Специалисты F-Secure осуществили контролируемые атаки на своих клиентов, чтобы продемонстрировать слабые места в системе безопасности.
– Технология не всегда в состоянии защитить нас от опасности и должна, скорее, выступать в качестве вспомогательной защиты, – говорит лидер специального подразделения RDC в компании F-Secure. – Злоумышленники постоянно совершенствуют навыки социальной инженерии, чтобы обманывать сотрудников компаний.
Примером применения социальной инженерии являются фишинговые атаки, то есть отправка поддельных сообщений с целью получения определенной информации. По данным последнего исследования, проведенного PwC в 2016 году, фишинг оказался на 1 месте среди наиболее распространенных методов атак, применяемых в отношении финансовых учреждений.
Обеспокоенность вызывает также всё большая доступность готовых «пакетов» для проведения вредоносных атак на кампании, которые можно найти в даркнете (темной стороне интернета, которым часто пользуются злоумышленники). В этих готовых пакетах находятся уже подготовленные фальшивые письма, списки адресов электронной почты, имена серверов, к которым хакеры получили доступ.
– Фишинг показывает очень высокую эффективность при контролируемых атак. Сотрудники часто не ожидают, что e-mail, который они получили на рабочий компьютер, может содержать фальшивые ссылки.
Во время проведения одной из последних контролируемых атак, эксперты из F-Secure разослали поддельные сообщений, якобы от сервиса LinkedIn, чтобы проверить, сколько человек нажмёт на ссылку в письме. Результат шокировал, потому что сделало 52% людей.
В другом эксперименте, группа CSS создала сообщения, ведущие на поддельный портал. В этом случае в ссылку нажали 26% людей, а 13% людей авторизовались на мошенническом сайте, используя свои учетные данные.
Пентестеры часто удивляют компании, поделившись с ними, как много уязвимостей для атак в системе. Мнение предприятий о своей безопасности, чаще всего, совсем отличается от фактического уровня безопасности и того, что видят киберпреступники.
