Що таке HUMINT, чому він потрібен бізнесу та як він захистить від викрадення даних – розповідає Molfar

У серпні 2024 року в криптоіндустрії сталось масштабне викрадення коштів —  $243 мільйонів у біткойнах вкрали в одного з кредиторів інституційного відділу торгівлі цією криптовалютою в Нью-Йорку. Шахраї почали з телефонного дзвінка, використовуючи методи HUMINT — вони переконливо вдавали із себе представників служби підтримки Google. 

В своїй колонці OSINT-агенція Molfar розповідає про те, що таке агентурна розвідка.

Хоч термін HUMINT й може видаватися чимось маловідомим, все ж цей тип розвідки зустрічався багатьом із нас у попкультурі чи навіть у побутових ситуаціях. 

HUMINT, або Human Intelligence, — це метод отримання інформації безпосередньо через прямий контакт з людиною, котра володіє необхідними даними. Найпростіший приклад використання HUMINT — це так званий «таємний покупець», коли людина, маскуючись під звичайного клієнта, збирає дані про роботу компанії.

Наприклад, перевіряє консультантів у магазині на знання товару, прикидаючись зацікавленим та допитливим покупцем; або «агент» дізнається про умови роботи в компанії, пишучи від імені рекрутера для перевірки їхнього колишнього працівника на відповідність посаді на новому місці роботи. Також HUMINT використовують журналісти-розслідувачі, працюючи над матеріалом «під прикриттям». Цю методологію особливо полюбляють змальовувати у кінематографі та художній літературі, розповідаючи про журналістську роботу.

Як криптошахраї використали HUMINT для викрадення мільйонів доларів

Проте, як бачимо із кейсу на початку матеріалу, не завжди HUMINT використовують для отримання інформації, оприлюднення яких не завдає шкоди нікому. Адже саме це й відрізняє HUMINT та OSINT загалом як етичні та легальні способи отримання інформації. 

Криптошахраї з кейсу на $243 мільйонів використовували підроблений номер телефону й переконали жертву передати доступ до її особистих акаунтів. Після вдалої першої хвилі атаки, зловмисники продовжили вдавати із себе службу підтримки, але цього разу — чатботу Gemini.

Вони повідомили жертву про те, що її облікові записи зламані. Зловмисники змусили постраждалого скинути двофакторну автентифікацію та зробити переказ коштів на їхній скомпрометований гаманець.

Разом із тим шахраї переконали жертву встановити програму віддаленого доступу AnyDesk, яка дозволила їм переглянути екран жертви та отримати доступ до її закритих ключів через Bitcoin Core. Ця багаторівнева шахрайська операція була ретельно спланована. Для нас вона має бути повчальною та наочною, чому важливо перевіряти правдивість будь-яких звернень.

Як бачимо, на всіх рівнях проведення цієї шахрайської операції, зловмисники мали тісний комунікаційний контакт із жертвою, виманюючи чутливу інформацію, придумавши перед тим легенду та видаючи себе за інших.

HUMINT як інструмент захисту від шахрайства

Цікавим є той факт, що превентивних методів боротьби із такими шахраями вкрай обмаль. Адже чи не щодня створюється новий софт, що може бути використаним для викрадення чутливих даних. Відповідно, на усі ці кейси треба реагувати та протидіяти їм. Проте, аби не гнатися за кожним окремим випадком та втрачати й без того дорогоцінний час, можна звернутися до того ж таки HUMINT.

Використання HUMINT може бути чи не єдиним справді ефективним інструментом для бізнесу в таких ситуаціях. Адже один із найкращих способів досягти цього – вміти аналізувати дані та залучати фахівців для захисту.

HUMINT-розвідка в контексті бізнес-досліджень найчастіше використовується як допоміжна послуга під час складання звіту на компанію чи аналізу ринку. Ці методи дозволяють точково отримати інсайди та унікальні дані, які поглиблюють та розширюють попередньо зібрану інформацію.

HUMINT використовує багато методів та інструментів, зокрема зі сфери соціальної інженерії, адже практика агентурної розвідки у конкурентній боротьбі має широке розповсюдження: сфери хедхантингу, репутаційного менеджменту та дослідження конкурентів — гарно підходять для використання цих методик.

У ситуаціях, коли конкуренти за роки роботи на ринку знають одне про одного все, зібрані аналітиками інсайди дають перевагу. Почасти саме цей фактор стає основою для прийняття стратегічних бізнес-рішень.

Ілюстративне зображення. Джерело: Inc.com

Якими бувають сучасні методи атак на компанії

Шахрайські атаки, побудовані на принципах HUMINT, зазвичай проходять у кілька етапів:

1. discovery and investigation — зловмисники аналізують соціальні мережі співробітників компанії, щоб зібрати інформацію про їхні звички, графік роботи, коло спілкування. Наприклад, вони можуть дізнатися, хто з керівників перебуває у відрядженні, щоб скористатися їхньою відсутністю для провадження шахрайства;

2. deception and hook — отримавши дані, шахраї створюють фальшиву електронну пошту від імені одного зі співробітників, яка виглядає вкрай правдоподібно. Далі вони надсилають лист часто із якимось негайним проханням, типу терміново перерахувати кошти або організувати відеозустріч. У цих листах шахраї використовують терміновість як психологічний важіль тиску (адже мало кому кортить протермінувати виконання задачі від шефа);

3. attack — після отримання доступу до електронної пошти або банківської системи шахраї переказують кошти на свій рахунок або викрадають конфіденційну інформацію. Операції можуть здійснюватися майже миттєво, щоб жертва не встигла помітити втручання;

4. retreat — зловмисники зникають, залишаючи мінімум слідів: видаляють фальшиві акаунти, пересилають гроші, використовуючи кілька банківських рахунків або криптовалюти, щоб ускладнити пошук кінцевих отримувачів.

Зловмисники часто використовують людські слабкості, вразливості та «болі», опираючись  на те, що люди діють передбачувано та нераціонально, коли перебувають під тиском або в стані стресу. Наприклад, часто злодії спекулюють на страхах людей, наприклад, сказати «ні» чи здатися грубим, ухвалити неправильне рішення або втратити гроші.

Тож, як бачимо, сучасні методи шахраїв постійно прогресують та ускладнюються для виявлення, залучаючи, наприклад, психологічні хуки. Те саме почасти є елементом алгоритмів соціальної інженерії (HUMINT) для маніпуляцій та викрадення конфіденційної інформації в бізнесу.

Що роботи, аби вберегтися від шахрайства та чи допоможе тестування з безпекової обізнаності  

Аби вберегтися від шахраїв та не гонитися за сотнями кейсами на випередження, варто використовувати регулярні превентивні методи, такі як тестування з безпекової обізнаності.

Припустимо, у вашої компанії є відділ підтримки, який, як ви вважаєте, може вразливою ланкою. Скажімо, слід протестувати цей відділ згідно з наступними критеріями: швидкість відповіді, стресостійкість, гнучкість у розв'язанні нестандартних питань. Відповіді на ці питання можна отримати, використавши послугу так званого «таємного покупця». Для цього HUMINT-спеціаліст телефонує в підтримку й під виглядом клієнта збирає необхідну вам інформацію.  

А оскільки ваші співробітники мають певний рівень доступу до даних компанії, для збереження конфіденційності використовують такі методи, як NDA, VPN, антивіруси та системи керування електронними документами. Однак системні збої, неправильне використання корпоративного обладнання, фішинг і DDoS-атаки можуть призвести до витоку інформації або ризику проникнення в мережу. 

Тестування з інформаційної безпеки дозволить визначити де може статися витік інформації, що заразом дозволить зрозуміти слабкі місця вашої системи безпеки. Ви дізнаєтесь, чи дотримуються співробітники правил поводження з інформацією.

Цей метод зарекомендував себе, адже швидко дозволяє виявити прогалини у знаннях та слабкі місця. У вас буде час заповнити усі прогалини й таким чином забезпечити себе та своїх партнерів від атак зловмисників, впевнившись, що проаналізовані зовнішні фактори більше не складають загрози вашому бізнесу.

Читайте також: Дані про людину – що можна знайти у відкритих джерелах. Показуємо на прикладі