими как:
1. Фишинг – атаки на базе электронной почты, направленные на конкретного человека или всю организацию в целом, с целью побудить людей переходить по вредоносным ссылкам или предоставлять свои учетные данные/другую личную информацию, использующие правдоподобный предлог. Основная работа претекста заключается в том, чтобы завоевать доверие жертв, показывая им поддельные электронные письма и имитируя некоторых уполномоченных сотрудников.
2. Смишинг – SMS-фишинг, форма социальной инженерии, аналогичная мошенничеству и фишингу. Он использует те же методы, но поддерживается с помощью SMS или текстовых сообщений.
3. Вишинг – это атака социальной инженерии посредством голосовой связи, то есть с помощью обманных телефонных звонков. Некоторые мошенники используют подмену идентификатора вызывающего абонента. Такие манипуляции позволяют им имитировать телефонные номера респектабельных людей или учреждений. Таким образом, этот трюк может сделать выдуманные сценарии более правдоподобными.
Так как предлог — это форма социальной инженерии, направленная, в основном, на получение конфиденциальной информации, мошенники могут требовать следующие данные во время телефонных звонков, сообщений или фишинговых писем:
— имена пользователей;
— пароли;
— PIN-коды;
— данные банковских карт;
— информацию о кредитной карте;
— адреса (домашний или рабочий);
— адрес электронной почты;
— телефонные номера;
А также с помощью данной техники злоумышленник может убедить свою цель загрузить вредоносное программное обеспечение или перейти на вредоносный веб-сайт.
Методы противодействия претекстингу
Жертвой атаки с использованием предлога может стать как простой пользователь, так и сотрудник какой-либо компании. В первом случае основной мотив злоумышленника – корысть, во втором случае – получение доступа в корпоративную сеть с целью кражи данных, конкурентной разведки, нарушения работы информационных систем. Даже надежно защищенная при помощи новейших технических и аппаратных средств и изолированная от сети Интернет информационная система уязвима к атакам подобного рода просто потому, что с ней работают и ею управляют люди.
Атаки под предлогом и другие атаки социальной инженерии используют следующие слабые места человека:
1) Недостаточная осведомленность. Сотрудники не всегда осведомлены об угрозах, с которыми они могут столкнуться, и о последствиях, к которым могут привести такие столкновения.
2) Пренебрежение лучшими практиками кибербезопасности. Даже когда сотрудники знают об угрозах, с которыми они сталкиваются, они иногда игнорируют основные рекомендации по кибербезопасности, потому что не считают их достаточно важными.
3) Доверчивость. Некоторые сотрудники и пользователи более доверчивы, чем другие, что делает их уязвимыми для тактики, используемой при атаках под предлогом.
Чтобы усилить свою защиту и защиту организации от социальных инженеров и затруднить злоумышленникам использование описанных выше недостатков с помощью предлогов, рекомендуется придерживаться следующих защитных мер:
1. Быть в курсе предлогов и в поиске мошенников. Рассматривать возможность социальной инженерии всякий раз, когда приходят нежелательные текстовые сообщения, звонки или электронные письма.
2. Не размещать в социальных сетях информацию, которая позволяла бы определить местожительство, местонахождение, материальное положение потенциальной жертвы. А также не размещать там данные о банковских карточках (их фото) или реквизиты для доступа к системам дистанционного банковского обслуживания.
3. Никогда не сообщать личные данные. Многие мошенники выступают в роли какого-либо сотрудника банка или другого учреждения и пытаются расспросить о таких деталях, как номер карты, срок действия, сумма, имя, логин и пароль от учетной записи и другие личные данные. Необходимо помнить, что сотрудники банка не имеют права запрашивать номер банковской карты, CVV/CVC-код и иную информацию, позволяющую произвести списание денежных средств.
4. Так как социальные инженеры часто используют иллюзию срочности в расчете на то, что жертва не будет особо задумываться о происходящем. Всего минута размышлений может помочь выявить и предотвратить атаку.
5. Быть осторожным с предложениями, которые кажутся «слишком хорошими, чтобы быть правдой».
6. Сотруднику необходимо всегда требовать показать удостоверение личности у любого, кто пытается проникнуть на его рабочее место или поговорить с ним лично. Удостоверение личности часто подделать сложнее, чем форму. Это должно помочь отсеять любых враждебных участников и помочь поддерживать безопасность бизнеса.
7. Никогда не предоставлять пароли, личную и конфиденциальную информацию, если нет уверенности в человеке, с кем ведется разговор.
8. Не вестись на то, что кто-то ведет себя очень вежливо и дружелюбно, когда просят что-то сделать или помочь. Мошенники почти всегда ведут себя вежливо, чтобы получить доверие жертвы.
9. Если кто-то из знакомых неожиданно просит предоставить личную информацию или даже деньги, следует связаться с этим человеком другими способами для проверки, в идеале, используя контактную информацию, которая является подлинной.
10. Не разглашать конфиденциальную информацию непроверенным и незнакомым лицам по электронной почте, телефону или текстовым сообщениям.
11. Всегда с подозрением относиться к непрошеным «срочным» просьбам.
12. Если компания, с которой ведется бизнес, запрашивает информацию по телефону или электронной почте, нужно сообщить ей, что для защиты от кражи личных данных необходимо будет возобновить контакт с компанией по надежному каналу.
13. Иметь средства безопасности. Хороший антивирус может избавить от очень важных угроз в виде вредоносных программ. Это может помочь проанализировать оборудование, выявить опасности и устранить их. Существует множество видов антивирусов, брандмауэр и других компонентов, которые можно установить на компьютеры. Если вдруг предлогом станет скачивание какого-либо приложения, антивирус предупредит об угрозе и вовремя сможет остановить необдуманные действия.
14. Очень важно всегда правильно обновлять оборудование и таким образом избегать проблем с защитой данных.
15. Не нажимать на неизвестные ссылки в любом электронном письме, если оно выглядит подозрительно или призывает к действию, вместо этого следует перейти на надежную веб-страницу.
16. Не открывать вложения электронной почты в подозрительных письмах. Причина, по которой не стоит этого делать, заключается в том, что эти вложения могут быть вредоносными файлами, которые будут загружаться на компьютер (незаметно для жертвы) и красть личную информацию. Простое открытие электронной почты не повредит устройству, но нажатие на подозрительные вложения может.
17. Для организаций крайне важно ограничить доступ к конфиденциальным системам и данным путем внедрения надежных средств контроля доступа, таких как многофакторная аутентификация (MFA). Таким образом, даже такая серьезная вещь, как утечка пароля, не обязательно приведет к утечке данных. То же самое касается и обычных пользователей, которым также стоит везде применять многофакторную аутентификацию.
18. Установить протоколы безопасности, политики и процедуры для обработки конфиденциальной информации.
19. Обращать внимание на ложные электронные письма от крупных компаний. Мошенники под предлогом не только выдают себя за отдельных лиц. Они также отправляют электронные письма, которые выглядят так, как будто они отправляются определенными компаниями.
20. Обеспечить каждого сотрудника обучением по вопросам безопасности, чтобы они могли построить защиту от человеческой ошибки.
21. Повысить осведомленность пользователей и сотрудников о том, какие типы атак под предлогом бывают, как они работают, как распознавать схемы под предлогом и надлежащим образом реагировать на них путем предоставления реальных или типичных примеров предлогов и проведения киберучений.