0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Социальная инженерия

Социальная инженерия. Как «взломать» человека

Виктор Люстиг заполнил США фальшивыми купюрами и оставил «в дураках» Аль-Капоне, а ещё продал достояние Парижа — Эйфелеву башню. Дважды. Всё это с помощью социальной инженерии.

Социальная инженерия. В интернете понятие используют для обозначения психологических техник получения ценной информации. Зачастую — киберпреступниками, которые выманивают секретные данные или провоцируют на нужные им действия. За последние два года с помощью социальной инженерии похищено 2 миллиарда $ из ста банков.

Однако не все социальные инженеры — мошенники. Они могут вернуть доброе имя компании после атаки конкурентов или чёрного пиара. Психологические методы используют, например, чтобы получить данные анонимного комментатора и сподвигнуть его удалить нежелательный отзыв или клевету.

Социальные инженеры регистрируются на форумах, вступают в беседы с негативно настроенной аудиторией и техниками нейролингвистического программирования влияют на её мнение.

Много веков назад монах Шварц Бертольд изобрел «порошочек для забавы», который стал порохом — причиной глобальных войн. Так и инструменты социальной инженерии: они настолько мощные, что используются даже в крупнейших аферах киберпреступников.

Успей получить ТОПовую профессию в digital со скидкой 50%!

В этой статье рассмотрим реальные примеры атак психологическими методами.

Что такое социальная инженерия?

Социальная инженерия представляет собой добывание ценной информации в ходе взаимодействия с человеком и злоупотребления его доверием. Преступники спекулируют на человеческой психологии, вынуждая жертв допускать ошибки, пренебрегая элементарными правилами безопасности, в результате чего секретная информация попадает в руки мошенников.

Перед тем как запустить психологическую атаку, преступник собирает информацию. Затем он/она переходит ко второму этапу – необходимо войти в доверие к жертве. А добившись этого, при помощи различных манипуляций преступник получает всю необходимую ему информацию – цель достигнута! Таким образом, весь процесс атаки социальной инженерии основан на человеческих ошибках.

Техники социальной инженерии

Принцип атаки с использованием социальной инженерии основывается на вызове у жертвы чувства доверия. По своей природе большинство людей склонны доверять, когда к ним обращается дружелюбный и общительный человек с каким-либо вопросом или обоснованной на первый взгляд просьбой о помощи. Например, распространенным способом выманивания у сотрудника компании конфиденциальной информации по-прежнему остается телефонный звонок злоумышленника, представившегося коллегой или сотрудником техподдержки. Если социальный инженер провел предварительную работу, выяснил имя и фамилию своей жертвы, должность, рабочий телефон, придумал достоверную и убедительную историю, овладел профессиональным сленгом, то у пользователя не возникнет никаких сомнений, и он без малейшего подозрения сообщит мошеннику любую информацию, в том числе логин и пароль от своей учетной записи.

Тот факт, что большинство людей оставляют огромное количество информации о себе в сети Интернет, играет на руку социальным инженерам. По «цифровым следам» своей жертвы, её страничкам в соцсетях злоумышленник может составить представление о характере, интересах, привычках человека и использовать эти данные в ходе атаки.

Каналы связи для осуществления атак методом социальной инженерии могут быть любые: электронная почта, мессенджеры, телефонные звонки, СМС-сообщения.

Существуют различные техники социальной инженерии:

    Фишинг. Поддельные страницы сайта являются одними из самых популярных методов обмана пользователей с целью получения персональной или конфиденциальной информации. Страница, повторяющая дизайн целевой, и содержит поля для ввода логина и пароля. Ссылки на такие страницы распространяются через СМС-сообщения, электронные письма, социальные сети и мессенджеры. Причем получить фишинговое письмо можно даже от знакомого адресата. Чтобы вызвать доверие у своей жертвы, злоумышленники часто используют взломанные учетные записи.

Вишинг или «голосовой фишинг». Разновидность фишинга, когда для связи со своей жертвой злоумышленник использует телефонную связь.

Претекстинг. Техника социальной инженерии, при которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию подводит пользователя к тому, что тот совершает требуемые мошеннику действия или выдает необходимую конфиденциальную информацию. Обычно реализуется через телефон, социальные сети или электронную почту и требует предварительного сбора информации о жертве. Примером может служить телефонный звонок от имени сотрудника банка, который сообщает клиенту, что его банковская карта заблокирована и выманивает у него реквизиты карты под предлогом ее разблокировки.

  • Обратная социальная инженерия. Техника, при которой злоумышленник вынуждает жертву саму обратиться к нему за «помощью». Этим методом пользуются злоумышленники, выдающие себя за сотрудников технической поддержки. Подобная атака проходит в несколько этапов. Например, сначала злоумышленник создает на компьютере жертвы обратимую неполадку. Затем каким-либо образом сообщает пользователю о своей возможности решать подобные технические проблемы (размещает объявление или свои контакты рядом с рабочим местом пользователя или там, где он их увидит наверняка). После того как пользователь обратится к нему за помощью, злоумышленник решает проблему и заодно получает необходимый для своих целей доступ к компьютеру пользователя.
  • Защитите свои устройства

    Важно защитить устройства, чтобы даже в случае успешной атаки социальный инженер не смог получить слишком много информации. Будь то смартфон, домашняя сеть или крупная корпоративная система, принцип действия одинаков.

    • Обновляйте защиту от вирусов и вредоносного ПО. Это поможет предотвратить установку вредоносных программ по ссылкам в фишинговых письмах. Антивирусное ПО, например Kaspersky Anti-Virus, защитит ваши сети и данные.
    • Регулярно обновляйте ПО и прошивки, обращая особое внимание на исправления безопасности.
    • Не запускайте смартфон с root-правами, а сеть или компьютер – в режиме администратора. Даже если социальный инженер получит пароль к вашей учетной записи пользователя, он не сможет изменить конфигурацию системы или что-либо на нее установить.
    • Не используйте один и тот же пароль для разных учетных записей. Вы ведь не хотите, чтобы злоумышленник, завладев одним паролем, смог войти во все ваши учетные записи.
    • Для самых важных учетных записей используйте двухфакторную аутентификацию, чтобы их нельзя было взломать с помощью одного лишь пароля. Можно использовать распознавание голоса, дополнительное устройство безопасности, отпечаток пальца или SMS-подтверждение.
    • Если вы только что сообщили пароль от своей учетной записи и подозреваете, что вас «провели», немедленно смените пароль.
    • Будьте в курсе новых угроз кибербезопасности– регулярно читайте публикации нашего Центра ресурсов, чтобы узнавать о новых методах атаки по мере их появления. Так у вас меньше шансов стать их жертвой.

    Подумайте о своем цифровом следе

    Задумайтесь о вашем присутствии в Сети. Публикуя много личной информации в интернете (например, в социальных сетях), вы помогаете злоумышленникам. Например, в качестве проверочного слова многие сервисы предлагают использовать кличку вашего первого питомца. Делились ли вы этими сведениями в Facebook? Если да, то вы подвергаетесь риску! Кроме того, некоторые социальные инженеры входят в доверие, упоминая недавние события, которыми человек поделился в социальных сетях.

    Советуем сдержаннее рассказывать о себе и сделать ваши публикации доступными только для друзей. Не нужно паранойи, просто будьте аккуратны.

    Задумайтесь, какими еще аспектами своей жизни вы делитесь онлайн. Если, например, вы разместили в Сети свое резюме, стоит удалить оттуда свой адрес, номер телефона, дату рождения – любую полезную информацию, которой может воспользоваться преступник. Некоторые социальные инженеры очень тщательно готовятся к атаке, собирая все возможные данные о жертве, чтобы поймать ее на крючок. Не давайте им такой возможности.

    Читать еще:  DDOS атака для начинающи?

    Атаки с использованием социальной инженерии крайне опасны, поскольку происходят в совершенно обыденных ситуациях. Однако, полностью понимая их механизм и принимая элементарные меры предосторожности, вы гораздо меньше рискуете стать их жертвой.

    • Мошенничество с банковскими картами

    30 апреля 2020 года компания Fortinet сообщила о том, что в связи со сложившейся ситуацией, вызванной коронавирусом, люди по всему миру испытывают чувства тревожности и неуверенности, и этим не брезгуют пользоваться преступники. Они воспринимают это положение как возможность для кражи денег или личной информации путем создания мошеннических схем с использованием приемов социальной инженерии, распространяя их по электронной почте, через текстовые сообщения и телефонные звонки.

    За последние несколько недель участились попытки заманивания ничего не подозревающих жертв на зараженные веб-сайты, провоцирования перехода по вредоносным ссылкам или предоставления личной информации по телефону. И все это происходит в контексте пандемии. Многие злоумышленники пытаются выдать себя за представителей легитимных организаций, таких как Министерство здравоохранения или Всемирная организация здравоохранения (ВОЗ), предоставляя недостоверную информацию и даже обещания доступа к вакцинам – все это за деньги, конечно.

    Более того, никто не застрахован от подобных атак – от административных сотрудников, подрядчиков и стажеров до топ-менеджеров. Даже деловые партнеры могут использоваться для получения конфиденциальной информации и доступа к сетям. Даже дети тех, кто на апрель 2020 года подключаются к рабочей сети через домашнюю, могут быть потенциальными целями. Это непрекращающаяся бомбардировка, каждую минуту каждого дня, 24/7/365.

    Мошенники предпочитают путь наименьшего сопротивления. Они взламывают психологию объектов атаки (которые редко понимают кто с ними связывается на самом деле), а также полагаются на общедоступные данные для создания профилей жертв. Киберпреступники являются экспертами в искусстве маскировки, манипулирования, воздействия и создания приманок для обмана людей, с целью подтолкнуть их к разглашению конфиденциальных данных и/или предоставлению доступа к сетям и/или объектам.

    Когда речь идет о сдерживании, понимание основных векторов атаки, используемых злоумышленниками, является ключевым. Fortinet выделяет следующие варианты атак с использованием социальной инженерии.

    • Фишинг/Spearphishing – атаки на базе электронной почты, направленные на конкретного человека или всю организацию в целом, с целью побудить людей переходить по вредоносным ссылкам или предоставлять свои учетные данные/другую личную информацию.
    • Обман в социальных сетях – злоумышленники создают поддельные профили, чтобы подружиться с жертвами, выдавая себя за нынешнего или бывшего сотрудника, рекрутера или кого-то со схожими интересами, особенно это касается LinkedIn. Их цель состоит в том, чтобы обмануть жертву и вынудить ее предоставить конфиденциальную информацию/загрузить вредоносное ПО на свое устройство.
    • Просьбы под предлогом – киберпреступники фокусируются на подготовке хорошего предлога или правдоподобной истории, чтобы убедить жертву в необходимости предоставления определенной информации.
    • WaterHoling – стратегия атаки, при которой злоумышленники собирают информацию о посещениях легитимных веб-сайтов среди целевой группы лиц в определенной организации, отрасли или регионе. Затем они ищут уязвимости на этих ресурсах и заражают их вредоносным ПО. В конце концов, люди из целевой группы посетят эти веб-сайты, а затем заразятся.

    Атаки с использованием телефона:

    • Smishing – атака с использованием текстовых сообщений, якобы от надежного отправителя. Используется для того, чтобы жертва загрузила в свое устройство вирус или другую вредоносную программу.
    • Vishing – атака, при которой злоумышленник звонит на мобильный телефон, притворяясь представителем какой-либо легитимной организации, например, банка, с целью «выудить» конфиденциальную информацию (данные банковской карты и тд.). Здесь тактика заключается в подделке идентификатора вызывающего абонента. Это позволяет обставить все так, будто звонок поступил из надежного источника.

    95% всех нарушений безопасности объясняются человеческим фактором. Вот почему крайне важно, чтобы пользователи стали первой линией защиты, а для этого необходимо несколько углубить знания в области кибербезопасности.

    Эксперты Fortinet рекомендуют следующие меры для защиты личной и служебной информации:

    • С подозрением относиться к любому электронному письму или текстовому сообщению, в котором запрашивается конфиденциальная информация или финансовые транзакции.
    • Наводить курсор и просматривать все гиперссылки до нажатия, чтобы убедиться, что они ведут на легитимные ресурсы.
    • Использовать многофакторную аутентификацию для получения безопасного доступа к важным системам и базам данных.
    • Убедиться, что на защитных средствах браузера, мобильных устройств и компьютера установлены все актуальные обновления.
    • Никогда не использовать одинаковые пароли для нескольких учетных записей и устройств. Уникальность и сложность пароля имеют первостепенное значение для защиты от дополнительного риска.

    Необходимо помнить о использовать кибер-дистанцировании от злоумышленников. Держать кибер-дистанцию, избегая подозрительных запросов и контактов.

    Социальная инженерия

    Ряд нетехнических манипулирования пользователями, которые используются киберпреступниками во время атак.

    Как осуществляются атаки с использованием социальной инженерии?

    Большинство методов социальной инженерии не требуют особых технических знаний со стороны злоумышленников, а значит использовать эти методы может кто-угодно — от мелких злоумышленников до опытных киберпреступников.

    Существует много методик, которые подпадают под общее понятие социальной инженерии в области кибербезопасности. Среди самых известных методик — спам и фишинг:

    Спам — это массовая рассылка нежелательных писем. Чаще всего спам — это письмо электронной почты, которое отправляется сразу на большое количество адресов, но оно также может быть доставлено и через мгновенные сообщения, SMS и социальные сети. Сам спам не является социальной инженерией, однако в некоторых кампаниях используются его виды, такие как фишинг, целенаправленный фишинг (spearphishing), вишинг (vishing), смишинг (smishing), а также распространение вредоносных вложений или ссылок.

    Фишинг — это форма кибератаки, во время которой преступник пытается завоевать доверие жертвы для выманивания конфиденциальной информации. Для получения данных злоумышленники также создают ощущение срочности или применяют тактику запугивания. Стоит отметить, что фишинговые кампании могут быть нацелены на большое количество случайных пользователей или конкретную личность или группу.

    Другие методы злоумышленников:

    Целенаправленный фишинг — это форма фишинга, во время которой злоумышленник отправляет сообщения, направленные на конкретную группу людей или даже просто определенного человека с целью похищения данных или манипулирования ними во вредоносных целях.

    Вишинг и смишинг — это методы социальной инженерии, которые подобны фишингу, но осуществляются не через электронную почту. В частности, вишингреализуется через мошеннические телефонные звонки, а для смишинга используются SMS-сообщения, содержащие вредоносные ссылки или информацию.

    Выдача себя за другое лицо является другим популярным методом социальной инженерии, во время которого киберпреступники действуют якобы от имени определенного лица, вводя в заблуждение потенциальных жертв. Типичным примером является злоумышленник, который выдает себя за генерального директора определенной компании, заключает и утверждает мошеннические сделки, в то время как реальный генеральный директор находится в отпуске.

    Аферы с технической поддержкой — это, как правило, ложные телефонные звонки или Интернет-реклама, в которой злоумышленники предлагают жертвам услуги службы технической поддержки. На самом деле киберпреступники просто пытаются заработать деньги, продавая фейковые услуги или устраняя на самом деле несуществующие проблемы.

    Вредоносное программное обеспечение, цель которого вызвать у жертвы чувство страха или тревоги и таким образом заставить ее установить опасный код на устройство. Распространены случаи, когда пользователям отображалось сообщение о якобы заражение устройств угрозой, для удаления которой необходимо скачать антивирус (который на самом деле является вредоносным программным обеспечением).

    Читать еще:  Атака брутфор Как предотвратить? Часть 1

    Кибермошенничество — это схемы злоумышленников, в которых часто используются один или даже несколько методов социальной инженерии, описанных в этом разделе.

    Почему компании малого и среднего бизнеса должны бояться социальной инженерии?

    Согласно опросу, проведенному Zogby Analytics для Национального альянса по кибербезопасности США в 2019 году, все больше компаний осознают, что они являются целями киберпреступников. В частности, почти половина (44%) компаний с численностью работников 251-500 заявили, что сталкивались со случаями нарушения данных в течение последних 12 месяцев. Опрос также показал, что 88% представителей малого бизнеса считают, что они являются по крайней мере «вероятной» целью для киберпреступников, в том числе почти половина (46%) считают, что они — «очень вероятная» цель.

    По оценкам Центра приема жалоб на мошенничество в Интернете (IC3) при ФБР, только в 2018 году в результате кибератак американские компании потеряли более 2,7 миллиардов долларов, в том числе 1,2 миллиарда долларов в результате атак с использованием компрометации деловой переписки (BEC)/компрометации электронных писем (EAC), которые позволяли несанкционированно переводить средства.

    Как осуществляются атаки с использованием социальной инженерии?

    Существует несколько признаков, которые помогут идентифицировать такую атаку. В частности, одна из них — плохая грамматика и правописание. Еще одной заметной чертой является чувство срочности, которое злоумышленники пытаются создать для уменьшения бдительности жертвы. Любой запрос на конфиденциальные данные также может вызвать подозрение: авторитетные компании никогда не просят отправить им пароли или другие личные данные по электронной почте или текстовыми сообщениями.

    Некоторые из признаков, которые помогут выявить социальную инженерию:

    1. Плохая грамматика или слишком официальная лексика.

    Как правило, злоумышленники не уделяют внимание деталям и присылают сообщение с ошибками, пропущенными словами и плохой грамматикой. Еще один языковой элемент, который может сигнализировать о возможной атаке — это формальные приветствия и фразы.

    2. Странный адрес отправителя.

    Большинство злоумышленников не тратят время на создание правдоподобного имени или домена отправителя. Итак, если электронное письмо поступает с адреса, который является набором случайных чисел и символов, или получатель вообще неизвестен, следует переместить письмо в папку спам.

    3. Чувство срочности.

    Преступники часто пытаются запугать жертв с помощью фраз, которые вызывают тревогу, например, «срочно пришлите нам свои данные, или ваша посылка будет уничтожена» или «если вы не обновите свой профиль сейчас, мы его удалим». Банки, компании по доставке, государственные учреждения и даже внутренние отделы компаний обычно общаются нейтрально и просто констатируют факт. Поэтому, если в сообщении пытаются заставить получателя действовать очень быстро, это может быть признаком атаки.

    4. Запрос на конфиденциальную информацию.

    Официальные учреждения и даже отделы компании обычно не требуют отправки конфиденциальной информации по электронной почте или телефону, если об этом предварительно не договаривались.

    5. Что-то звучит слишком хорошо, чтобы быть правдой.

    Это касается розыгрышей подарков в социальных сетях, а также электронных писем с уникальными и ограниченными предложениями.

    5 способов защитить свою организацию от атак с использованием социальной инженерии

    1. Регулярное обучение по кибербезопасности всех работников, включая топ-менеджмент и ИТ-специалистов. Такое обучение должно показывать и моделировать случаи из реальной жизни, поскольку методы социальной инженерии рассчитаны на пользователей с низким уровнем осведомленности в кибербезопасности.

    2. Совершайте сканирование на наличие слабых паролей, которые могут использовать злоумышленники для попадания в сеть вашей организации. Кроме того, создайте дополнительный уровень защиты с помощью двухфакторной аутентификации.

    3. Внедряйте решения для защиты, которые предупреждают о возможных случаях мошенничества, а также сообщают об обнаружении спама и фишинга.

    4. Создайте понятную политику безопасности с четким планом действий, которые нужно выполнить работникам, если они столкнутся с проявлениями социальной инженерии.

    5. Используйте решения для управления, , например, ESET Security Management Center, чтобы обеспечить администраторам полный обзор сети, всех решений для защиты и событий для выявления и обезвреживания потенциальных угроз.

    Краткое введение в социальную инженерию

    Intro

    Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать.
    Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.
    Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.

    Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.

    К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.
    К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны.
    Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.

    Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности злоумышленника. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусорных контейнеров организаций, виртуальных мусорных корзин, кража портативного компьютера и других носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

    Техники социальной инженерии

    Все техники социальной инженерии основаны на особенностях принятия решений людьми.
    Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.

    Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

    Читать еще:  Кто делает недоступными наши сайты? DDoS атак

    Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

    Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
    Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.

    Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

    Обратная социальная инженерия.
    Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:
    Диверсия: Создание обратимой неполадки на компьютере жертвы.
    Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру» (это в большей степени касается сотрудников, которые находятся в командировке или отпуске).

    Меры противодействия

    Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения.
    Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить.

    Вот некоторые правила, которые будут полезны:

    1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций).

    Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании.

    В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует.

    2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение.

    3. Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь.

    Все описанные меры достаточно простые, однако большинство сотрудников забывают про эти меры и про тот уровень ответственности, который на них возложен при подписании обязательств о неразглашении коммерческой тайны. Компанией тратятся огромные финансовые средства на обеспечение информационной безопасности техническими методами, однако эти технические средства могут быть обойдены, если сотрудники не будут применять меры по противодействию социальным инженерам, а службы безопасности не будут периодически проверять бдительность персонала компании. Тем самым средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.

    Цели тестирования

    Когда договариваешься с заказчиком, первым делом нужно убедиться, что вы оба верно представляете себе цели тестирования. Заказчик обычно хочет:

    • подготовить или оценить работу центра реагирования на инциденты (CERT, SOC);
    • оценить осведомленность сотрудников;
    • корректно настроить спам-фильтры, песочницы и антивирусы.

    В любом из этих случаев твоя задача будет заключаться в том, чтобы узнать, как пользователи реагируют на фишинговые рассылки, но недопонимания все равно случаются. Бывало, что после нашей рассылки заказчик просил расследовать инцидент, забыв о том, что заказывал пентест. Или ИТ-отдел заказчика, видя аномалию почтового трафика, блокировал наши рассылки.

    Но что в таком случае протестировал заказчик? Группу реагирования? Мониторинг? Точно — не реакцию пользователей. Так что нужно обговаривать подобные моменты и понимать, какие цели мы преследуем. В зависимости от них можно будет определить, как проводить дальнейшую рассылку.

    В итоге если заказчик хочет от нас, чтобы мы тестировали именно пользователей, то письма можно слать всем им, договорившись, чтобы рассылки не блокировали. Но если ставится задача не только проверить реакцию сотрудников, но и протестировать спам-фильтры, мы обычно выбираем небольшое количество пользователей, которые наименее осведомлены в вопросах безопасности, например бухгалтерию, административный отдел или юристов — в общем, всех, кто не связан с ИТ. И рассылаем только им: с задержкой по времени и индивидуальным подходом к каждому.

    Также нужно помнить, что наши цели не те же самые, что у настоящих злоумышленников. Для них главное — заразить рабочие станции пользователей и развить атаку, попав во внутреннюю инфраструктуру организации, чтобы, например, получить конфиденциальную информацию. Для нас же важно лишь узнать, как среагировал пользователь: открыл ли вложение, в какое время, какие у него ОС и браузер — в общем, все, что может помочь заказчику устранить проблемы.

    Что роднит пентест с настоящей атакой — это обход всех возможных политик безопасности. Нам точно так же, как и злоумышленнику, нужно доставить фишинговую ссылку или пейлоад до рабочей станции пользователя.

    Как защититься от социальной инженерии?

    • Избегайте использования личной информации, например, даты рождения, клички питомца, имени ребенка и так далее в качестве логина или пароля.
    • Не пользуйтесь слабыми паролями. Если не можете запомнить сложный – воспользуйтесь менеджером паролей.
    • Будьте внимательнее, когда наталкиваетесь на очевидную ложь. Социальный инженер не знает достаточно сразу для того, чтобы взломать Вас; к вам обратятся с неверной информацией в надежде, что вы их поправите, и тогда они продолжат тянуть из вас данные. Не ведитесь на такие уловки!
    • Удостоверьтесь в подлинности отправителя и домена прежде чем делать что-то по инструкции из письма.
    • Свяжитесь с банком, как только заметите любую подозрительную активность на Вашем аккаунте.
    • Если вы внезапно потеряли сигнал на телефоне, свяжитесь с провайдером немедленно, возможно вы столкнулись с клонированием сим-карты.
    • Включите 2х факторную аутентификацию (2-FA) для сервисов, которые ее поддерживают.

    Эти шаги не являются панацеей от социальной инженерии, но они точно сделают вас более сложной мишенью для хакеров.

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector