Технологии Бизнесса
Искусство обмана: Основные приемы социальной инженерии
Лучшие системы безопасности могут быть неэффективным из-за методов социальной инженерии, целенаправленно применяемых киберпреступниками
Многие полагают, что социальная инженерия являет собой наибольшую опасность для информационной безопасности. Атаки с использованием методов социальной инженерии, как правило, заканчиваются успехом для киберпреступников и громким провалом для компаний и пользователей. К сожалению, социальная инженерия взламывает человека, а не компьютер, поэтому никакое защитное программное обеспечение не убережет от социальных хакеров. Сегодня крайне важно уметь самостоятельно обнаруживать и избегать таких атак.
Социальная инженерия – это больше, чем просто мошенничество, это вектор, который используется в более чем 66% случаях хакерских атак. Под социальной инженерией подразумевается любое действие, направленное на склонение человека принять выгодное для преступника решение. Для достижения цели социальные инженеры используют психологические, физиологические и технологические приемы, влияющие на поведение человека.
Выделяют три основных кластера социальной инженерии:
- Фишинг – практика отправки на электронную почту поддельных сообщений с целью повлиять на пользователя или получить личную информацию.
- Вишинг – практика получения личной информации или попытки повлиять на человека посредством телефона, включая такие инструменты, как "spoofing звонящего".
- Перевоплощение – практика выдавать себя за другого человека с целью получения информации или доступа к лицу, компании или компьютерной системе.
В социальной инженерии существует множество методов, и с каждым днем эта база пополняется новыми приемами. Некоторые атаки невозможно провести без использования современных технологий, другие основываются сугубо на психологии человека. Мы решили рассказать об основных приемах социальной инженерии, которые могут быть использованы против вас.
Фишинг
Фишинговые письма обманом заставляют пользователей выдать свои личные данные (имена пользователей, пароли и данные кредитных карт) или установить файл с вредоносным содержанием. Одна из причин эффективности фишинга заключается в том, что люди склонны доверять сообщениям от важных или известных им отправителей. В этих целях злоумышленник легко манипулирует URL-адресом, например, такой URL-адрес www.cоmpany.com выглядит почти идентично как www.cоrnpany.com. Фишинг базируется на человеческих ошибках, а не на технологиях, поэтому повышение осведомленности в глобальном масштабе является главным способом борьбы с такой особенно эффективной формой социальной инженерии.
Что делать? Лучшая защита от фишинговых сообщений – не идти на поводу у преступников, то есть не переходить по ссылкам, указанным в сообщениях, не вводить свои данные в поля формы, встроенной в сообщение. Вместо этого вручную вводите адрес проверенного сайта в адресной строке браузера и никогда не пользуйтесь автоматическим заполнением полей.
Подставной посыльный
Не менее распространенная атака заключается в том, что злоумышленник выдает себя за представителя фирмы, доставляющего товар покупателю. Вспомните, сколько раз "посыльных" пускали в офис компании, к которому у них нет доступа? А ведь простое проникновение в офис может привести преступника к полному доступу в систему. Обычно преступник может маскироваться под работника известной почтовой службы, доставщика пиццы, цветов или других товаров. Самая зыбкая часть преступления – подготовка всех бумаг, удостоверяющих полномочия, документов и "посылки".
Что делать? Этих атак сложно избежать, но возможно. Один из лучших способов – узнать в действительности ли работает посыльный в компании. Как правило, необходимо попросить документ, удостоверяющий личность и перепроверить данные в компании, в которой он работает (одного звонка будет достаточно). Не допускайте, чтобы посторонний человек прошел мимо стойки регистрации. Если посыльный должен войти в дом или офис, то не оставляйте его без присмотра. Это позволит уменьшить шансы нападения.
Телефон
Один из первых приемов социальной инженерии осуществляется с помощью телефона. Извлечь необходимую информацию можно просто позвонив в компанию и выдав себя за другого человека, например за клиента или сотрудника. Служба поддержки является одним из самых уязвимых отделов в компании, поскольку их работа заключается в обеспечении "помощи", что злоумышленник может использовать для получения конфиденциальной информации. Специалисты отдела поддержки клиентов обучены оказывать поддержку и быть вежливыми и дружелюбными по отношению к собеседнику. Так что они легко ответят на любой вопрос. Преступник обычно будет пытаться получить как можно больше информации, в том числе номера телефонов, имена сотрудников, адреса и прочее.
Что делать? Если вы подозреваете, что телефонный звонок поступил от недобросовестного человека, просто попросите назвать имя, название компании и номер телефона. Почти во всех случая абонент прервет связь. Сотрудники никогда не должны выдать пароли или любую конфиденциальную информацию в телефонном режиме. Всем сотрудникам можно присвоить кодовый номер для идентификации.
Техподдержка
Социальный инженер, который выдает себя за работника службы техподдержки, может принести разрушительные последствия для сети компании. Этот эффективный вектор атаки может предоставить злоумышленнику физический доступ к сетевым компьютерам и, соответственно, к конфиденциальным данным компании. Благодаря физическому доступу преступление займет всего считанные секунды.
Получение физического доступа к компьютеру – идеальный сценарий для злоумышленника. Это прекрасная возможность установить "антивирус" или какою-то программу для "чистки" компьютера. После установки приложение "помогает" преступнику получить полный доступ к компьютеру или сети. Одним из лучших технических средств, имеющихся в распоряжении социального инженера, является USB-накопитель. На это небольшое и незаметное устройство можно быстро загрузить различные корпоративные данные в зависимости от того, какие цели преследуются.
Что делать? Один из способов защиты от псевдо-техподдержки и самый простой – лично познакомиться с сотрудниками из отдела технической поддержки.
Конечным результатом любой атаки с использованием методов социальной инженерии является одно и то же... утечка данных. Противостоять можно только с помощью свей осведомленности. И помните, что технологии не всегда могут вас защитить.