Социальная инженерия: использование уязвимости человека

Любой компьютерный специалист согласится с тем, что безопасность является главным приоритетом на всех уровнях модели OSI. Но часто самая большая угроза исходит не из сети, а с фиктивного уровня 8: 40 см перед экраном, где пользователи взаимодействуют с технологиями. Киберпреступники научились манипулировать типичными человеческими чертами характера и поведенческими моделями, такими как услужливость, доверие, уважение, гордость, благодарность, неприятие конфликтов или страх, чтобы получить незаконный доступ к ИТ-системам — метод, известный как социальная инженерия, который угрожает миллиардам людей каждый год. Для компаний очень важно обучить сотрудников соответствующим образом и предоставить четкие рекомендации по работе с конфиденциальной информацией.

Вы можете иметь самый надежный пароль в мире, но он ничего не значит, если его свободно сообщают незнакомым людям. Социальная инженерия представляет собой ряд психологических уловок, используемых в форме промышленного шпионажа для получения важной информации о безопасности от сотрудников. Злоумышленники используют эту информацию, чтобы проникнуть в ИТ-систему компании и получить доступ к защищенным данным. Это известно как социальный хакинг — полный процесс успешного использования социальной инженерии. Кроме того, социальная инженерия используется для того, чтобы склонить сотрудников к неосторожным действиям. Это может быть установка неизвестных программ или проведение сомнительных финансовых операций. Прямой контакт между преступником и жертвой также не является обязательным условием. Фишинг электронной почты — это тоже косвенная форма социальной инженерии. Еще один традиционный прием — звонок от якобы системного администратора с просьбой сообщить пароль пользователя для устранения неполадок.

Хотя идея социальной инженерии поначалу может показаться банальной, на самом деле доказано, что это один из самых эффективных методов проникновения. Причина этого заключается в том, что существуют определенные положительные и отрицательные черты характера, присущие практически каждому человеку. Так, в большинстве культур считается социально желательным показаться милым, внимательным и услужливым. Многим людям трудно отказать в просьбе в чрезвычайной, по их мнению, ситуации. Другие всегда будут стараться сотрудничать из-за страха неправильно отреагировать в незнакомой ситуации.

Но не всегда хорошие качества человеческого поведения оказываются в центре внимания экспериментов по манипулированию. Гордость за свою работу или успех компании может побудить всех, от сотрудников до генеральных директоров, хвастаться и раскрывать конфиденциальную информацию — например, на инсценированном интервью, перед клиентами или при встрече с новыми кандидатами на работу. Склонность избегать конфликтов также часто заставляет людей идти против важнейших правил безопасности. Но самым сильным мотивом всех иррациональных действий является страх. Примером использования страха в данном случае может служить угроза подставного поставщика отключить Интернет на вторую половину дня, если ему не будет предоставлена информация о маршрутизаторе и его конфигурации. Если звонящий использует много актуальной, специфической терминологии и ощущение срочности и угрозы, это может оказать сильное давление на сотрудников, особенно на тех, кто слабо разбирается в технических вопросах. Социальные хакеры также используют страх сотрудников перед начальством: популярный прием — отправлять по электронной почте фиктивные платежные инструкции, выдавая себя за начальника.

Пытаясь заставить своих жертв чувствовать себя комфортно, хакеры обычно выдают себя за коллег, начальников или соискателей. Но если они пытаются использовать внешний подход, мошенники иногда выдают себя за поставщиков сопутствующих услуг, проводящих опросы удовлетворенности клиентов или исследования для какого-либо института, заинтересованных потенциальных партнеров или даже недовольных или растерянных клиентов.

Социальные инженеры также не всегда ограничиваются одноразовым взаимодействием. Некоторые из них предпочитают вести светские беседы, чтобы сотрудник чувствовал себя непринужденно, или сначала задают определенные рутинные вопросы, чтобы сделать подход более правдоподобным. Эти методы обычно работают за счет создания уровня доверия и понимания между сотрудником и хакером, когда хакер предлагает правдоподобные вопросы и предоставляет информацию о себе настолько, что жертва подсознательно убеждается, что хакеру можно доверять. Помните: Такие атаки обычно тщательно планируются и изучаются. Некоторые популярные источники информации для такого исследования включают веб-сайт компании и социальные сети, такие как Facebook или LinkedIn. А в крайних случаях хакеры идут дальше и устраивают «мусорный дайвинг», то есть роются в мусоре компании в поисках выброшенных деловых документов.

Несмотря на такие методы, как погружение в мусорные контейнеры в исследовательских целях, большинство атак социальной инженерии осуществляется по электронной почте или по телефону, поскольку эти методы требуют меньших технических усилий и большей анонимности. Но это не значит, что это единственная опасность для вашей компании. Разглашение коммерческих секретов, паролей или других подсказок для доступа в общественных местах, таких как бары, кафе или рестораны, может подвергнуть вашу компанию риску, даже если это происходит в непринужденной обстановке с другими коллегами о таких, казалось бы, безобидных вещах, как цифры, рабочие процессы или контакты клиентов. Сотрудники регулярно получают деловые звонки на свои личные мобильные телефоны и часто чувствуют себя открыто и комфортно, обсуждая деловые вопросы на публике, не обращая внимания на то, кто может их подслушивать.

Программный вариант социальной инженерии, основанный на использовании специальных вредоносных программ, которые пугают пользователей, заставляя их выполнять определенные действия. Такой вариант известен как «программы устрашения». Подобные программы обычно работают следующим образом: программа создает внезапную и тревожную угрозу, которая появляется на экране пользователя, предлагая при этом простое решение, как это сделала бы ваша операционная система. Угроза является фальшивой, а решение на самом деле предоставляет злоумышленнику важную информацию о безопасности. Программы-страшилки обычно занимают центральную часть экрана компьютера, когда появляются, чтобы воспользоваться нашей склонностью просто нажимать «продолжить» или «ок», когда на экране появляются сообщения. Обычно они принимают вид обычных названий брендов и логотипов, которые мы узнаем, чтобы обманом заставить вас установить вредоносное программное обеспечение, которое может получить доступ к вашей личной информации.

Например, программа-пугало может маскироваться под бесплатную антивирусную программу, предназначенную для информирования пользователя при установке о ряде вымышленных компьютерных вирусов и защиты компьютера с помощью полной версии, которую можно загрузить за символическую плату. Если пользователь вводит платежные реквизиты, предупреждения просто отключаются.

Программам-страшилкам даже не обязательно внедряться в операционную систему компьютера. В некоторых случаях вас может обмануть всплывающее окно или другая анимация на сайте, предупреждающая о том, что вы стали жертвой взлома, и предлагающая решение. Предлагаемое здесь «средство защиты», как правило, и есть настоящая атака, часто осуществляемая с помощью троянского коня, который заставляет вас загрузить вредоносное программное обеспечение. Разновидностью этой схемы атаки является отображение фальшивого сообщения об ошибке в виде предупреждения браузера, а не уведомления на веб-странице. Это может быть более успешным, поскольку пользователи склонны доверять своим браузерам больше, чем веб-страницам.

Когда речь заходит о защите вашей компании от социальной инженерии, самое главное — сделать так, чтобы ваши сотрудники полностью осознавали, что они имеют доступ к конфиденциальной информации. Обучение — эффективный способ повышения осведомленности о теме экономического шпионажа, поскольку это дает вам возможность объяснить распространенные схемы атак, подобные вышеупомянутым, и их последствия для сотрудников и бизнеса. Также разумно создать свод строгих правил, касающихся работы с конфиденциальными данными компании, чтобы дополнить существующий кодекс поведения на рабочем месте. Каждый сотрудник должен четко знать, какая информация считается секретной, где можно использовать конфиденциальные данные и как их следует хранить.

Стандартные процедуры для административной деятельности также могут быть использованы для обеспечения защиты сотрудников и подсказки, как вести себя в критических ситуациях. Например, если каждый офисный работник знает, что строго запрещено сообщать личные пароли от ИТ-сети компании по электронной почте или телефону, даже если об этом попросит руководитель или коллега, то хакерам будет сложнее получить эту информацию.

Поскольку социальная инженерия основана на человеческом факторе, трудно полностью устранить ее опасность с помощью превентивных мер. Всегда существует вероятность того, что хакеры сумеют сотворить свою магию, но вы можете усложнить доступ хакеров к вашей конфиденциальной информации, если обязательно учтете следующие моменты:

• Сохраняйте здоровую подозрительность к незнакомцам в бизнесе: чем крупнее компания, тем легче преступникам выдавать себя за коллег, поставщиков услуг или других деловых партнеров. Защитить себя от этой опасности в определенной степени можно, просто сохраняя здоровую подозрительность к незнакомым людям. Чувствительные данные следует предоставлять только тем коллегам, чья личность может быть подтверждена. Знакомясь с каждым новым сотрудником и регулярно проводя командные мероприятия, вы можете укрепить свои знания о коллегах и сотрудниках, чтобы быть уверенным, что вас никогда не подстерегут.

• Не сообщайте по телефону частные подробности: как правило, конфиденциальную информацию никогда не следует сообщать по телефону. Особенно это касается входящих звонков и разговоров с неизвестными партнерами по общению. Даже, казалось бы, неважная или случайная информация может быть использована хакерами, которые собирают информацию о работе вашей компании, чтобы в дальнейшем обмануть сотрудника.

• Опасайтесь электронных писем с неизвестными адресами отправителей: если отправителя электронного письма не удается легко определить, будьте осторожны. Все сотрудники должны сообщить об этом электронном сообщении руководителю или сотруднику ИТ-отдела, прежде чем отправлять какой-либо ответ. Если в сообщении содержится необычный или неожиданный призыв к действию, например, требование оплатить задолженность, очень важно проверить подлинность этого требования, прежде чем выполнять запрос.

• Будьте внимательны к странным ссылкам или вложениям электронной почты: то и дело пользователи Интернета обнаруживают в своем почтовом ящике письма, содержащие ссылки на формы или веб-страницы с просьбой предоставить данные. Хакеры используют подобные методы, чтобы завладеть банковской информацией, паролями или номерами клиентов. Но в мире бизнеса подобные методы совершенно не нужны. Серьезные банки, интернет-магазины или страховые компании никогда не попросят вас открыть отдельную веб-страницу и ввести конфиденциальную информацию. Будьте внимательны и к вложениям файлов в электронных письмах. Они могут содержать шпионские или вредоносные программы, которые устанавливаются в фоновом режиме и предоставляют хакерам внешний доступ к вашей системе. Вы можете минимизировать этот риск, убедившись, что сотрудники открывают вложения только от доверенных отправителей.

• Обеспечьте защиту данных в социальных сетях: в большинстве случаев атаки с использованием социальной инженерии готовятся задолго до того, как произойдет взлом. Наряду с информацией на сайте компании, мошенники часто используют данные, легкодоступные в социальных сетях, чтобы создать правдоподобную предысторию для попытки манипуляции. В целом, правила таковы: чем больше информации о себе сотрудники или коллеги предоставляют в социальных сетях, тем более уязвимы они перед опасностями социальной инженерии. Доведя до сведения своих сотрудников этот факт, вы можете повысить вероятность того, что они будут использовать приватные настройки на таких сайтах, как Facebook, Instagram или Twitter. Есть также возможность установить обязательные ограничения в кодексе поведения вашего офиса, хотя лишать сотрудников свободы не всегда рекомендуется.

Сложность темы и разнообразие подходов, используемых хакерами, не позволяют подготовить персонал ко всем типам атак социальной инженерии. Но с помощью регулярных тренингов и образовательных семинаров о важности защиты данных вы можете повысить осведомленность о потенциальной опасности, которую представляют киберхакеры. Однако превентивные меры никогда не должны заходить слишком далеко. Если они начинают вредить командному духу, создают атмосферу всеобщего недоверия к коллегам или порождают страх перед ошибками, то от них больше проблем, чем пользы.