Претекстинг — это тип атаки социальной инженерии , которая включает в себя ситуацию или предлог , созданный злоумышленником, чтобы заманить жертву в уязвимую ситуацию и обманом заставить ее предоставить личную информацию, в частности информацию, которую жертва обычно не раскрывает за пределами сети. контекст предлога. [1] В своей истории предлог описывался как первый этап социальной инженерии и использовался ФБР для помощи в расследованиях. [2] Конкретным примером претекстинга является обратная социальная инженерия, при которой злоумышленник обманом заставляет жертву сначала связаться с злоумышленником.
Причина преобладания предлогов среди атак социальной инженерии заключается в том, что они полагаются на манипулирование человеческим разумом для получения доступа к информации, которую хочет злоумышленник, а не на манипулирование технологической системой. При поиске жертв злоумышленники могут обращать внимание на различные характеристики, такие как способность доверять, слабое восприятие угрозы, реакция на авторитет и склонность реагировать страхом или волнением в различных ситуациях. [3] [4] На протяжении всей истории атаки с предлогом становились все сложнее: от манипулирования операторами по телефону в 1900-х годах до скандала с Hewlett Packard в 2000-х, который включал использование номеров социального страхования , телефонов и банков . [5] Текущие системы образования в области социальной инженерии используются в организациях, хотя исследователи в академических кругах предлагают возможные улучшения этих структур. [6]
Социальная инженерия — это тактика психологической манипуляции , которая приводит к нежелательной или неосознанной реакции цели/жертвы. [7] Это одна из главных угроз информационной безопасности в современном мире, затрагивающая организации, управление бизнесом и отрасли. [7] Атаки социальной инженерии считаются труднопредотвратимыми, поскольку их корни лежат в психологических манипуляциях. [8] Эти атаки также могут достигать более широкого масштаба. В ходе других атак на систему безопасности может быть взломана компания, хранящая данные клиентов. При атаках социальной инженерии как компания (особенно работники внутри компании), так и непосредственно клиент могут стать объектом нападения. [8]
Примером может служить банковская сфера, где атакам могут подвергнуться не только сотрудники банка, но и клиенты. Преступники социальной инженерии напрямую нацелены на клиентов и/или сотрудников, пытаясь обойти попытки взломать чисто технологическую систему и использовать человеческие уязвимости. [8]
Хотя ее определение в отношении кибербезопасности было искажено в различной литературе, общей темой является то, что социальная инженерия (в кибербезопасности) использует уязвимости человека для взлома таких объектов, как компьютеры и информационные технологии. [2]
В настоящее время по социальной инженерии мало литературы и исследований. Однако основная часть методологии исследования социальной инженерии заключается в создании выдуманного предлога. При оценке того, какие атаки социальной инженерии являются наиболее опасными или вредными (т. е. фишинг , вишинг , утечка воды ), тип предлога является в значительной степени несущественным фактором, поскольку некоторые атаки могут иметь несколько предлогов. Таким образом, претекстинг сам по себе широко используется не только как самостоятельная атака, но и как компонент других. [9]
В кибербезопасности претекст можно считать одним из самых ранних этапов эволюции социальной инженерии. Например, хотя атака социальной инженерии, известная как фишинг, опирается на современные предметы, такие как кредитные карты, и в основном происходит в электронном пространстве, предлог был и может быть реализован без технологий. [10]
Претекстинг был одним из первых примеров социальной инженерии. Концепция предлогов, придуманная ФБР в 1974 году, часто использовалась в расследованиях. На этом этапе предлог заключался в том, что злоумышленник звонил жертве, просто спрашивая информацию. [2] Атаки с предлогом обычно состоят из тактики убеждения. После этого начального этапа развития социальной инженерии (1974–1983 гг.) предлоги превратились не только в тактику убеждения, но и в тактику обмана. По мере развития технологий параллельно с ними развивались и методы претекстинга. Вскоре хакеры получили доступ к более широкой аудитории жертв благодаря изобретению социальных сетей. [2]
Обратная социальная инженерия — более конкретный пример предлога. [11] Это неэлектронная форма социальной инженерии, при которой злоумышленник создает предлог, под которым манипулируют пользователем, заставляя его первым связаться с злоумышленником, а не наоборот.
Как правило, атаки методом обратного проектирования подразумевают, что злоумышленник рекламирует свои услуги как своего рода техническую помощь, обеспечивающую доверие. Затем жертву обманом заставляют связаться с злоумышленником после просмотра рекламы, при этом злоумышленник вообще не связывается с жертвой напрямую. Как только злоумышленник успешно осуществит обратную атаку социальной инженерии, может быть установлен широкий спектр атак социальной инженерии из-за фальсифицированного доверия между злоумышленником и жертвой (например, злоумышленник может дать жертве вредоносную ссылку и сказать, что она является решением проблемы жертвы. Из-за связи между злоумышленником и жертвой жертва будет склонна поверить злоумышленнику и перейти по вредоносной ссылке). [12]
Предтекст считался и продолжает считаться полезной тактикой в атаках социальной инженерии. По мнению исследователей, это происходит потому, что они не полагаются на технологии (например, взлом компьютерных систем или взлом технологий ). Претекстинг может происходить в Интернете, но он в большей степени зависит от пользователя и аспектов его личности, которые злоумышленник может использовать в своих интересах. [13] Атаки, которые в большей степени зависят от пользователя, труднее отслеживать и контролировать, поскольку каждый человек по-разному реагирует на социальную инженерию и предлоги для атак. Однако непосредственная атака на компьютер может потребовать меньше усилий, поскольку компьютеры работают примерно одинаково. [13] Злоумышленники выявляют и нацеливаются на определенные характеристики пользователей. В академических кругах есть некоторые общие характеристики [14] :
Если жертва «ценится», это означает, что у нее есть некоторая информация, которая нужна социальному инженеру. [3]
Надежность неразрывно связана с привлекательностью: обычно чем больше кто-то нравится, тем больше ему доверяют. [14] Аналогично, когда между социальным инженером (злоумышленником) и жертвой устанавливается доверие, также устанавливается доверие. Таким образом, жертве легче раскрыть личную информацию злоумышленнику, если жертве легче доверять. [4]
Насколько легко человек реагирует на события и в какой степени это можно использовать в пользу социального инженера. В частности, такие эмоции, как волнение и страх, часто используются, чтобы убедить людей раскрыть информацию. Например, можно создать предлог, когда социальный инженер обещает жертве потрясающий приз, если она согласится предоставить социальному инженеру свою банковскую информацию. Чувство волнения можно использовать, чтобы заманить жертву под предлог и убедить ее предоставить злоумышленнику искомую информацию. [14]
Несмотря на понимание того, что угрозы существуют при совершении каких-либо действий в Интернете, большинство людей будут совершать действия, противоречащие этому, например, нажимая на случайные ссылки или принимая неизвестные запросы на добавление в друзья. [14] Это происходит из-за того, что человек воспринимает действие как имеющее низкую угрозу или негативные последствия. Отсутствие страха/угрозы, несмотря на осознание его присутствия, является еще одной причиной распространенности атак социальной инженерии, особенно с использованием предлогов. [15]
Если жертва покорна и послушна, то злоумышленник с большей вероятностью добьется успеха в атаке, если будет установлен предлог, при котором жертва думает, что нападавший выдает себя за некую авторитетную фигуру. [14]
В статье за октябрь 1984 года « Коммутационные центры и операторы» подробно описывалась распространенная в то время атака с использованием предлога. Злоумышленники часто связывались с операторами, которые специально работали с глухими людьми, используя телетайпы. Логика заключалась в том, что эти операторы часто были более терпеливыми, чем обычные операторы, поэтому ими было легче манипулировать и убеждать получить информацию, необходимую злоумышленнику. [2]
Ярким примером является скандал с Hewlett Packard . Компания Hewlett Packard хотела знать, кто сливает информацию журналистам. Для этого они предоставляли частным детективам личную информацию сотрудников (например, номера социального страхования), а те, в свою очередь, звонили в телефонные компании, выдавая себя за этих сотрудников, в надежде получить записи звонков. Когда скандал был раскрыт, генеральный директор подал в отставку. [16]
В общем, социальные боты — это управляемые компьютером фальшивые профили в социальных сетях, используемые злоумышленниками с помощью социальной инженерии. На сайтах социальных сетей, таких как Facebook, социальных ботов можно использовать для массовой рассылки запросов на добавление в друзья, чтобы найти как можно больше потенциальных жертв. [5] Используя методы обратной социальной инженерии, злоумышленники могут использовать социальных ботов для получения огромных объемов личной информации о многих пользователях социальных сетей. [17] В 2018 году мошенник выдал себя за предпринимателя Илона Маска в Твиттере , изменив его имя и фотографию профиля. Они приступили к инициированию обманной аферы с раздачей подарков, обещая приумножить криптовалюту, отправленную пользователями. Впоследствии мошенники удержали отправленные им средства. Этот инцидент служит примером того, как предлог использовался в качестве тактики в атаке социальной инженерии. [18]
Текущие образовательные программы по теме социальной инженерии делятся на две категории: осведомленность и обучение. Осведомленность — это когда информация о социальной инженерии предоставляется предполагаемой стороне, чтобы проинформировать ее о теме. Обучение – это конкретное обучение необходимым навыкам, которые люди будут изучать и использовать в случае, если они подвергнутся атаке социальной инженерии или могут столкнуться с ней. [6] При построении системы образования просвещение и обучение можно объединить в один интенсивный процесс.
Несмотря на то, что были проведены исследования успешности и необходимости программ обучения в контексте образования в области кибербезопасности, [19] до 70% информации может быть потеряно, когда дело доходит до обучения социальной инженерии. [20] Исследование по социально-инженерному образованию в банках Азиатско-Тихоокеанского региона показало, что большинство рамок затрагивают только осведомленность или обучение. Кроме того, единственным видом атаки социальной инженерии, которому обучали, был фишинг. Если посмотреть и сравнить политики безопасности на веб-сайтах этих банков, политики содержат общие формулировки, такие как «вредоносное ПО» и «мошенничество», но при этом не хватает деталей различных типов атак социальной инженерии и примеров каждого из этих типов. . [6]
Это обобщение не приносит пользы пользователям, обучающимся с помощью этих структур, поскольку отсутствует значительная глубина, когда пользователь обучается только в общих чертах, как в примерах выше. Также неэффективны чисто технические методы борьбы с атаками социальной инженерии и предлогами, такие как фаерволы и антивирусы . Это связано с тем, что атаки социальной инженерии обычно включают использование социальных характеристик человеческой природы, поэтому простая борьба с технологиями неэффективна. [21]