«Асоциальная» инженерия: роль человеческого фактора в борьбе с хакерами

Человеческий фактор – это одна из неискоренимых проблем информационной безопасности. Сколь бы не была эшелонирована оборона инфраструктуры компании – всегда найдется сотрудник, который осознанно или по невнимательности перейдет по фишинговой ссылке и заразит свое устройство вредоносным ПО, либо скомпрометирует данные учетной записи.

Однако, человеческий фактор работает и в обратную сторону, поскольку киберпреступники – тоже люди. Им свойственно ошибаться, быть невнимательными или просто поддаваться на те или иные приманки, которые используют специалисты по ИБ или форензики. Нередко к поимке хакера приводит и вовсе случай. Например, невовремя «отвалившийся» VPN.

В этой статье будут разобраны основные поведенческие и социальные факторы, которые ведут к деанонимизации киберпреступников и их последующей поимке, а также программные решения, которые помогают «эксплуатировать человеческие уязвимости».

Как работают хакеры

Основное оружие хакера – это не ВПО и не исключительные знания об уязвимостях в атакуемой системе, а социальная инженерия. С ее помощью можно получить доступ к целевой инфраструктуре, узнать платежные данные огромного количества людей или заразить устройство пользователя.

Никита Леокумович

Руководитель отдела реагирования и цифровой криминалистики Angara Security

Основной и единственный инструмент хакера, направленный на человеческий фактор, – это социальная инженерия. Под этим термином подразумеваются способы манипулирования людьми для получения от них информации или выполнения ими каких-либо действий. Применяющие методы социальной инженерии люди воздействуют на наши эмоции.

Например, вызывают страх: в браузере резко всплывает «окно» и сигнализирует о заражении компьютера. Или поступает о звонок о том, что в беду попал близкий человек. Пользуются человеческим любопытством, которое заставляет вставлять в компьютер найденную флеш-карту или кликнуть на яркую рекламу. Воздействуют на желания с помощью нехитрых обращений – «Вы выиграли миллион», «Вложи 10 рублей и через неделю получи 100000».

Какие техники существуют:

Фишинг (Phishing) – использование коммуникаций для обмана и получения выгоды от пользователей. Есть несколько типов фишинговых кибератак.

1. Вишинг. Для введения жертвы в заблуждение преступники используют телефон. Например, злоумышленник может представиться сотрудником банка или страховой компании и под предлогом рекламы новых услуг выяснить личные данные собеседника.

2. Смишинг – это фишинг посредством SMS-сообщений.

3. Целевой фишинг нацелен на конкретного человека или организацию. Он подразумевает большой предварительный период разведки и сбора информации о жертве.

4. Фишинг, нацеленный на топ менеджеров компании, – это разновидность целевого фишинга, но жертвой является очень известное лицо либо крупная организация.

5. Клон-фишинг – использование похожих поддельных адресов для обмана жертвы. Например, настоящий ресурс госуслуг выглядит так – gosuslugi.ru, а поддельный ресурс использует очень похожий набор символов – golusugi.ru.

Поддавшиеся искушению люди не успевают оценить опасность ситуации и сами сообщают злоумышленникам чувствительную информацию либо выполняют какие-либо действия.

При этом, социальная инженерия применяется для самых разных видов атак и целей, от создания ботнета или взлома компании, до массового спама и дестабилизации настроения отдельных групп людей скомпилированными из нескольких утечек «списками».

Основная проблема с точки зрения кибербезопасности заключается в том, что риски реализации сценария с использованием социальной инженерии можно существенно сократить, но невозможно нивелировать полностью. Никакие тренинги и программные средства защиты не дают гарантии, что сотрудник не выполнит целевое для хакера действие.

Обратная сторона социальной инженерии

Специалисты по кибербезопасности, в свою очередь, тоже используют методы социальной инженерии против киберпреступников. В первую очередь это касается анализа цифровых следов, которые злоумышленник оставляет в ходе своей атаки.

Михаил Прохоренко

Руководитель управления по борьбе с киберугрозами, BI.ZONE

Есть несколько видов поведенческих факторов.

1. Человеческая невнимательность, забывчивость и лень

Даже если злоумышленник отлично знает, как затереть следы, он не всегда готов это делать: на подобную работу может потребоваться слишком много усилий и времени. Задача специалиста по технической экспертизе — найти зацепки, иногда совсем крошечные.

Например, мошеннику нужно множество раз — до тысячи — входить в систему жертвы, маскируя свой IP адрес, название системы и отпечаток браузера. Однако эпизодов входа и подсоединений в каждом из них бывает так много, что злоумышленник в какой-то момент не страхуется. Иногда приходится расследовать каждый из них в расчете на человеческий фактор — лень или невнимательность злоумышленника.

2. Временные метки

Еще один типичный след для экспертизы компьютерной техники — временные метки. Если злоумышленники перенесли на компьютер новый файл или изменили имеющийся, их выдают временные метки. Даже если преступник подстраховался, изменение файла не может быть точным до наносекунд.

3. Поисковые запросы

Некоторые методы расследования компьютерных преступлений не отличаются от бытовых. Например, запросы в Яндекс тоже могут помочь в поисках.

4. Речевые обороты

Если мошенник вел переписку с потенциальными жертвами, расследовательская группа может вычислить его по характерным фразам и оборотам, ошибкам в словах и пунктуации. Обычно этот метод используют ближе к концу расследования, когда есть несколько конкретных подозреваемых. Особенности письменной речи могут выдать даже страну собеседника. Например, использование в качестве смайлов скобки «)» и «(» вместо эмодзи характерно для русскоязычного населения и жителей СНГ.

Все это примеры человеческого фактора, который невероятно сложно контролировать. Можно сказать, что тактика расследования заключается в том, чтобы изучить каждый факт дела и найти, где конкретно злоумышленник ошибся.

В сборе этих данных специалистам помогает целый набор инструментов детектирования событий и анализа инцидентов. Помимо изучения цифровых следов есть и проактивные программные решения, которые позволяют спровоцировать хакера на совершение определенного действия в инфраструктуре, чтобы демаскировать его присутствие в ней.

Все deception-инструменты базируются на тезисе «казаться, но не быть» – они симулируют некий привлекательный для хакера элемент инфраструктуры, на который он должен «клюнуть». Это может быть маскировка под открытый порт, базу данных или что-то другое.

Владислав Лужников

Аналитик технологий киберобмана (Deception) в компании R-Vision

Для того, чтобы ввести злоумышленника в заблуждение используются различные техники киберобмана (Сyber Deception), которые позволяют исказить для атакующего реальную картину данных инфраструктуры. Например, с помощью инструментов honeytokens можно создать и разместить правдоподобные файлы-триггеры, генерирующие событие информационной безопасности при взаимодействии с ними злоумышленника. Или использовать honeypots – хосты-ловушки, которые отвлекают внимание хакера от реальных активов, а также ложные учетные записи honeyusers и др. Для реализации подобных схем защиты можно использовать как публичные инструменты, так и коммерческие решения класса киберобмана Deception.

Грамотное использование Deception-инструментов и техник позволяет не только детектировать злоумышленника, но и удерживать его в обманном слое некоторое время. Конечно, как и в случае атаки, с ростом количества данных об атакующем растет также качество «обмана» в защитных инструментах. При этом известны случаи, когда отдельные компании эффективно применив техники обмана решались на такой шаг как "обратный взлом" (hack back), вступая в хакерские войны с злоумышленником, однако в большинстве случаев данный метод крайне рискованный и находится за рамками правового поля.

На основе этих сведений, в дальнейшем, составляются отчеты и актуализируются базы данных (в том числе TI-платформ), что позволяет специалистам по кибербезопасности выстраивать эффективную защиту против конкретной хакерской группы, с учетом ее особенностей поведения и потенциальных целей атаки.

Также, эта информация используется и для обновления политик безопасности, внесения корректив в правила детекции ИБ-системами инцидентов, создания новых корреляций событий и общего обогащения знаний информационных систем и специалистов.

Яков Гродзенский

Руководитель направления информационной безопасности CTI

Существуют решения по противодействию обхода средств защиты информации (СЗИ), когда специальные программные ИБ-решения перехватывают запросы к ядру ОС и на запросы о наличии тех или иных СЗИ на хосте отвечают утвердительно, даже если СЗИ нет, и таким образом атака прекращается на самом старте.

Набирает популярность технология Threat Hunting, позволяющая на основе данных телеметрии получать информацию о подозрительных действиях на хостах. Нельзя не упомянуть о решениях класса Anti-APT и XDR, способных пресекать атаку благодаря изучению действий подозрительных файлов и ссылок, а также на основе индикаторов компрометации.

Однако, в наибольшей степени, социальную инженерию против хакеров применяют разные государственные спецслужбы и отделы, в задачи которых входит борьба с хакерской активностью, вычисление и арест хакеров.

Государство и борьба с хакерами

Разные государства также используют социальную инженерию, но уже в обратную сторону – для того, чтобы поймать хакеров. Как правило, она применяется для решения двух следующих задач:

• деанонимизация злоумышленников;
• их фактический арест.

Как правило, спецслужбы используют для борьбы с хакерскими группами те же методы, что и для ареста представителей наркокартелей. Хрестоматийным стал пример сервиса Carderplanet, куда спецслужбам США удалось внедрить сразу несколько своих агентов. Впоследствии, они смогли выманить ведущих представителей сообщества в лояльную США юрисдикцию и провести арест.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

На самом деле, история далеко не только в человеческих слабостях хакеров, из которых самой заметной я бы назвал тщеславие. На заре хактивизма было даже хорошим тоном оставлять послания во взломанных системах и однозначно себя идентифицировать. Кибервандализм в такой форме длился недолго, но тем не менее.

Сегодняшние хакеры, если это конечно не энтузиасты одиночки, обычно плотно связаны с правоохранительными органами своих стран и выполняют вполне конкретные задачи. Речь уже начинает идти, по сути, о кибервойсках. Ждать, что такие люди оставят о себе какие-то лишние сведения в сети уже не приходится, это уже совсем другой уровень. Например группу Lazarus связывают со спецслужбами Серверной Кореи. Но вряд ли мы увидим громкий судебный процесс в ближайшем будущем, хотя министерство юстиции США и предъявила обвинение нескольким людям.

Хакеры просто бывают неосторожны. Наш соотечественник Алексей Бурков, занимался кражей данных банковских карт граждан США, а задержан был в Израиле, после чего благополучно экстрадирован в США, проведя около четырех лет в израильских тюрьмах. Даже если накоплен фактический материал, необходимо дождаться, пока подозреваемый окажется в нужной юрисдикции, чтобы была возможность его арестовать.

Отдельно стоит сказать о прогусадрственных АПТ-группировках, борьба с которыми серьезно осложнена тем, что это профессиональные закрытые сообщества, в которые практически невозможно внедриться. Такие группы хорошо осведомлены о методах спецслужб и проводят огромную работу по минимизации рисков, связанных с деанонимизацией. Если вернуться к примеру с Северной Кореей – весьма вероятно, что они и вовсе не покидают страну, что делают риски их ареста близкими к нулю.

Важно понимать, что борьба с хакерской активностью во многих государствах носит не реакционный, а программный характер, и ведется превентивно, вне зависимости от того, успел потенциальный взломщик осуществить преступление или только собирается это сделать.

Алексей Дрозд

Руководитель отдела информационной безопасности «СерчИнформ»

Чаще всего профильные силовые службы проводят атаку «человек посередине» (MITM-атака). Они внедряются в хакерскую группировку, собирают доказательства мошеннических действий или ловят участника группы, чтобы заставить его выдать остальных участников. После спецслужбы могут захватывать контроль над площадкой.

Не так давно были раскрыты подробности операции ФБР. Тогда спецслужбы в качестве приманки для поимки преступников распространяли «защищенные» смартфоны с предустановленным «авторским» приложением для зашифрованных сообщений под названием Anom. ФБР использовали это приложение-ловушку, чтобы отслеживать сообщения преступников. В итоге международные спецслужбы провели сотни арестов.

Еще один инцидент, связанный с человеческим фактором, произошел с организатором DDoS-сервисов Quantum Stresser. Владелец крупнейшего DDoS-сервиса скрывался от спецслужб в течение шести лет, но выдал себя при заказе пиццы. Киберпреступник при оформлении заказа на доставку пиццы указал адрес электронной почты, который использовал при регистрации Quantum Stresser. Этот злополучный заказ привлек внимание спецслужб.

Однако, используемые государствами методы поиска и поимки киберпреступников, эффективны далеко не всегда в силу разности юрисдикций. Взаимодействие стран и служб в этом направлении остается довольно бюрократизированным, поэтому каждая такая операция «зиждется» на килограммах разрешительных документов, запросов и согласований.

Что губит хакеров

Хакер – тоже человек, которому свойственно иметь личные черты характера, взгляды, поведенческую модель и другие социокультурные атрибуты. Иногда к поимке приводит вполне банальная лень или невнимательность, которые, в какой-то мере, свойственны всем людям на планете.

Сергей Антонов

Инженер отдела ИБ системного интегратора «Абак-2000»

Наиболее показательная история на мой взгляд — это история Томаша Скоурона. Он воровал деньги со счетов посредством вредоносного софта. Схема стара как мир: троян похищал доступ к Интернет-банкингу, злоумышленник получал доступ к счетам жертвы и переводил деньги на подставных лиц, а потом обналичивал. Примечательно, что ему удалось вывести более 1 миллиона долларов, а жертвами хакера стали пользователи по всему миру.

Чтобы хакера не вычислили, он использовал VPN для смены своего IP. Но однажды либо он забыл его включить, либо VPN дал сбой и в логах Интернет-банкинга появился реальный IP злоумышленника. В результате Томашу была презентована путевка в места не столь отдаленные сроком на 5 лет.

Бывает так, что VPN-соединение может незаметно для самого пользователя «отвалиться». Например, был сбой в vpn-соединении и часть трафика пошла в его обход, тем самым засветив реальный IP-адрес. В данном примере Томаша сгубила собственная лень, ведь если бы настроил он firewall, то при обрыве VPN-соединения трафик не пошел бы в обход VPN-соединения.

Случай, вкупе с невнимательностью, может погубить даже самого «продвинутого анонима» который до этого всегда оставлял минимум цифровых следов в атакуемых системах и делал все, чтобы защитить свою приватность.

Невнимательность может быть не только ситуативной, но и стратегической. К таким случаям, например, можно отнести опрометчивое доверие к тем или иным сервисам, программному обеспечению, которое хакер использует как в повседневной жизни, так и для реализации кибератак.

Дмитрий Демин

Руководитель отдела прикладных решений и мониторинга, Sitronics Group

В 2013-ом году Павел Врублевский организовал DDoS-атаку на серверы компании-конкурента «Ассист». В результате сайты клиентов «Ассиста», в том числе сайт «Аэрофлота», не могли нормально функционировать.

Как смогли вычислить хакера и доказать его вину: Врублевский вместе со своими «подельниками» использовал мессенджер ICQ. Во-первых, данный мессенджер принадлежит Mail.Ru Group, чье тесное сотрудничество с правоохранительными органами – не секрет. Во-вторых, сервис ICQ сам по себе небезопасен. Нужно было выбирать более безопасный мессенджер или же хотя бы использовать шифрование. Очевидно, деанонимизация произошла по глупости группы или из-за банальной лени. Если бы они были более осведомлены в вопросах шифрования сообщений в мессенджерах, доказать их вину было бы гораздо сложнее.

Этот же тезис справедлив и для теневого сегмента интернета – далеко не все форумы и площадки в даркнете обеспечивают высокий уровень безопасности данных, которые в них хранятся. Да и сам факт общения на такой платформе уже может быть опасен для хакера, особенно если он склонен к тщеславию и «нуждается в одобрении».

Многие знаменитые хакеры попались, в том числе, из-за того, что информация о них была достаточно известна «среди своих», и к поимке приводил «побочный арест коллеги», который на допросе, дабы уменьшить свой срок, рассказывал и о других хакерах.

Павел Кузнецов

Директор по продуктам компании «Гарда Технологии»

В контексте данного вопроса уместно скорее говорить о том, что, к счастью для нас всех, злоумышленники – не представители планеты Шелезяка, виртуозно владеющие любыми технологиями, а такие же люди. Это значит, что они допускают ошибки, в том числе связанные с "головокружением от успехов". Например, когда стремятся поделиться со своим окружением своими "ошеломляющими" результатами в противозаконной деятельности. Достаточно вспомнить историю знаменитого Кевина Митника, когда, если мне не изменяет память, два его ареста стали следствием дачи против него показаний его приятелями.

Иногда к персональной тщеславности одного злоумышленника добавляется тщеславность его коллег по группировки, из чего получается извращенная «корпоративная этика».

Тщеславные, заносчивые хакеры – это настоящая находка для спецслужб, ведь их желание доказать свою « крутизну» нередко превалирует над осмотрительностью и банальным инстинктом самосохранения. «Докажи, что не слабо» – это буквально детская «разводка», однако она работает и на вполне себе взрослых, умных людях.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

Одним из самых ярких примеров последних лет являются случаи поимки хакеров за счет игры с их эго и жаждой наживы. Один из ярких случаев последних дней —это конфликт Anonymous и LulzSec, который привел к поимке самых опасных киберпреступников и развалу крупнейших хакерских группировок. Каждая их этих группировок считала себя самой мощной и влиятельной, требовала внимания со стороны общественности. На этом и сыграли спецслужбы, стравив их друг на друга методом социальной инженерии, и, как результат, смогли выявить и арестовать многих участников этих группировок.

Из последних громких случаев — это поимка не только хакеров, но и борьба с наркотрафиком за счет создания поддельного защищенного мессенджера, который рекламировался на закрытых площадках. Также использовались методы социальной инженерии и фишинга, чтобы злоумышленники стали пользоваться этим ПО с заложенным в него скрытым функционалом, что помогло в дальнейшем в ходе оперативно-розыскных мероприятий и сборе доказательной базы.

Рядом с жаждой прославиться нередко идет тяга к роскоши. Шифровальщикам, кардерам и другим представителям киберпреступного мира большие деньги начинают «жечь руки», а душа в ответ просит роскошных отелей и люксовых автомобилей.

Поездки в жаркие страны, в этом контексте, особенно опасны, поскольку велик риск после прилета столкнуться не пляжными зазывалами, а с сотрудниками спецслужб той или иной страны. В этом плане, задержания хакеров часто проходят показательно – со спецназом, полицейским вертолетом, сиренами и громкими криками.

Сергей Петренко

Руководитель направления Информационная безопасность Академии АйТи

Год назад, в январе 2022 года были задержаны 14 членов преступной группы REvil, также известной как Sodinokibi, которая получила известность тем, что поставляла «программы-вымогатели как услугу». Ежемесячно кибермошенники проводили не менее 15 атак. Помимо этого REvil привлекала внимание громкими попытками вымогательства у знаменитостей. Так, в 2020 году злоумышленники вымогала 42 млн $ у президента США Дональда Трампа.

Хакеры были пойманы с помощью методов социальной инженерии, ФСБ проверила 25 адресов и нашла 14 членов группировки REvil. В ходе задержания у хакеров было изъято $600 тысяч, €500 тысяч и 426 млн рублей. Также были изъяты средства связи и технические средства для совершения киберпреступлений, в том числе, 20 автомобилей премиум-класса.

Бывают и такие случаи, когда хакера губят не порочные черты, а банальная сентиментальность. Многие люди, вопреки советам ИБ-специалистов, ставят на свои учетные записи ассоциативные пароли.

Например, чье-то имя (в худшем случае – свое, вместе с датой рождения), какое-то символическое слово или наименование: первого путешествия, домашнего животного или первой марки автомобиля. Такая сентиментальность весьма чревата.

Алексей Маринин

Старший разработчик мобильных приложений, независимый эксперт

Иллюстрацией того, что человеческий фактор часто является причиной деанонимизации хакера, может служить история Джереми Хаммонда. Он взломал базу одного крупного разведывательного агентства, чьи клиенты - крупные корпорации и даже государство. На этом Джереми не остановился, он сделал крупное пожертвование с банковских карточек клиентов агентства. Всю информацию взломщик хранил на удаленном, зашифрованном диске, только пароль к самому диску состоял лишь из клички его кошки и пары порядковых цифр. Агенты ФБР давно следили за Джереми, поэтому прозвище его питомца было им известно. Так наивность и отчасти глупость обеспечили ему 10 лет тюрьмы.

Суммируя все кейсы, можно прийти к выводу, что проблема социальной инженерии остается обоюдоострой. И до тех пор, пока хакер остается человеком, то есть биосоциальным существом с массой потребностей и личностных особенностей, он будет допускать ошибки, которые позволят его вычислить.

С другой стороны и жертвы хакеров, сколь бы не развивались технологии противодействия фишингу, будут раз за разом попадаться в ловушки социальной инженерии и «дарить» данные своих учетных записей злоумышленникам.