Противодействие методам социальной инженерии: Социальная инженерия – защита и предотвращение
Содержание
Социальная инженерия – защита и предотвращение
Что такое социальная инженерия?
При слове «кибербезопасность» большинство думает о том, как защититься от хакеров, использующих технические уязвимости сетей. Но есть и другой способ проникнуть в организации и сети – через человеческие слабости. Это и есть социальная инженерия: способ обманом заставить кого-то раскрыть информацию или предоставить доступ к сетям данных.
Например, некто, притворяясь сотрудником службы поддержки, может попросить пользователей сообщить их пароли. Удивительно, как часто люди добровольно выдают эти данные, особенно если им кажется, что запрос поступает от уполномоченного лица.
Проще говоря, в случае социальной инженерии мошенники манипулируют людьми, чтобы получить от них информацию или доступ к ней.
=»Как работает социальная инженерия»
Виды атак с использованием социальной инженерии
Атаки с использованием социальной инженерии бывают разными. Поэтому важно в целом понимать, что такое социальная инженерия и как она работает. Научившись распознавать основной механизм действия, вы сможете гораздо легче вычислять подобные атаки.
Ловля «на живца»
Ловец «на живца» оставляет приманку – например, флешку с вирусом. Нашедший из любопытства вставляет ее в свой компьютер, и вирус поражает систему. Существует даже флешка, повреждающая компьютеры, – она заряжается через USB-порт и затем высвобождает мощный заряд через устройство ввода. И стоит такая флешка всего 54 доллара США.
Претекстинг
Злоумышленник использует предлог, чтобы привлечь внимание жертвы и заставить ее сообщить информацию. Например, во время безобидного, казалось бы, интернет-опроса у вас могут попросить данные вашего банковского счета. Или к вам подойдет человек с папкой документов и скажет, что проверяет внутренние системы. Но он может оказаться мошенником, пытающимся похитить у вас ценные данные.
Фишинг
При фишинговой атаке вы получаете письмо или сообщение от кажущегося надежным источника с просьбой предоставить информацию. Хорошо известный пример – письмо якобы от банка, который просит клиентов «подтвердить» конфиденциальную информацию и направляет их на поддельный сайт, где их учетные данные будут зафиксированы. Целевой фишинг – это отправка письма определенному сотруднику якобы от высшего руководства компании, запрашивающего конфиденциальные сведения.
Вишинг и смишинг
Это две разновидности фишинга. Первая подразумевает «голосовой фишинг», то есть телефонное мошенничество. Злоумышленник может притвориться сослуживцем – например, сотрудником IT-отдела, которому нужны ваши учетные данные. Вторая – попытка получить данные посредством SMS-сообщений.
«Ты – мне, я – тебе»
Говорят, честный обмен – не грабеж, но не в этом случае. Многие социальные инженеры убеждают своих жертв в том, что те получат что-то в обмен на данные или доступ к ним. Так работает фальшивый антивирус, предлагающий пользователю устранить угрозу на его компьютере, хотя сам «антивирус» и есть угроза.
Взлом электронной почты и рассылка по контактам
Злоумышленник взламывает почту человека или его учетную запись в социальной сети, получая доступ к его контактам. Теперь от имени жертвы он может сообщить им, что его ограбили, и попросить перечислить ему денег или разослать ссылку на вредоносное ПО или клавиатурный шпион под видом интересного видео.
«Охота» и фарминг
И наконец, несколько более продвинутых методов социальной инженерии. Большинство простых методов, описанных выше, являются формой «охоты». Все просто: проникнуть, захватить информацию и убраться восвояси.
Однако некоторые социальные инженеры налаживают связь с жертвой, чтобы получить больше данных за более длительный период времени. Этот метод известен как фарминг и представляет для злоумышленника повышенный риск разоблачения. Но в случае успеха он также дает гораздо больший «урожай».
Как избежать атаки с использованием социальной инженерии
Социальным инженерам особенно сложно противодействовать, поскольку они используют особенности человеческой натуры – любопытство, уважение к властям, желание помочь другу. Но есть ряд советов о том, как обнаружить их атаки.
Проверяйте источник
Задумайтесь на минуту о том, откуда исходит сообщение, – не доверяйте ему слепо. На вашем столе неизвестно откуда появилась флешка? Вам внезапно позвонили и сообщили, что вы получили в наследство 5 миллионов долларов? Ваш руководитель просит в письме предоставить ему массу данных об отдельных сотрудниках? Все это выглядит очень подозрительно, поэтому и действовать следует с осторожностью.
Проверить источник нетрудно. Например, посмотреть на заголовок электронного письма и сравнить его с другими письмами того же отправителя. Проверьте, куда ведут ссылки, – поддельные гиперссылки легко выявить, просто наведя на них курсор (только не нажимайте!). Проверьте орфографию: в банках над перепиской с клиентами работают целые отделы квалифицированных специалистов. Письмо с явными ошибками, вероятно, подделка.
Если сомневаетесь, перейдите на официальный сайт, свяжитесь с представителем и попросите подтвердить или опровергнуть сообщение.
Что им известно?
Знает ли тот, кто вам звонит или пишет, всю соответствующую информацию – например, ваше полное имя? Сотрудник банка уж точно должен иметь перед глазами все ваши данные и обязательно спросит проверочное слово, прежде чем разрешит вам вносить изменения в свой счет. Если этого не произошло, с большой долей вероятности письмо, сообщение или звонок – фальшивка. Будьте осторожны!
Остановитесь и подумайте
Социальные инженеры часто используют иллюзию срочности в расчете на то, что жертва не будет особо задумываться о происходящем. Всего минута размышлений может помочь вам выявить и предотвратить атаку.
Не спешите сообщать данные по телефону или переходить по ссылке. Лучше перезвоните по официальному номеру или перейдите на официальный сайт. Используйте другой способ связи, чтобы проверить благонадежность источника. Например, если друг в электронном письме просит перечислить ему деньги, напишите или позвоните ему по телефону, чтобы убедиться, что письмо действительно от него.
Требуйте данные, удостоверяющие личность
Социальному инженеру проще всего проникнуть в охраняемое здание, неся в руках коробку или кипу папок. Кто-нибудь обязательно придержит для него дверь. Не попадайтесь на эту удочку: всегда требуйте удостоверение личности.
То же правило действует и в других ситуациях. Если у вас запрашивают информацию – уточните имя и номер звонящего или его непосредственного руководителя. Затем просто проверьте эту информацию в интернете или справочнике прежде, чем сообщать какие-либо персональные данные. Если вы не знаете человека, который запрашивает информацию, и все еще сомневаетесь – скажите, что уточните у кого-нибудь и потом перезвоните.
Используйте надежный спам-фильтр
Если ваш почтовый клиент недостаточно тщательно фильтрует спам или не помечает письма как подозрительные, попробуйте изменить настройки. Хорошие спам-фильтры используют разнообразную информацию для распознавания нежелательных писем. Они могут выявлять подозрительные файлы или ссылки, заносить в черный список ненадежные IP-адреса или сомнительных отправителей и анализировать содержимое писем, чтобы обнаруживать фальшивки.
Насколько это правдоподобно?
Некоторые социальные инженеры рассчитывают на то, что вы не станете вдумываться. Попробуйте оценить, насколько реалистична ситуация, – так вы можете избежать атаки. Например:
- Если бы ваш друг действительно застрял в Китае, он бы вам скорее написал на почту, позвонил или написал SMS?
- Насколько вероятно, что нигерийский принц оставил вам в наследство миллион долларов?
- Стал бы банк по телефону узнавать данные вашего счета? Кстати, многие банки фиксируют все звонки клиентам и всю переписку с ними. Так что, если вы не уверены, – перепроверьте.
Не спешите
Будьте особенно осторожны, если вам внушают, что ситуация неотложная. Это стандартный способ злоумышленников помешать вам все обдумать. Если чувствуете, что на вас давят, – притормозите. Скажите, что вам нужно время, чтобы добыть информацию, вам нужно спросить своего начальника, у вас сейчас нет нужных данных, – что угодно, чтобы дать себе время на осмысление.
В большинстве случаев мошенник не станет рисковать, осознав, что эффект неожиданности пропал.
Защитите свои устройства
Важно защитить устройства, чтобы даже в случае успешной атаки социальный инженер не смог получить слишком много информации. Будь то смартфон, домашняя сеть или крупная корпоративная система, принцип действия одинаков.
- Обновляйте защиту от вирусов и вредоносного ПО. Это поможет предотвратить установку вредоносных программ по ссылкам в фишинговых письмах. Антивирусное ПО, например Kaspersky Anti-Virus, защитит ваши сети и данные.
- Регулярно обновляйте ПО и прошивки, обращая особое внимание на исправления безопасности.
- Не запускайте смартфон с root-правами, а сеть или компьютер – в режиме администратора. Даже если социальный инженер получит пароль к вашей учетной записи пользователя, он не сможет изменить конфигурацию системы или что-либо на нее установить.
- Не используйте один и тот же пароль для разных учетных записей. Вы ведь не хотите, чтобы злоумышленник, завладев одним паролем, смог войти во все ваши учетные записи.
- Для самых важных учетных записей используйте двухфакторную аутентификацию, чтобы их нельзя было взломать с помощью одного лишь пароля. Можно использовать распознавание голоса, дополнительное устройство безопасности, отпечаток пальца или SMS-подтверждение.
- Если вы только что сообщили пароль от своей учетной записи и подозреваете, что вас «провели», немедленно смените пароль.
- Будьте в курсе новых угроз кибербезопасности– регулярно читайте публикации нашего Центра ресурсов, чтобы узнавать о новых методах атаки по мере их появления. Так у вас меньше шансов стать их жертвой.
Подумайте о своем цифровом следе
Задумайтесь о вашем присутствии в Сети. Публикуя много личной информации в интернете (например, в социальных сетях), вы помогаете злоумышленникам. Например, в качестве проверочного слова многие сервисы предлагают использовать кличку вашего первого питомца. Делились ли вы этими сведениями в Facebook? Если да, то вы подвергаетесь риску! Кроме того, некоторые социальные инженеры входят в доверие, упоминая недавние события, которыми человек поделился в социальных сетях.
Советуем сдержаннее рассказывать о себе и сделать ваши публикации доступными только для друзей. Не нужно паранойи, просто будьте аккуратны.
Задумайтесь, какими еще аспектами своей жизни вы делитесь онлайн. Если, например, вы разместили в Сети свое резюме, стоит удалить оттуда свой адрес, номер телефона, дату рождения – любую полезную информацию, которой может воспользоваться преступник. Некоторые социальные инженеры очень тщательно готовятся к атаке, собирая все возможные данные о жертве, чтобы поймать ее на крючок. Не давайте им такой возможности.
Атаки с использованием социальной инженерии крайне опасны, поскольку происходят в совершенно обыденных ситуациях. Однако, полностью понимая их механизм и принимая элементарные меры предосторожности, вы гораздо меньше рискуете стать их жертвой.
Ссылки по теме
Социальная инженерия – определение
Как вредоносное ПО проникает на компьютеры и в информационные системы
Мошенничество с техподдержкой
Противодействие социальной инженерии в Академия Информационных Систем
Кандидат психологических наук, ведущий эксперт по специальной психологической подготовке, действительный член Профессиональной психотерапевтической лиги, автор и ведущий тренингов АИС
Кандидат психологических наук, специалист по психологической подготовке к экстремальным видам деятельности, действительный член Профессиональной психотерапевтической лиги, до недавнего времени профессор Академии ГЗ МЧС РФ.
Профессиональный опыт
Участвовала в разработке и реализации программы психологической подготовки сотрудников СОБР МВД РФ.
Тренинги по противодействию манипуляциям в ходе профессиональной деятельности для Территориального управления Федеральной службы финансово-бюджетного надзора в городе Москве, Министерства финансов РФ, Государственной Думы РФ.
Преподавала в Институте МВД по борьбе с организованной преступностью курсы «Психологическая подготовка сотрудников ОВД» и «Психология ОРД (оперативно-розыскная деятельность)».
2009-н.в. – начальник отдела обучения персоналаООО «Универсал – Максим – Гранит»: подбор и обучение сотрудников, разработка и внедрение систем адаптации, оценки и мотивации персонала;
2012–2015 – ведущий тренер Института развития личности и бизнеса ( более 150 тренингов).
Преподавательская деятельность
2015 – н.в. — ведущий эксперт Академии Информационных Систем по курсам психологической подготовки
2011 – н.в. — профессор Академии ГЗ МЧС РФ, курс «Психологическая устойчивость в чрезвычайных ситуациях»
2010 – 2011 — РАГС, преподаватель МВА, курсы «Управления конфликтами и стрессами», «Сопротивление изменениям в организации»
2008 – 2010 — Московский государственный психолого-педагогический университет, факультет Государственное и муниципальное управление, доцент кафедры «Организационная и экономическая психология».
2008 – 2010 — Научно-исследовательская лаборатория «Организационная и экономическая психология», старший научный сотрудник
2003 – 2008 — НОУ Институт Международных Экономических Отношений, доцент кафедры гуманитарных дисциплин
1994 – 2003 — Тверской филиал Московского института МВД РФ, доцент кафедры гуманитарных дисциплин, аттестованный сотрудник ОВД
Выступления и публикации
13 научно-методических печатных работ
Учебное пособие «Этика государственной службы»
Образование
1977 – 1982 — Тверской государственный университет, исторический факультет
1993 – 1994 — Тверской государственный университет, психологический факультет
1997 — кандидат психологических наук
2008 — Санкт-Петербургский Государственный Университет, повышение квалификации по теме «Экстремальная психология»
2008 — Центр защиты от стресса, обучение по методу управляемой психофизиологической саморегуляции «Ключ», по программе «Психотехнологии оказания помощи и самопомощи в чрезвычайных ситуациях»
Темы тренингов
Методы экспресс-психодиагностики в работе с персоналом.
Виды и техники проведения оценочных интервью.
Визуальная психодиагностика
Профайлинг. Техники распознавания лжи.
Экстремальные и жесткие переговоры
Переговоры по возвращению долгов
Переговорные поединки
Тренинг эффективных переговоров
Профессиональные навыки эффективных переговорщиков.
Стресс-менеджмент. Индивидуальная антистрессовая программа для руководителей.
Психологическая и эмоциональная устойчивость в экстремальных ситуациях.
Бизнес-этикет и межкультурная коммуникация.
Бизнес-вербовка.
Техники выхода из конфликтных ситуаций и ситуаций агрессивного контакта.
Выступление в агрессивной среде.
Распознавание манипуляций и техники противодействия им.
Самомотивация и позитивный настрой.
Самомотивация и целеполагание.
Корпоративная игра «Мафия».
Пандемия и социальная инженерия. Что изменилось и как противодействовать?
Социальная инженерия — манипулирование поведением людей с целью совершения ими определенных действий, в том числе разглашение конфиденциальной информации, установка вредоносного программного обеспечения, результат — хищение денежных средств. Социальная инженерия известна с библейских времен: змий обещал Еве, что если вкусить запретный плод, то люди станут равными Богу, на самом же деле люди были изгнаны из рая. Змий — тот самый социальный инженер, который путем обмана добился желаемых для себя действий со стороны людей. Меняются технологии, мы живем в эпоху цифровизации, но люди не меняются, пороки и слабости остаются, к сожалению, прежние. Так что же заставляет людей верить мошенникам? И как на потенциальных жертв повлияла пандемия?
Как утверждает гештальт-психолог Наталья Савенко, общим для всех кризисов является ощущение дезадаптации, и пандемия COVID‑19 не исключение. Во время пандемии и карантина меняется привычная окружающая среда, стратегии поведения, система планирования (отпуск, учеба, бюджет, способы передвижения). Психика человека приходит в стрессовое состояние, и запускаются адаптационные процессы. Организм использует резервы, которые в норме не задействованы, когнитивные функции становятся обслуживающими и реагируют на эмоциональное состояние, поэтому память и внимание на какой-то период времени ухудшаются. Как следствие, повышенная подверженность влиянию мошенников. То есть если в норме человек не склонен верить в «подозрительные транзакции», о которых сообщают с незнакомого номера, в состоянии стресса тревожность побеждает, и человек становится жертвой.Во время пандемии появились новые схемы, связанные с новыми событиями и процессами, — получение пропусков, пособий, штрафы за нарушение карантина, продажа средств защиты и т. п. По данным отчета компании Positive Technologies «Актуальные киберугрозы: II квартал 2020 года», тема COVID‑19 была затронута в 16% атак с использованием методов социальной инженерии, 36% таких атак не были привязаны к конкретной отрасли (в качестве целей предполагали широкий круг лиц), 32% атак были направлены против частных лиц.Во время карантина и удаленной работы появились новые факторы, которые службам безопасности банков приходится учитывать: обработка клиентских документов на домашних компьютерах, использование плохо защищенного домашнего интернета и незащищенных каналов связи (Skype, ZOOM). Как утверждает Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка, «очевидно, что при работе в удаленном режиме с конфиденциальными данными у недобросовестного работника больше возможностей для различных злоупотреблений, чем на рабочем месте в офисе, где есть и системы видеонаблюдения, и коллеги. Так, например, некоторые компании организовывают удаленный доступ таким образом, что при этом принудительно подключается видеокамера домашнего компьютера сотрудника, фиксирующая все его действия в период удаленной работы в корпоративной сети.Также могут возникать риски, связанные с недостаточной защищенностью каналов связи с корпоративной сетью, и т. п.Александр Вураско, ведущий аналитик INFOSECURITY, отмечает, что сейчас наблюдается увеличение фишинговых атак на корпоративных клиентов банков. Фишинговые сайты нацелены на компрометацию ДБО, малый и средний бизнес, и чаще всего мошенники предлагают скачать банковский троян. Произошел всплеск атак на банки из первой «двадцатки», а под клиентов шести-семи основных банков даже появились универсальные скрипты. Активизировались и мошенники, нацеленные преимущественно на физических лиц, причем, по данным Александра Вураско, чаще всего это теплые звонки. Безусловно, отрицательную роль в этой цепочке играют многочисленные утечки клиентских данных как из самих банков, так и из служб доставки. В даркнете продается много конфиденциальной информации, вплоть до выписок со счетов, и владение такой «закрытой» информацией заставляет жертв думать, что они действительно разговаривают с представителем банка.
Во время пандемии появились новые схемы мошенничества, связанные с новыми событиями и процессами
По информации Генеральной прокуратуры РФ, в связи с пандемией существенно возросло количество фейков в интернете. В органы прокуратуры поступило свыше 340 уведомлений о распространении недостоверной информации. В целях ее блокировки в Роскомнадзор направлено 153 требования (в аналогичном периоде 2019 г. — 6 требований). В целом за полугодие по итогам рассмотрения 219 требований заблокировано свыше 4 тыс. сайтов, с более чем 25 тыс. ресурсов противоправные сообщения удалены[1].Несмотря на разнообразие приемов, технически и технологически все эти схемы базируются на старых методах манипулирования поведением людей.Однако помимо чисто человеческих психологических факторов значительную роль в успешных действиях мошенников стали играть и технологические. Человек все больше и больше погружается в цифровой мир. Это позволяет злоумышленникам автоматизировать атаки, делать их массовыми, что приносит результативность (прибыль) даже при низкой эффективности (примером может служить фишинг — рассылка электронных сообщений, содержащих информацию, убеждающую пользователя посетить ложный веб-сайт, на котором предлагается ввести конфиденциальные данные или загрузить вредоносное программное обеспечение).С другой стороны, проявляется эффект так называемой дистанционной войны — когда солдат не видит лицо противника, легче убивать, в нашем случае — совершать преступление, например, похитить деньги у пенсионера.В отличие от мошенников («хакеров»), большинство людей не готовы к безопасной жизни в цифровом мире. Если в обычной жизни детей учат основам безопасности: не разговаривать с незнакомцами, не открывать чужим дверь, то в цифровой сфере многие взрослые не знают или не понимают, что является угрозой и несет опасность.Например, насколько опасно жаловаться на публичных сайтах, например, в социальных сетях, на действия банков?Клиент банка ПАО «Почта Банк» обратилась с претензией (жалобой) на официальный сайт банка, но быстрого ответа не получила. Тогда она зашла на сайт Банки.ру, где сформировала свой профиль и задала вопрос специалисту банка, после чего ей на электронную почту пришло сообщение, в котором предлагалось дополнительно сообщить номер счета, дату рождения, номера мобильного телефона и сформированного запроса, информационное письмо предлагалось отправить на указанный электронный адрес, что она и сделала. В дальнейшем на ее телефон пришло SMS-сообщение, в котором было указано, что с ней якобы общается специалист банка В., которая указала, что от нее не поступает подтверждение. Кроме того, клиенту приходили SMS-сообщения о том, что истек тайм-аут подтверждения. В этот же момент от ПАО «Почта Банк» ей приходили сообщения о том, что она регистрируется в Почта Банк онлайн, а также о том, что для завершения операции по переводу денег ей нужно позвонить по указанному номеру. Потерпевшая позвонила по этому номеру, но, не дождавшись ответа, снова написала В. о том, что ей приходят SMS-сообщения с просьбой подтвердить операцию. В. ответила, что операция отменена, в банке обновление процессинговых систем, возможны перебои, и на SMS не нужно обращать внимание, что она и сделала. Таким образом, от имени банка с клиентом общались мошенники, которые получили от нее конфиденциальную информацию и похитили денежные средства. Клиент обратилась в суд. Нерехтский районный суд Костромской области (дело № 2‑654/2019) в удовлетворении иска Ивакиной И. Н. к ПАО «Почта Банк» о защите прав потребителей отказал.Закономерно возникает вопрос о путях решения проблемы социальной инженерии и стабилизации ситуации с мошенничеством, распространившимся во время пандемии. Как говорят эксперты, эффективной системы противодействия сейчас не существует, и пандемия лишь ярче это продемонстрировала. Правоохранительные органы с неохотой берутся за дела, связанные с социальной инженерией, ведь в сфере онлайн неясно, кого преследовать и как искать преступников. Фиксируется высокая латентность и низкая раскрываемость таких преступлений, поэтому о какой-либо стабилизации говорить пока еще рано.Алексей Голенищев считает, что реальное противодействие оказывать можно, причем эффективнее всего оно было бы на нескольких уровнях: техническом, образовательно-организационном и на уровне мониторинга. Задача технического противодействия заключается в том, чтобы даже если клиент «повелся» на уговоры преступника, использующего методы социальной инженерии, то он технически не смог бы перевести деньги мошенникам. Это вводится путем «утяжеления» продукта, вводом дополнительных средств аутентификации, помимо привычных SMS-уведомлений с кодами авторизации. Идеально было бы, если подтвердить операцию можно было только из приложения в своем телефоне, добавить дополнительные ключи. Или использовать биометрию, или задействовать анализ самого пользовательского устройства… Банки же на это идут не всегда охотно, так как это утяжеляет продукт и делает его менее «юзабильным», — считает Алексей Голенищев.Противодействие на образовательно-организационном уровне может представлять собой работу популярных телевизионных программ со своей аудиторией: демонстрировать сюжеты, которые помогали бы телезрителям распознать мошенников в реальной жизни. Хорошие мониторинговые системы помогали бы структурам уже на выходе. Именно фрод-мониторинг оценивает риски и следит за появлением потенциально опасных ресурсов. Банки могли бы заранее учитывать факт регистрации подобных сайтов и сразу же принимать меры.Сегодня наблюдается положительная динамика, как минимум в сфере информирования граждан: это и образовательный канал в приложении Сбербанка «Осторожно, мошенники», и рекламная кампания Альфа-Банка, стилизованная под мошенническую, и статьи в официальном аккаунте Тинькофф журнала в Инстаграме. Даже в московском метро крутят рекламный ролик о рисках социальной инженерии и методах противодействия!Возникает вопрос, кто же должен заниматься финансовой грамотностью граждан? Наши внешние эксперты считают, что это общая задача как банков, так и государства.Некоторое время назад Банк России начал заниматься повышением уровня финансовой грамотности граждан, выпустил курс онлайн-уроков, задачник для школьников и методические материалы по финансовой грамотности для начальных классов. Однако дальше рекомендательного характера это не пошло, так как целевую аудиторию стали делить на группы, чтобы каждому в соответствии с группой преподнести нужную информацию. В результате широкого распространения такой образовательный процесс не получил.Необходимо вводить обучение в школьные программы: финансовая и киберграмотность. Нужна социальная реклама на улице, в метро, на телевидении. Банки по мере своих сил и возможностей, в том числе финансовых, пытаются донести информацию до клиентов. Выпускают памятки, рекомендации, направляют SMS-сообщения. Но этого явно недостаточно. Более действенны интерактивные ролики и рекламы, когда человек понимает, что мог оказаться в шаге от потери финансовых средств. Например, для клиентов Альфа-Банка запустили рекламную кампанию с фальшивыми объявлениями о выплатах. Стиль и дизайн объявлений были максимально точно приближены к мошенническим, и когда спровоцированный клиент в теории мог бы уже потерять деньги, имей он дело с настоящими мошенниками, на его экране высвечивалось обращение от команды Альфа-Банка. В первую же неделю на эту «рекламу» попалось более двадцати тысяч человек.
Делать ставку только на финансовую грамотность — все равно что в борьбе с уличной преступностью обучать население самбо
Однако делать ставку только на финансовую грамотность населения — это все равно что в борьбе с уличной преступностью обучать население приемам самообороны. Без пресечения преступных действий правоохранительными органами это не даст желаемого результата. Преступники всегда будут более подготовлены и технически вооружены. К сожалению, эффективность правоохранителей в данном направлении на сегодняшний день оставляет желать лучшего. В приведенном примере с «Почта Банком» по факту хищения клиент обращалась с заявлением в полицию. Но по итогам проверки было вынесено постановление об отказе в возбуждении уголовного дела в связи с отсутствием в действиях неустановленного лица события преступления, предусмотренного Особенной частью УК РФ. Полиция посчитала, что отсутствует сам факт общественно опасного деяния. То есть, несмотря на то, что денежные средства похитили, полиция не увидела в этом преступления и искать мошенников не стала. Неэффективность правоохранительной системы по раскрытию такого вида преступлений также способствует расцвету киберпреступности.17 июля 2020 года под председательством Генерального прокурора Российской Федерации Игоря Краснова состоялось заседание Координационного совещания руководителей правоохранительных органов Российской Федерации по вопросу «О состоянии работы правоохранительных и контролирующих органов по предупреждению, выявлению, пресечению и расследованию преступлений, связанных с посягательствами на безопасность в сфере использования информационно-коммуникационных технологий, включая критическую информационную инфраструктуру Российской Федерации». Участники совещания обсудили следующие факты.За последние 5 лет число преступлений, совершенных с использованием информационно-коммуникационных технологий, возросло в 25 раз (с 11 до 294 тыс. в 2019 году). При этом их раскрываемость составила всего 25%. В первом полугодии 2020 года негативная тенденция лишь усилилась. Зафиксирован рост на 92% (225 тыс.). Генеральный прокурор Российской Федерации обратил внимание участников совещания на [email protected]
+7 495 961 1065
Как изминились методы социальной инженерии во время пандемии ?
Люди и процессы во время пандемии
В связи с описанными изменениями и тем фактом, что к новому режиму работы привыкли еще не все, у хакеров появились новые векторы взлома.
Четыре стены вместо коллеги напротив
Одно из изменений в работе касается социального фактора. Общение в мессенджерах — тоже общение, но оно не сможет заменить случайную встречу в лифте или офисной кофейне. И тем более корпоративные чаты не заменят обсуждение насущных проблем в кабинете. Но у насыщенной социальной жизни в офисе есть и минусы. В ходе проведения атак методами социальной инженерии мы не раз наблюдали, как одно и то же сообщение пересылается всем коллегам по кабинету, а иногда и на рассылочный адрес отдела. По результатам атак и опроса сотрудников выяснялось, что решение о пересылке сообщения приходило во время обсуждения письма. При работе из дома сотрудники подходят к обсуждению сомнительных писем внимательнее. Социальные группы уменьшаются, и сотрудник поддерживает ежедневное общение с 2–3 коллегами из отдела. Больший процент пользователей отправляет сообщение ИТ-специалистам или скриншот письма только самому доверенному коллеге-другу. Просто так подозрительное письмо никто всему отделу не пересылает.
В то же время у сотрудников на удаленке падает интерес к корпоративной культуре. Сценарии атак, связанные с проведением корпоративов, онлайн-мероприятий, выбором лучшего сотрудника месяца, получают куда меньше внимания, чем во время постоянного нахождения людей в офисе. Снижение заинтересованности и вместе с тем лояльности к работодателю понижает ощущение личной ответственности за сохранность корпоративных данных и чувствительной информации компании.
Эти наблюдения сделали эксперты нашей лаборатории практического анализа защищенности в ходе проведения атак методами социальной инженерии.
Удобная, но небезопасная коммуникация
Изменение способа коммуникации прослеживается и в процессе поиска новых сотрудников.
Нормальной практикой стало назначение даты проведения собеседования в Telegram или WhatsApp. С началом карантина мессенджеры получили еще больше внимания. Назначенное собеседование в Zoom, Discord или Google Meetings позволяет злоумышленнику под видом обновленного резюме или каких-то сертификаций отправлять рекрутерам вредоносные вложения. Если почтовые серверы и антиспам-решения практически никогда не пропускают сомнительные письма, то мессенджеры пока очень лояльны к файлам, которыми обмениваются пользователи.
За последние полгода одним из наших любимых векторов атаки стала тема «студент ищет работу». Под видом лучшего студента на потоке мы обращаемся к HR компании. Далее отправляем архив с «резюме и сопроводительным письмом» в мессенджер во время согласования даты и времени интервью или уже в процессе онлайн-беседы. По сценарию, в архиве, кроме вредоносного ПО, замаскированного под офисные документы, других файлов нет.
При удачном стечении обстоятельств, когда HR работает со своего ноутбука без средств защиты, злоумышленник может получить доступ к компьютеру, корпоративной почте и чувствительным данным сотрудника. Это может повлечь компрометацию такой деликатной информации, как обсуждение условий работы с кандидатами, их зарплатных ожиданий, резюме и т.д.
ОТP не панацея
С карантином резко возрос интерес к одноразовым паролям (One Time Password, OTP). Такие решения мы встречаем постоянно, и многие коллеги считают, что ОТP — панацея от всех бед. Но это не совсем так.
Первая причина — отсутствие исследований о безопасности приложений, которые генерируют эти пароли. Например, до февраля 2020 г. приложение Zoom выглядело как безопасное или хотя бы недырявое, так как не было исследовано должным образом. Оно не было интересно злоумышленникам и исследователям безопасности, пока не стало популярным. Но спустя несколько месяцев в нем обнаружился целый ряд недостатков и уязвимостей. Аналогичная история может произойти и с приложениями, создающими OTP. Их не так много на рынке, и с приходом повсеместной двухфакторной аутентификации они могут стать новой целью для злоумышленников.
Вторая причина заключается в том, что при вводе одноразового пароля на фишинговой странице его просто перехватить. Для хакера нет разницы, какую страницу клонировать — с двумя или тремя полями для ввода. Далее успех зависит от оперативности хакера. Хотя ОТP и действует недолго, при усердном мониторинге перехват пароля — не самая большая проблема.
Один из способов решить проблему перехвата — внедрить мультистеп. В этом случае пользователь сначала вводит логин и пароль и только после входа указывает ОТP. Безусловно, хакер может создать сайт, повторяющий и такой функционал, но это гораздо сложнее. Как дополнительный этап защиты окно для ввода ОТP может появляться спустя некоторое время, после ввода логина и пароля. В этом случае одноразовый пароль с большей вероятностью перестанет быть валидным.
И высший пилотаж — доступ по сертификатам или токенам. Такое решение доступно не для всех систем и платформ, но оно однозначно обезопасит пользователей от ввода учетных данных на фишинговой странице. Хакеры не смогут украсть пароль, если его не существует.
Домашние ПК в зоне риска
Еще одна проблема — переход сотрудников на домашние ноутбуки и компьютеры. Например, рабочий ноутбук «не тянет» по сравнению с личным ПК или работодатель просто не может предоставить ноутбуки для удаленки. Дело может быть и в предпочтениях или в нежелании сотрудников постоянно возить рабочий ноутбук из дома в офис и обратно. В любом случае основная задача ИБ-специалистов — постараться защитить данные компании и на домашних компьютерах. Но ее крайне сложно решить.
Выполнение организационных мер, например соблюдение запрета на использование домашнего ПК в рабочих целях, трудно отследить. Пользователь может включать и выключать рабочий ноутбук по расписанию, открывать там файлы, но все равно умудрится передать данные для отчетной презентации на свой компьютер, чтобы поработать на большом мониторе.
Добровольно-принудительная установка средств защиты на домашние ПК — это трудозатратно и дорого.
Следовательно, генерация и рассылка вредоносных файлов на личную почту сотрудников скоро снова станет популярной.
Противодействие атакам с помощью методов социальной инженерии
Наш Центр информационной безопасности уже на протяжении 4 лет работает над вопросами применения социальной инженерии в ИБ. Используя как готовые решения, так и собственные наработки, мы помогаем компаниям не просто оценить грамотность их сотрудников в области информационной безопасности, но и проверить их навыки в реальных, боевых условиях, имитируя атаку.
Давление, манипуляции сознанием, заблуждение, отговорка или предлог, язык тела, эмоциональный захват, взаимопонимание/связь – всё это термины, встречающиеся в работе социального инженера. Его работа – это смесь науки и искусства. Это и просто, и сложно.
Железо и логика против человеческого фактора
Любая информация, независимо от ее формата и состояния – обрабатывается ли она процессором, передается ли по каналам связи, хранится ли на диске/ленте – должна входить в область контроля системы обеспечения ИБ. Но технические средства, помимо основного функционала, имеют интерфейсы взаимодействия с человеком, поэтому важным элементом защиты информации является сам сотрудник компании. Если в отношении технических средств всегда можно описать возможные ситуации, определить и оценить риски, найти способы защититься (ограничить доступ, зашифровать и т.п.), то в случае действий человека возникает проблема. До сих пор не существует четкой, всеобъемлющей математической модели, описывающей поведение людей в различных ситуациях, реакцию на то или иное воздействие или сложившиеся условия, возможные ошибки. Есть некоторые частные шаблоны поведения, но они, к сожалению, не охватывают все возможные ситуации. Естественно, этот фактор играет на руку злоумышленникам.
Как это работает
В атаках, использующих методы социальной инженерии, можно выделить 3 основных этапа: сбор, профилирование и реализация.
Сбор данных о цели атаки (человеке), по нашему мнению, является наиболее важной стадией. Работы заключаются в определении характеристик объектов атаки, в том числе путем внешнего воздействия. Источником данных могут быть социальные сети, публично доступная информация (статьи, новости, заметки в СМИ) и др. В ходу также общение с членами семьи, друзьями и коллегами, наблюдение за деятельностью цели и даже взаимодействие с ней.
На этапе профилирования выполняется анализ собранной информации для построения модели атаки. Выделяются характеристики, свойственные цели, а также ее слабости, на основании чего выбираются каналы взаимодействия (почта, телефонные звонки, личное общение и т.п.), методы реализации (вербовка, неформальное общение, давление и т.п.) и возможные векторы атаки, которые могут быть эффективными против конкретной цели. Далее производится подготовка рабочей среды и инструментов для «нападения».
На этапе выполнения атаки реализуется ее модель, выработанная на стадии профилирования. Здесь вступают в полную силу психология, НЛП (body language, facial expressions и т.п.) и технические средства (delivery, fishing, backdoors и т.д.). В случае удачной реализации первой волны атаки можно вернуться к этапу сбора информации с новыми входными данными и итеративно повторять выполнение этапов до тех пор, пока продолжает выявляться новая информация, либо пока атака не достигнет желаемой глубины.
Залог успеха
Существование жизни в интернете, помимо плюсов, имеет ряд значительных минусов. Это и дополнительные каналы коммуникации с жертвой, и оставленные жертвой «следы», изучив которые, можно составить портрет потенциальной цели атаки. Интернет дает злоумышленникам возможность автоматизировать свою работу, что значительно сокращает «трудозатраты» на выполнение атаки.
Стоит отметить, что поговорка «Скажи мне, кто твои друзья, и я скажу, кто ты» очень хорошо вписывается в процесс атаки с применением методов социальной инженерии. Можно получить гораздо больше информации из общения не с самим атакуемым, а с членами его семьи, друзьями, начальником и коллегами. Иногда этих данных так много, что взаимодействие с самой целью (объектом) атаки и вовсе не требуется.
Людей часто делят, и небезосновательно, на гуманитариев и технарей. Взлом ИТ-инфраструктуры, системы или даже банально одного компьютера/персонального устройства требует глубоких знаний, опыта и времени. Под силу это далеко не каждому мошеннику. Другое дело – врожденное умение «болтать». Разговорил объект атаки или людей из его окружения – половина дела уже сделана. Существует огромное множество готовых отлаженных сценариев и инструментов, обеспечивающих достижение нужного злоумышленнику результата с меньшими усилиями по сравнению с технической атакой.
В то же время самыми эффективными атаками остаются те, что основаны на совокупности применения технических средств и организационных методик. Вот некоторые примеры проведенных атак из нашей практики.
- Вам приходит уведомление с почтового адреса банка (или интернет-магазина), клиентом которого вы являетесь, о необходимости обновить информацию о себе на официальном сайте. Для этого предлагается перейти по ссылке, размещенной в письме. В результате вся информация, которую вы вводили на странице, ушла в руки мошенников, а сайт оказался поддельным (хотя выглядел как настоящий).
Фишинг – создание подложных страниц (копий ресурсов), дальнейшая рассылка писем или обзвон пользователей – это классика, которая работает всегда. Примерно в 80% случаях мы имели успешный результат. Почему? Во-первых, доверие – одно из фундаментальных свойств людей и основа существования любого общества. Эксплуатировать его – низкий прием, но в интернете, как известно, нет джентльменов. Вторым фактором можно назвать лень: людям проще, выражаясь профессиональным языком, принять риск, чем что-то проверять, куда-то звонить и вообще сомневаться. Третьей причиной можно назвать простодушие и невнимательность: «авось, небось, да как-нибудь» работают и тут. - На собеседовании кандидат просит вас распечатать резюме с флэш-накопителя. В этом файле находится код, который эксплуатирует известную уязвимость в офисном ПО и устанавливает вредоносную программу в системе (backdoor). Она, в свою очередь, организует реверсивное соединение с сервером в сети Интернет, контролируемым злоумышленником.
Социотехнические методы тоже весьма успешны, например, внедрение закладки, причем не только программной, как в описанном примере, но и аппаратной. Это может быть мобильный компьютер с двумя сетевыми интерфейсами, который подключается между корпоративной сетью и сетевым принтером, находящимся в коридоре офиса компании. - Кредитный инспектор ушел с рабочего места по срочному делу, при этом забыв заблокировать рабочую сессию и оставив свой ключ ЭЦП на столе. Пользуясь его отсутствием, кто-то из коллег оформил повторную выдачу денежных средств по документам на один кредит. Вскрылось это только во время закрытия финансового месяца.
«Выманить» сотрудника с рабочего места – очень действенная мера при условии, что он находится в комнате один. В этом случае он попадает под влияние иллюзии контроля: никого нет рядом, посетители почти не заходят – прикроем дверь, и все в порядке. Тот фактор, что большинство сотрудников не имеют привычки блокировать свою рабочую станцию при выходе из помещения, создает благоприятнейшие условия для кражи нужной информации, внедрения программных или аппаратных закладок или даже совершения мошенничеств и краж, как в описанном примере. - Утром девушке-секретарю позвонил новый директор регионального офиса, который не смог присутствовать на собрании. Говоря уверенно и быстро, он попросил срочно (!) прислать ему протокол собрания для подготовки отчета Председателю правления, фамилию которого он назвал. Правда, корпоративная почта со вчерашнего дня не работает, но протокол нужен срочно, поэтому он продиктовал адрес на бесплатном почтовом сервере. Секретарь отправила протокол. Стоит ли говорить, что никакого нового директора в том региональном офисе нет.
Давление на сотрудника, особенно от имени коллеги, занимающего более высокую должность, – также очень распространенная практика. Работник, пытаясь угодить руководителю, не всегда осмелится задавать «лишние» вопросы. Если ему при этом дать какую-то дополнительную достоверную информацию, от сомнений не останется и следа, будет только порыв выполнить поставленную задачу. В таких условиях можно добиться значительных успехов.
Проблемы
В то же время многие компании и боятся, и не понимают, зачем им нужна оценка своего персонала, основанная на применении методов социальной инженерии. Боятся обычно вследствие того, что такой процесс не регламентирован законодательством или международными стандартами. Он в большей степени экспертный, часто его результативность зависит от навыков конкретного исполнителя. Помимо этого, такая оценка всегда отличается от действий реального мошенника: у последнего всегда есть возможность покушения на права и свободы личности.
Защищаемся?
Помимо применения технических мер защиты информации (разграничения доступа, минимизации полномочий, мониторинга событий и трафика и т.п.), противодействующих известным шаблонам атак, основной мерой защиты от использования приемов социальной инженерии является метод «Безопасность через обучение». Обучение должно быть регулярным, простым и понятным. Часто в организациях к процессу обучения требованиям и практикам ИБ подходят формально. Поэтому возникает ситуация, когда работники компаний обладают низким уровнем осведомленности и грамотности по вопросам информационной безопасности. Это влечет за собой их халатное, невнимательное отношение к входящим информационным потокам. Помимо обучения, также стоит повышать бдительность сотрудников путем их периодического тестирования.
В завершении необходимо отметить, что гуманитарную проблему нельзя решить исключительно техническими методами. Только комплексный подход может защитить от атак с применением методов социальной инженерии. А для этого требуются проведение серьезной работы по инвентаризации и категорированию информации и процессов, формализация требований к обеспечению ИБ, реализация защиты техническими средствами, постоянный мониторинг и анализ событий, а также постоянная работа с сотрудниками как с субъектами защиты информации.
НОУ ИНТУИТ | Лекция | Противодействие методам социальной инженерии
Аннотация: В лекции приведены понятия и положения, касающиеся социальной инженерии. Основные аспекты подробно разобраны на различных примерах для более легкого восприятия читателями.
Цель лекции: Предоставить читателю знания о методах социальной инженерии, а также научить читателя противодействовать этим методам.
Злоумышленник прекрасно знает, что одними техническими методами не обойтись, если необходимо добыть персональные данные пользователя. Он понимает, что необходимы психологические навыки для оказания влияния на пользователя. Иногда бывает так, что одних психологических уловок (которые носят название социальная инженерия (определение было дано в первой лекции)) бывает вполне достаточно, чтобы добыть персональные данные пользователя. При этом добычу персональных данных в этом случае можно сравнить с мошенничеством или обычным вымоганием чего-либо, используя психические особенности человека. Есть некоторые психологические аспекты, которым подвержены в некоторой мере все люди, есть и те, которые влияют только на определенные категории лиц в определенных обстоятельствах. Но как бы то ни было, различные психологические аспекты, которыми пользуется злоумышленник в своем деле, существуют, и о них необходимо знать.
Как подбираются пароли
Как было сказано ранее, пароль можно подобрать методом брутфорса (полного перебора), но иногда этот метод непригоден, так как неизвестно, сколько именно он будет длиться. В этом случае альтернативой являются психологические методы подбора пароля пользователя. При этом злоумышленник надеется на шаблонность действий пользователя при установке пароля, а также на его психологическую и техническую безграмотность. Если обратиться к статистике, можно выяснить, что многие пользователи относятся к созданию своего пароля несерьезно и могут поставить достаточно шаблонные комбинации букв и цифр. Это объясняется тем, что сложный пароль необходимо держать в голове постоянно, чтобы не забыть его, простой же пароль запоминается гораздо легче и его сложнее забыть. Одними из самых распространенных паролей являются следующие пароли: 123456, 0000000, qwerty, йцукен (аналог qwerty на русской раскладке), password, pass, pass1234, 7777777, qazwsx и другие подобные пароли. Как можно увидеть, такие пароли достаточно просто запомнить. Но вместе с этим кроется опасность, что такой пароль может быть легко подобран. Также пользователь может подумать, что он обезопасит себя, если в качестве пароля будет использовать комбинацию в виде своего дня рождения или номера телефона, или еще каких- либо символов, которые являются по большей части личными для него. Но и в этом случае пользователь ошибается. Для наглядности этого будет приведен небольшой пример. Злоумышленника назовем именем Андрей, а его жертву назовем Михаилом:
Михаил всегда переживал за свои персональные данные, так как по работе ему приходилось писать достаточно серьезные документы на свое имя. Он решил сделать запароленный архив со всеми своими документами внутри. Но тут сразу возник вопрос, а какой пароль необходимо поставить на такой архив? С одной стороны нужен длинный и сложный пароль, но ведь архив будет обновляться практически постоянно, а значит, пароль придется вводить постоянно. Надо бы попроще что- то придумать. После внутренних рассуждений Михаил пришел к выводу, что паролем ему будет служить комбинация цифр его дня рождения, а именно 10101985.Тем временем, Андрей долгое время искал документы этой фирмы. И наткнулся на странный архив с названием «документы» в локальной сети фирмы. Но архив оказался запаролен. Андрей не стал унывать, он скачал себе архив на компьютер, по свойствам архива выяснил его владельца и стал думать, как использовать полученную информацию. Использовать брутфорс не хотелось, так как перебор мог составить слишком большой промежуток времени, а документы нужны были срочно. Андрей решил попробовать найти Михаила в какой- либо из социальных сетей. И он смог найти его (действительно по статистике из 10 человек уже 6 можно найти хотя бы в одной из существующих социальных сетей). А там естественно кроме его имени и фамилии содержалась контактная информация, а также дата его рождения — десятое октября тысяча девятьсот восемьдесят пять. Андрей подумал, что, может, численная комбинация дня рождения Михаила окажется паролем, и так оно и было на самом деле. Пароль подошел, и Андрей получил доступ к документам Михаила.
Из этого примера наиболее четко видно, как составленный пароль влияет на сохранность персональных данных пользователя. В данном случае лень Михаила при составлении пароля сыграла на руку злоумышленнику, который нехитрым способом смог получить необходимые документы. Также здесь показано и то, что нельзя использовать в качестве пароля те комбинации, которые можно легко узнать через сеть Интернет (в рассмотренном случае данные были узнаны через социальную сеть, что является достаточно распространенной практикой). Интересным фактом здесь также является и то, что сам архив с документами назывался как «документы» и такое название естественно моментально приковало внимание злоумышленника. Подобные детали сыграли на руку злоумышленнику, и он смог осуществить запланированную кражу.
Вместо дней рождения в некоторых случаях многие пользователи ставят в качестве пароля свой номер телефона, номер кредитной карты или другие легко запоминающиеся вещи. Интересен и тот факт, что пользователь может поставить один и тот же пароль на все сервисы и различные архивы, папки и документы, что, конечно же, является неправильным и позволяет злоумышленнику не тратить лишние силы на разгадку других паролей. Ведь если он узнает пароль к какому- либо одному сервису, то он узнает пароль и ко всему остальному. К сожалению, пользователи часто забывают об этом и пренебрегают подобными мерами предосторожности. В качестве примера можно рассмотреть прошлую историю, но с пояснением того, что пароль Михаила был одинаков и к его учетной записи на компьютере на локальной сети, и к той же социальной сети, которой он пользовался. В этом случае Андрей может пойти дальше и воспользоваться почтой Михаила, чтобы просмотреть его переписку с другими сотрудниками фирмы и точно также вычислить их пароли. Более того, зная пароль к почте Михаила, Андрей может выдать себя за Михаила и воспользоваться его корпоративными привилегиями, если таковые имеются у Михаила. Это, безусловно, является опасным для Михаила, а также для всей корпорации в целом. На практике встречаются случаи, когда фирма-производитель может поставить на свои выпускаемые продукты какой- нибудь стандартный четырехзначный пароль (например, внутренним кодом многих телефонов является 0000, 1234, 1111 и. т. д) в надежде на то, что пользователи потом сами изменят этот пароль на более сложный. Но, к сожалению, банальная лень обычного человека не позволяет ему сделать этого, и это может стать причиной утечки данных. Для наглядности будет приведен пример (действующие лица носят те же имена, что и в прошлом примере):
У Михаила в мобильном телефоне хранятся различные контакты важных лиц. Андрей разыскивает эту информацию. Андрей узнает, что Михаил располагает этой информацией, и решает удаленно вывести телефон из строя, а затем представиться сервисным представителем. Михаил верит в то, что Андрей является сервисным представителем, и отдает ему свой телефон на ремонт. Андрей, естественно, исправляет «поломку», которую он сам удаленно вызвал, но также пытается просмотреть контакты Михаила, которые защищены стандартным телефонным паролем 0000. Путем быстрого ручного перебора Андрей подбирает этот пароль и сохраняет к себе контакты. Кроме того, зная стандартный телефонный пароль, Андрей ставит на мобильный телефон программу, которая будет записывать все звонки Михаила. Потом он возвращает телефон Михаилу, и тот ничего не подозревает о том, что на самом деле произошло с его телефоном.
Такой пример ярко показывает, как можно легко отдать свои персональные данные злоумышленнику, если не изменять заводских паролей, которые можно легко посмотреть в открытой документации производителя. Для иллюстрации будет представлен еще один пример на подобную тематику (действующие лица по-прежнему те же):
У Михаила есть частная wi- fi сеть из нескольких компьютеров. В сети, естественно, хранится некая личная информация Михаила (например, его фотографии). Андрею очень необходима эта информация, и он пытается подключиться к wi- fi сети, но обнаруживает, что сеть защищена паролем. После раздумий Андрей решает попробовать несколько стандартных заводских паролей, которые ставятся по умолчанию на защиту сети (если пользователь не менял подобную настройку вручную). В результате стандартный пароль 1111 подошел, и Андрей попал в сеть Михаила и взял оттуда всю необходимую информацию.
Этот пример еще раз показывает, что обыкновенная лень пользователя может нанести ему ущерб. Впрочем, пользователь может не знать о том, что к некоторым техническим устройствам существуют стандартные пароли (незнание в силу технической безграмотности). Злоумышленник же всегда старается проверить любой пароль на наличие шаблонного пароля, либо если это пароль к техническому устройству, то злоумышленник попытается воспользоваться подбором стандартных заводских паролей.
Доверчивость пользователя
Многие люди доверчивы сами по себе, но особенно эта черта проявляется ярко, если речь заходит об информационных технологиях. Многие пользователи не удосуживаются проверять информацию на предмет ее подлинности, и, если человек представляется кем- либо в сети Интернет, этому безоговорочно верят, так как считают, что обмана в этом случае быть не может. Такую ситуацию можно проиллюстрировать следующим банальным примером (разговор в ICQ (системы обмена мгновенными сообщениями)):
— Привет.
— Привет, а ты кто?
— Я ваш представитель вашего Интернет- провайдера. У нас тут проблемы возникли.
— Какие проблемы?
— Дело в том, что наши базы данных уничтожились, и нам необходимо восстановить их в короткие сроки, чтобы пользователи не потеряли Интернета.
— О, как жаль, чем я могу вам помочь?
— Сообщите, пожалуйста, ваш логин и пароль к вашему аккаунту.
— Конечно, логин: ABCD пароль PASSWORD654789.
— Спасибо большое, вы только что ускорили процесс восстановления наших баз данных.
— Не за что, всего доброго.
— До свидания.
Теперь разберем этот пример подробнее. Некий человек постучал к пользователю в ICQ и представился как представитель Интернет- провайдера. Доверчивый пользователь поверил в это, хотя он должен был спросить у так называемого представителя о том, как он узнал номер ICQ, какого именно провайдера он представляет. Далее пользователь поверил в историю про базы данных и в то, что представителю нужен логин и пароль пользователя. В этом случае использовалась компьютерная безграмотность пользователя, ведь известно, что Интернет- провайдер никогда не запросит логин и пароль (отдельно логин могут запросить, а вот пароль точно нет). Если бы на самом деле уничтожилась база данных, все пользователи остались бы без Интернета. Но даже в этом случае провайдер не запрашивал бы данные у каждого пользователя по отдельности, он бы просто восстановил базу данных с помощью восстанавливающих программ. Но пользователь счел, что новоиспеченный провайдер говорит ему абсолютную правду, и решил рассказать ему свои данные. В результате у злоумышленника есть данные пользователя, которые он может использовать по своему усмотрению. Другим примером подобного рода может быть следующий пример (данный пример любезно предоставлен пользователем с ником _ALI_BABA_(орфография и стиль полностью сохранены)):
— Приветик, это новая рассылка тем про кошек. Интересно?
— Привет, ух ты, у меня как раз есть кошка! А вы уже по аське (примечание — русское разговорное название ICQ) рассылаете?
— Да, завоевываем сердца клиентов. Кстати, твоя аватарка просто супер, это ты на ней?
— Да, я, спасибо за комплимент. Действительно, завоевываете сердца.
— А как тебя зовут? Меня — Леша.
— А меня — Алена.
— Очень приятно. Ален, так говоришь, у тебя есть кошка?
— Да, персидская, такая хорошенькая.
— Мммм, чистокровная?
— Да, да , да. Приятно, когда молодой человек разбирается в кошках.
— Стараюсь, а чем вы ее кормите? Кормом или «домашним»?
— О, домашним, кормам не доверяем.
— Согласен, у нас как раз в рассылке иногда есть рецепты.
— Ой, супер. А как получить-то рассылку?
— Тут надо, чтоб ты ответила на несколько вопросов.
— Хорошо.
— 1) Ты замужем? )))))))
— Ой, ну засмущал….
— Ладно, теперь серьезно – сколько лет твоей кошке?
— 4.
— Отлично, как ее зовут?
— Ладка.
— Ой, какое милое имя. Ну вот в принципе и все, раз в неделю тебе будет приходить наша рассылка. Приходить будет сюда, ок?
— Да, договорились, конечно.
— Пока, Ален
— Пока.
После этого, Леша, которого на самом деле звали Дмитрием, вышел из аськи и зашел на почту Алены, указав в качестве ответа на секретный вопрос «Какое имя моей кошечки?» имя Ладка. На самом деле парень Дмитрий хотел посмотреть, с кем еще общается Алена. Получив доступ к почте Алены, он смог получить доступ и к ее страничке от любимой социальной сети, а также от аськи и других мест, где Алена общалась с другими людьми.
Проанализировав эту историю, можно понять, что сначала Дима попытался проникнуть в почту Алены методом брутфорса, но потом понял, что это можно сделать простым способом — узнать ответ на секретный вопрос Алены в почте (секретный вопрос существует для того случая, если пользователь вдруг забыл свой «родной» пароль. Ответ на секретный вопрос, по сути, является вторым паролем пользователя). Так как он увидел вопрос про кошку, то логически решил, что у Алены есть кошка. Немного подумав, Дима решил зарегистрировать новый номер ICQ и представиться Лешей, который делает рассылку тем про кошек. Он знал, что тема кошек обязательно заинтересует Алену, и она навряд ли откажется от такой рассылки. А далее были применены обычные навыки вежливости, которые присущи любому злоумышленнику. Исходя из этого, пользователь должен помнить, что любые наводящие вопросы о чем-либо могут быть заданы с целью узнать какую-либо информацию. Пользователь всегда должен думать о том, что может принести сказанная им информация, куда ее можно будет применить. Злоумышленники часто пользуются доверчивостью пользователей, а также тем, что иногда, для ответа на свой вопрос, они могут требовать моментального ответа, чтобы пользователь не мог правильно оценить ситуацию. Примером последнего предложения может являться следующая история:
Звонок в фирму 10 часов утра.
— Алло, здравствуйте, секретарь Кристина, чем могу помочь?
— Привет, Кристин, я — Петр, из отдела техподдержки сетей. У нас тут сеть перестала работать на вашем узле.
— Да? Странно, 5 минут назад работала.
— А сейчас не работает. В общем, тут серьезная неполадка. Меня начальник на куски разорвет, если узнает.
— Да, я понимаю.
— Ты не могла бы мне сказать свой пароль к сети?
— А зачем, она же не работает.
— Дело в том, что мы потеряли свои пароли в отделе….
— Что?
— Да, да , я поэтому и говорю, что начальник нас разнесет.
— Ого….. Так зачем мой пароль?
— Я быстро зайду под твоим паролем в сеть и поменяю нам наши пароли.
— Ну, мммм, я не знаю.
— Слушай, Кристин, тут, правда, плохо дело, простой сети сейчас обратит внимание начальника, и мы получим. Пожалуйста, помогай.
— Ладно, хорошо, gasdas мой пароль.
— Спасибо, сейчас мы быстро управимся, и можешь через 10 минут пользоваться сетью.
— Хорошо, не за что.
Как уже мог догадаться читатель, это представление было сделано для того, чтобы узнать пароль пользователя корпоративной сети. Впоследствии злоумышленники могут за 10 минут сделать лазейку в сеть и находиться там достаточно долгое время. При этом администратор сети может ничего не заподозрить, так как он будет видеть, что пользователь Кристина сидит в сети. Что бы подобный случай не мог произойти, Кристина должна была обязательно спросить и записать контактные данные звонящего, а также проверить их на присутствие человека с такими данными. В приведенной выше ситуации злоумышленник сыграл на том, что запросил данные очень быстро, он рассказал ошеломляющую историю про то, что были утеряны пароли, и начальник скоро заметит неполадки, и будет очень зол на своих работников. Злоумышленник заставил Кристину принять решение быстро (причем решение было сконцентрировано на том, что надо срочно помочь сотруднику с другого отдела).
Помимо вышеуказанных уловок существует и масса других уловок, которые помогают злоумышленнику сыграть на доверчивости пользователя. Одной из таких уловок считается уловка с рассылкой на электронную почту пользователя сообщения о том, что администрация какого-либо сервиса потеряла доступ к аккаунту пользователя, и необходимо сообщить данные аккаунта пользователя, чтобы решить подобное недоразумение. Пользователь должен помнить, что администрация любого сервиса не будет запрашивать пароль пользователя ни при каких обстоятельствах. Поэтому пользователь должен игнорировать подобные сообщения в своем электронном ящике. В качестве доказательств вышесказанным обстоятельствам будет приведено еще несколько примеров, иллюстрирующих то, как легко можно манипулировать доверчивым пользователем:
Звонок Интернет- провайдеру.
— Але, здравствуйте, я решил уехать на пару дней по делам, хотел отключить Интернет.
— Здравствуйте, конечно, вы можете это сделать. Скажите свой логин к доступу в Интернет.
— Ммм, я не знаю, мне мастер все настраивал.
— Ладно, тогда продиктуйте ваши Имя, Фамилию и серию, номер паспорта.
— Иван Иванов. А серию с номером я не помню, мой паспорт сейчас у жены, она берет билеты.
— Тогда спросите у нее и потом свяжитесь с нами.
— Девушка, меня такси уже ждет, я опаздываю, давайте без этих формальностей, пожалуйста.
— Ладно, хорошо, ваша линия будет отключена через 5 минут. Когда надо будет включить, сделайте нам звонок.
— Конечно, спасибо вам огромное, всего хорошего.
— Всего доброго.
Звонок Ивану Иванову.
— Здравствуйте Иванов Иван, я из службы поддержки Интернет провайдера.
— Ах, я как раз хотел вам позвонить, тут у меня интернет оборвался.
— Я знаю, мы отключили вас, потому что с вашего ip были зафиксированы атаки на компьютеры других пользователей.
— …… Неужели? Как? У меня и антивирус, и файерволл стоит.
— Не знаю, как так могло получиться, но это так. Мы были вынуждены вас отключить от Интернета.
— И что же мне делать??? Мне письма отсылать надо, господа!
— Не волнуйтесь, наша блокировка — это временная мера, но мы можем включить вам Интернет сейчас, если вы предоставите удаленный доступ к вашему компьютеру, и наши специалисты из технического отдела все проверят. При этом вы ничего не заметите, будете работать как обычно. Если не хотите так, то мы будем проверять ваши отправленные пакеты с вашего ip адреса, но это долгая процедура. Может потребоваться несколько дней.
— О, ну, конечно, я лучше предоставлю доступ.
— Хорошо, я перезвоню вам через пару минут.
Звонок к Интернет- провайдеру.
— Алло, здравствуйте еще раз, я сегодня отключал Интернет на имя Иванова Ивана. В общем, так получилось, что я не смог уехать сегодня. Вы не могли бы включить Интернет заново?
— Добрый день еще раз, конечно, мы можем сделать подобную процедуру. Через 5 минут Интернет будет включен.
— Спасибо вам большое, всего доброго.
— Всего хорошего.
Это был наглядный пример, как была использована доверчивость сразу двух людей, в данном случае представителя Интернет-провайдера и пользователя. Естественно, целью всех этих манипуляций у злоумышленника являлось получение доступа к чужому компьютеру и управление им издалека. И в какой- то момент, даже, кажется, что у Ивана Иванова есть выбор между двумя развитиями событий (предоставить доступ сейчас или подождать несколько дней и Интернет появится), но на самом деле это всего лишь мнимая иллюзия выбора, так как его на самом деле нет, и злоумышленник прекрасно знает, что Иван Иванов выберет вариант с предоставлением доступа к своему компьютеру. Этому предшествовала фраза «мне письма отсылать надо господа». Злоумышленник именно после этой фразы предоставил выбор своему собеседнику, так как теперь злоумышленник стал абсолютно уверен в том, что пользователю нужен Интернет, и нужен он ему именно в этот момент времени. Другим моментом этих диалогов является диалог с провайдером Интернета, который вначале не хотел просто так отключать Интернет не совсем опознанному пользователю. Но злоумышленник смог убедить человека в том, что он действительно является владельцем этой услуги. В этом ему помогла фраза «меня такси уже ждет, я опаздываю», которая заставила собеседницу поверить в то, что он действительно является владельцем данного Интернет-канала. Можно сделать вывод, что, ведя разговор шаблонными фразами («паспорт у жены», «такси ждет, я опаздываю», «мне необходимо сделать это как можно быстрее», «я тороплюсь, давайте без этих формальностей»), можно заставить идентифицировать себя с другим человеком и успешно выдавать себя за него некоторое время. В противодействие всем этим методам можно поставить метод следующих контр-фраз: «я понимаю, что вы спешите, но без этой информации ничего не получится», «расскажите свои контактные данные вплоть до номера отдела, где вы работаете», «мы ничего не сможем сделать сейчас, перезвоните (напишите) немного попозже», «я никогда не слышал о вас», а также других подобных фраз, цель которых — поставить что-либо в противовес действиям злоумышленника, заставить его неожиданно импровизировать, придумывать новые факты и запутываться в них. Сам же пользователь должен относиться с опаской к появлению каких-либо личностей, с которыми он раньше не имел дела.
Аудит безопасности — Часть 1
Описание
В рамках данного курса слушатели получат представление о разных способах и методах атак на корпоративные сети и другие информационные ресурсы; рассматривается сама концепция взлома и защиты от него в рамках различных технологий и инструментов, применяемых PEN-тестерами (аудиторами безопасности).
Данный курс рассчитан на системных администраторов и специалистов по информационной безопасности компаний, которые хотят получить комплексную картину по инструментам вторжения и защите от него, подготовив свою компанию к внутреннему аудиту безопасности.
Разбираемые темы
Введение
• Компетенции аудитора безопасности
• Виды хакерской активности
• Эволюция хакинга
• Что атакуют?
Сбор информации
• Утечки
• Поиск через сервисы Whois
• Сбор данных через DNS
• Использование расширенного поиска Google
• Противодействие сбору данных
• Лабораторная работа №1 — Утечки
• Практическое задание — сбор данных о человеке из открытых источников
• Семинар по противодействию сбору данных
Социальная инженерия
• Методы социальной инженерии
• Обратная социальная инженерия
• Противодействие социальной инженерии
• Семинар по методам социальной инженерии
Сканирование
• Цели сканирования сети
• Методы сканирования
• Определение топологии сети
• Определение доступных хостов и получение списка сервисов для каждого из них
• Определение операционной системы для каждого из доступных узлов сети
• Поиск потенциально уязвимых сервисов
• Противодействие сканированию
• Использование TOR
• Другие техники туннелирования
• Лабораторная работа №2 — Сканирование
Перечисление
• DNS zone transfer
• SNMP
• Пользователи Windows
• Группы Windows
• Противодействие перечислению
Переполнение буфера
• Stack-based Buffer Overflow
• Heap-Based Buffer Overflow
• Overflow using Format String
• Противодействие переполнению буфера
• DEP (Data Execution Preventer)
• ASLR (Address Space Layout Randomization)
• PAX + GRSecurity
• Лабораторная работа №3 — Переполнение буфера
Отказ в обслуживании (DoS и DDoS)
• Цель DoS-атаки
• Как проводится DDoS-атака
• Ботнеты
• Признаки DoS-атаки
• Обнаружение DoS-атак
• Противодействие DDoS/DoS-атакам
• Противодействие ботнетам
Вирусы и Черви
• Признаки вирусной атаки
• Полиморфные вирусы
• Противодействие вирусам
Трояны и бэкдоры
• Проявления активности троянов
• Определение троянов
• Противодействие троянам
Снифферы
• Цели применения снифферов
• Протоколы, уязвимые для прослушивания
• Противодействие прослушиванию
• Лабораторная работа №4 — Снифферы
• Лабораторная работа №5 — Протоколы, уязвимые для прослушивания
Перехват сеанса
• Атака «Человек посередине»
• Hijacking
• Spoofing
• Сравнение Hijacking и Spoofing
• Захват сеанса
• Противодействие перехвату
SQL-инъекция
• Как работают web-приложения
• SQL-инъекция
• Тестирование защиты от SQL-инъекций
• Лабораторная работа №6 — SQL-инъекция
Криптография
• Стандарты шифрования
• Симметричные криптоалгоритмы
• Ассиметричные шифры
• Криптографические хэш-функции
• Инфраструктура открытых ключей (PKI)
• SSL/TLS
• SSH
• ЭЦП
• Взлом шифрования
Хакинг системы
• «Домашняя работа» перед взломом
• Проникновение в корпоративную сеть
• Методы взлома паролей
• Прослушивание сессии
• Противодействие взлому
• Лабораторная работа №7 — Атака по словарю и перебором
Хакинг Web-серверов
• Особенности web-серверов
• Использование сообщений об ошибках
• Эксплойты
• Атаки на стороне клиента
• Защита web-серверов
• Лабораторная работа №8 — Эксплойты
Хакинг Web-приложений
• Специфика Web-приложений
• Межсайтовый скриптинг
• Использование обработчиков ошибок
• Некриптостойкое хранение
• Управление сессией и аутентификацией
• Атаки на web-сервисы
• Взлом Web App
• Анализ уязвимостей web-приложений
• Защита web-приложений
Хакинг беспроводных сетей
• Стандарты беспроводной связи
• Типы шифрования беспроводных соединений
• Прослушивание IP-адресов
• Противодействие взлому беспроводных сетей
Обход IDS и Honeypot
• Система обнаружения вторжений (IDS)
• Определение типа брандмауэра
• Техники обхода брандмауэров
• Обход брандмауэра через Proxy
• Honeypot
Тестирование на проникновение
• Оценка безопасности и уязвимостей
• Тестирование на проникновение
• Порядок тестирования
• Методы тестирования
• Что тестируется
• Тестирование web-приложений
Итоговое тестирование: Тестирование на проникновение
Цели
Курс знакомит слушателей с концепциями, технологиями и инструментами, применяемыми при тестировании на проникновение хакера и для выявления инсайдерской активности.
Целевая аудитория
Системные администраторы и специалисты по защите информации.
Предварительная подготовка
Курсы по администрированию Windows и Unix-систем или аналогичный опыт.
Рекомендуемая схема обучения
Аудит безопасности — Часть 1 текущий курс
атак социальной инженерии: общие методы и способы предотвращения атак
34 эксперта по информационной безопасности обсуждают, как предотвратить наиболее распространенные атаки социальной инженерии.
Атаки социальной инженерии не только становятся все более распространенными против предприятий и малых и средних предприятий, но и становятся все более изощренными. Поскольку хакеры разрабатывают все более изощренные методы обмана сотрудников и отдельных лиц для передачи ценных данных компании, предприятиям необходимо проявлять должную осмотрительность, чтобы оставаться на два шага впереди киберпреступников.
Атаки социальной инженерии обычно связаны с той или иной формой психологической манипуляции, заставляя ничего не подозревающих пользователей или сотрудников передавать конфиденциальные или конфиденциальные данные. Обычно социальная инженерия включает в себя электронную почту или другое общение, которое вызывает у жертвы срочность, страх или аналогичные эмоции, побуждая жертву незамедлительно раскрыть конфиденциальную информацию, щелкнуть вредоносную ссылку или открыть вредоносный файл. Поскольку социальная инженерия включает в себя человеческий фактор, предотвращение этих атак может быть сложной задачей для предприятий.
Мы хотели обучить компании, сотрудников и конечных пользователей тому, как лучше распознавать усилия социальной инженерии и предотвращать успешные атаки. Чтобы раскрыть некоторые из наиболее распространенных атак социальной инженерии, которые используются против современных предприятий, и получить советы о том, как их избежать, мы попросили группу экспертов по безопасности данных и руководителей бизнеса ответить на следующий вопрос:
«Каковы общие социальные инженерные атаки на компании, и как их предотвратить? »
Посмотрите, что сказали наши эксперты ниже:
Познакомьтесь с нашей группой экспертов по безопасности данных:
Стю Сьюверман и Кевин Митник
@StuAllard
Стю Сьюверман (произносится как «душевой») является основателем и Генеральный директор KnowBe4, LLC, на которой размещена самая популярная в мире интегрированная платформа обучения безопасности и имитации фишинга.Сьюверман, эксперт по безопасности данных с более чем 30-летним опытом работы в ИТ-индустрии, был соучредителем компании Sunbelt Software Inc. 500, компании, которая была приобретена в 2010 году и отмечена множеством наград. безопасности серьезно пренебрегали, Сьюверман решил помочь организациям справиться с проблемой киберпреступности с помощью тактики социальной инженерии с помощью нового учебного курса по безопасности в школах. KnowBe4 обслуживает более 1200 организаций в различных отраслях, в том числе в строго регулируемых областях, таких как здравоохранение, финансы, энергетика, правительство и страхование, и ежегодно демонстрирует взрывной рост в 300%.Сьюверман является автором четырех книг, последняя из которых — «Киберхейст: самая большая финансовая угроза для американского бизнеса».
@KevinMitnick
Кевин Митник, «самый известный хакер в мире», всемирно признанный эксперт по компьютерной безопасности с обширным опытом выявления уязвимостей сложных операционных систем и телекоммуникационных устройств. Он получил известность как высококвалифицированный хакер, проникший в некоторые из самых устойчивых компьютерных систем из когда-либо созданных.Сегодня Митник известен как консультант по информационной безопасности и основной докладчик и является автором четырех книг, в том числе бестселлера The New York Times «Призрак в проводах». Его последнее начинание — сотрудничество с KnowBe4, LLC в качестве директора по взлому.
Методы социальной инженерии
Как социальная инженерия выглядит в действии? Это может выглядеть как электронное письмо, созданное так, чтобы оно выглядело так, как будто оно было отправлено надежной организацией, например, вашей службой сообщений, Fed Ex или даже вашим банком.Но если вы откроете его и нажмете на это вложение, вы можете установить вредоносное ПО или программу-вымогатель. Или это может быть замаскировано, чтобы выглядеть так, будто оно исходит от кого-то внутри вашей организации (например, с необычным названием, например IT @ yourorganization — кем-то, кому вы доверяете). Но если вы ответите на это письмо со своим именем пользователя и паролем, ваш компьютер будет легко взломан. Правило: «Подумайте, прежде чем щелкнуть» .
Атаки социальной инженерии
Технический директор Symantec Security Response сказал, что злоумышленники обычно не пытаются использовать технические уязвимости в Windows.Вместо этого они преследуют вас. «Вам не нужно столько технических навыков, чтобы найти человека, который мог бы в момент слабости открыть вложение, содержащее вредоносный контент». Только около 3% вредоносных программ, с которыми они сталкиваются, пытаются использовать техническую уязвимость. Остальные 97% пытаются обмануть пользователя с помощью какой-то схемы социальной инженерии, поэтому, в конце концов, не имеет значения, является ли ваша рабочая станция ПК или Mac.
Фишинг
Наиболее распространенные атаки социальной инженерии исходят от фишинга или целевого фишинга и могут варьироваться в зависимости от текущих событий, стихийных бедствий или налогового сезона.Поскольку около 91% утечек данных происходит из-за фишинга, это стало одной из наиболее часто используемых форм социальной инженерии.
Вот некоторые из худших:
A. Судебное извещение о появлении — Мошенники рассылают фишинговые электронные письма, утверждая, что они исходят от реальной юридической фирмы под названием «Baker & McKenzie», в которой говорится, что вы должны явиться в суд и должны щелкнуть ссылка для просмотра копии судебного извещения. Если вы перейдете по ссылке, вы загрузите и установите вредоносное ПО.
Б.Программа-вымогатель IRS — многие из нас ждали до последнего момента до крайнего срока уплаты налогов 15 апреля и теперь затаили дыхание в ожидании этого, возможно, полезного возмещения. Проблема в том, что киберпреступники хорошо осведомлены об этом ожидании и используют тактику социальной инженерии, чтобы обмануть налогоплательщиков. Зная, что многие в Америке ждут известий от Налоговой службы о незавершенных возмещениях, кибер-мафия прилагает все усилия, чтобы первыми начать массированную фишинговую атаку с вложением программы-вымогателя.Вложение представляет собой зараженный файл Word, который содержит полезную нагрузку программы-вымогателя и шифрует файлы незадачливого конечного пользователя, открывшего вложение, а также все подключенные сетевые диски, если таковые имеются.
C. Исследователи из Proofpoint недавно обнаружили фишинговую кампанию , которая возникла из избранных объявлений о вакансиях на CareerBuilder. Воспользовавшись системой уведомлений, которую использует портал вакансий, злоумышленник загрузил вредоносные вложения вместо резюме, что, в свою очередь, заставило CareerBuilder действовать как средство доставки фишинговых писем.
Мошенничество одновременно простое и сложное. Это просто, потому что злоумышленник использовал известный сайт вакансий для нацеливания на пул желающих получателей электронной почты, и сложный, потому что доставленное вредоносное ПО развертывалось поэтапно.
Атака начинается с отправки вредоносного документа Word (с именем resume.doc или cv.doc) в объявление о вакансии. В CareerBuilder, когда кто-то отправляет документ в список вакансий, создается электронное письмо с уведомлением для человека (лиц), разместившего вакансию, и прилагается вложение.
D. В июне прошлого года полицейское управление Дарема, штат Нью-Гэмпшир, стало жертвой программы-вымогателя , когда сотрудник щелкнул по электронной почте, которая выглядела вполне законно. Пострадали многие другие полицейские управления, включая Суонси и Тьюксбери, Массачусетс, Шериф округа Диксон (Теннесси) и другие. На данный момент основным средством заражения, по-видимому, являются фишинговые электронные письма, содержащие вредоносные вложения, фальшивые уведомления об отслеживании FedEx и UPS и даже всплывающие окна с рекламой.
Вот несколько видов мошенничества с социальной инженерией, выполняемых с помощью фишинга:
Мошенничество с банковскими ссылками : Хакеры отправляют вам электронное письмо с фальшивой ссылкой на ваш банк, заставляя вас ввести свой банковский идентификатор и пароль.
Об ограблении на миллиард долларов, охватывающем 30 стран, и о потерянных средствах почти на миллиард долларов, прозванном фирмой Kaspersky по прозвищу Carbanak, в феврале 2015 года было много сообщений. Станции, и оттуда хакеры проникли глубже в системы банков, пока они не контролировали станции сотрудников, которые позволяли им делать денежные переводы, управлять банкоматами удаленно, изменять информацию об учетных записях и вносить административные изменения.
Это была довольно стандартная схема: письмо со ссылкой, которая выглядела так, как будто пришла от коллеги, содержало вредоносный код, который распространялся оттуда, как цифровой риновирус. Хакеры записали все, что происходило на пораженных компьютерах, чтобы узнать, как организация работает. Освоив систему, они использовали ее для серии транзакций, которые включали в себя сбои в банкоматах, а также практику искусственного раздувания банковских балансов с последующим выкачиванием этой суммы, так что баланс счета клиента может вырасти с 1000 до 10000 долларов, а затем 9000 долларов пойдут хакеру.
Афера с уведомлением о факсе : Это фальшивая ссылка на фальшивый факс. Но это нанесет реальный ущерб вашему ПК. Это довольно распространено, особенно для фирм, которые все еще активно используют факсы, таких как компании по управлению документами, титульные компании, страховые компании и другие компании, предоставляющие финансовые услуги.
Мошенничество со ссылками на Dropbox : Вас ждет сюрприз в Dropbox.
В 2014 году использовалось несколько вариантов этого. Один из них представлял собой поддельное фишинговое письмо для сброса пароля Dropbox, которое при нажатии приводило пользователей на страницу с сообщением, что их браузер устарел и им необходимо обновить его (с помощью «кнопки» на Обновить).Это запустит троян из семейства вредоносных программ Zeus.
Еще одно электронное письмо со ссылками на Dropbox, на котором размещалось вредоносное ПО, такое как «CryptoWall», вымогатель.
Секретарь суда Ссылка на жалобу Мошенничество : Вот фальшивая ссылка, подтверждающая вашу жалобу. Что-то подсказывает нам, что вы очень скоро будете жаловаться на что-то еще.
Версия этого используется некоторое время. См. A. выше.
Мошенничество со ссылкой на сообщение в Facebook : Вин Дизель только что умер.Узнайте, что ваш компьютер будет продавать ромашки по этой ссылке.
Это обычно используется, когда знаменитость умирает. Это было использовано с Робином Уильямсом, когда он скончался с прощальным видео Робина Уильямса. Появилось поддельное фишинговое сообщение Facebook, в котором пользователям предлагалось щелкнуть ссылку и посмотреть эксклюзивное видео Робина Уильямса, прощающегося по мобильному телефону. Конечно, видео не было, и ссылка вела на поддельную новостную страницу BBC, которая пыталась обманом заставить кликеров нажимать на другие ссылки, что приводило к мошенническим онлайн-опросам.
Так как мы обучаем других и активно создаем тестовые фишинговые кампании для наших клиентов, мои сотрудники на днях пытались меня с помощью социальной инженерии, пытаясь поймать меня как розыгрыш.
Это была двухэтапная атака, пытающаяся заставить меня раскрыть свои учетные данные. Они подделали нашего директора по персоналу и прислали мне электронное письмо ниже. Это пример очень высокой операционной сложности, типичный для китобойных атак высшего уровня, тех случаев, когда человек подвергается попыткам целевого фишинга, потому что он хранит ценную информацию или обладает влиянием в организации.Они сделали свою домашнюю работу и знали, что я активен на форуме SpiceWorks для ИТ-администраторов.
10:45 AM (1 час назад)
по адресу: stus
Stu,
Я заметил, что пользователь с именем securitybull72 (утверждающий, что сотрудник) на форуме по безопасности опубликовал несколько негативных комментариев о компании в целом (главным образом о вознаграждении руководителей) и о вас в частности (переплаченные и некомпетентные).Он привел подробные примеры своих разногласий и, возможно, непреднамеренно разгласил конфиденциальную информацию компании о незавершенных транзакциях.
На сообщение было получено довольно много ответов, большинство из которых согласны с отрицательными утверждениями. Хотя я понимаю, что сотрудник имеет право на свое мнение, возможно, ему следовало выразить свое разочарование по соответствующим каналам, прежде чем опубликовать этот пост. Ссылка на пост находится здесь (она вторая в ветке):
www.spiceworks.com/forums/security/234664/2345466.
Не могли бы вы поговорить с ним?
Спасибо.
Девять из десяти попались бы на что-то подобное. Единственное, что меня спасло, это то, что, когда я наведен на ссылку, я увидел, что это домен, который я создал сам для имитации фишинговых атак. Но это был близкий вызов! Еще одна секунда, и я был бы разбит.
Лучшими профилактическими действиями являются:
1.Обучите пользователей с помощью эффективной программы обучения, которая регулярно использует интегрированный инструмент защиты от фишинга, который заботится о безопасности пользователей и помогает им распознать, как может выглядеть фишинговое письмо.
2. Создайте резервную копию на всякий случай и регулярно проверяйте эти резервные копии, чтобы убедиться, что они работают.
Пол Кублер, CISSP, CCNA, Sec +, ACE
@lifarsllc
Пол Кублер — эксперт по кибербезопасности и цифровой криминалистике в LIFARS LLC, международной фирме по кибербезопасности и цифровой криминалистике.Он бывший сотрудник Boeing в подразделении глобальной сетевой архитектуры, крупнейшей в стране цели частных кибератак. Ранее он работал в Flushing Bank в области сетевой и системной инфраструктуры, защищая ценные финансовые данные на различных уровнях сети и системы. Пол также проводил судебно-медицинские исследования мобильных устройств, помогая преследовать преступников.
Обладая многолетним опытом работы в области кибербезопасности и цифровой криминалистики, он провел широкий спектр расследований, включая взлом данных в результате компьютерных вторжений, кражи интеллектуальной собственности и взлома компьютеров.Он работал над укреплением систем и развертыванием защиты в международной организации. Он также создал бизнес-сети со стратегией глубокой защиты и внедрил в них межсетевые экраны.
Некоторые из наиболее распространенных форм социальной инженерии (и способы их предотвращения) включают …
ФИШИНГ
В последние несколько лет фишинг стал крупным игроком в атаках вредоносных программ, и этот тип социальных сетей инженерное дело оказалось труднопреодолимым.Злоумышленники обычно отправляют хорошо составленные электронные письма с кажущимися законными вложениями, которые несут вредоносную полезную нагрузку. Это не типичные мошенники «нигерийского принца», а скорее изощренные хакерские группы с достаточным временем и финансированием, которые запускают эти эксплойты. Обычно они прячутся за сетью Tor или чем-то подобным, и их трудно найти, особенно когда их поддерживает организованная преступность, которая использует это как источник дохода.
RANSOMWARE
В последние годы мы стали свидетелями резкого увеличения использования программ-вымогателей, доставляемых вместе с фишинговыми сообщениями электронной почты.Обычно они отправляют вложение, такое как «СРОЧНАЯ ИНФОРМАЦИЯ ОБ УЧЕТНОЙ ЗАПИСИ» с расширением файла «.PDF.zip» или «.PDF.rar», которое проскальзывает ничего не подозревающая жертва и доставляет полезную нагрузку. Эта атака часто шифрует весь жесткий диск или документы и требует оплаты биткойнами для разблокировки. К счастью, эти группы действительно разблокируют данные — так будущие жертвы с большей вероятностью будут платить.
Что вы можете сделать, чтобы свести к минимуму свои шансы стать жертвой этих грязных схем? Вот несколько шагов, которые вы можете предпринять:
- НЕ открывайте электронные письма в папке со спамом или письма, получателей которых вы не знаете.
- НЕ открывайте вложения в сообщениях электронной почты неизвестного происхождения.
- Используйте надежное антивирусное программное обеспечение — я рекомендую Kaspersky или Symentec.
- Выполняйте регулярное резервное копирование на внешний носитель (внешний жесткий диск или облако).
- После резервного копирования отключите накопитель. Известно, что современные программы-вымогатели также шифруют ваш резервный диск.
- НЕ платите выкуп. Причина, по которой преступники продолжают использовать эту форму шантажа, заключается в том, что люди продолжают платить.Чтобы попытаться вернуть свои данные, проконсультируйтесь со специалистом в вашем регионе.
Что может сделать ваша компания, чтобы не стать жертвой подобных атак?
- Людей нужно обучать — они самое слабое звено. Компании должны проводить, как минимум, два раза в год обучение, ориентированное на каждую группу пользователей (конечные пользователи, ИТ-персонал, менеджеры и т. Д.), Чтобы все были в курсе последних атак.
- Сотрудники должны быть протестированы с привлечением сторонней организации для проведения теста социальной инженерии.Подобные тесты помогают держать сотрудников в напряжении и с большей вероятностью избежать атак.
- Поскольку количество таких атак увеличивается, был разработан ряд новых средств защиты. AppRiver — отличный фильтр электронной почты для спама и вирусов, который может блокировать большое количество фишинговых эксплойтов еще до того, как они достигнут внутренних серверов.
- Если они все же пройдут, система защиты конечных точек, которая может блокировать новейшие вредоносные программы, вероятно, станет вашим лучшим выбором для остановки атаки.
- В качестве последней линии защиты Cyphort предлагает хорошее решение IDS / IPS, которое может помочь обнаружить известные атаки и то, как далеко им удалось проникнуть в сеть по сигнатуре, поведению и знаниям сообщества.
Дуг Фодеман
@dailyscams
Дуг Фодман — контент-директор и совладелец The Daily Scam, веб-сайта, посвященного помощи отдельным лицам, компаниям и организациям в повышении их понимания и осведомленности об интернет-угрозах. мошенничества и мошенничества с целью значительного снижения рисков и связанных с ними потерь производительности.
Когда дело доходит до атак социальной инженерии, компании должны понимать …
Атаки социальной инженерии, нацеленные на компании или частных лиц, наиболее легко и успешно запускаются через электронную почту.Все зависят от электронной почты для общения, даже больше, чем от социальных сетей, за которыми может следить только один или несколько сотрудников компании. Электронная почта также является инструментом, который ежедневно используют пожилые сотрудники. Кроме того, электронная почта может стать источником угрозы для всех в организации, включая генерального директора и финансового директора. Но вредоносные электронные письма требуют наличия двух триггеров. Первый — это грамотно сформулированная тема, которая вызовет любопытство получателя и заставит его открыть письмо.
Некоторые из наиболее эффективных тем часто бывают невинными и простыми, как те, что я видел, нацеленные на организацию всего за последние две недели:
- Специальное приглашение: был открыт доступ к вашему онлайн-файлу
- Отпразднуйте маму в это воскресенье с изысканный 29 долларов.96 букет
- Будьте замечены и наблюдайте за взлетом своей карьеры
- Узнайте об арфе
- Букеты ко Дню матери с ДИЗАЙНЕРСКИМИ ВАЗами
- Отмена услуги 10 мая
- ДОКУМЕНТ ОТПРАВКИ / ПОДТВЕРЖДЕНИЕ BL
- Добро пожаловать на сайт Who’s Who Connection № проценты за первый год
- Уведомление о платеже
- Считайте срочным и ответьте мне
- Ваша установка
- Ваш номер телефона
После того, как получатель откроет электронное письмо, сообщение должно быть достаточно убедительным, чтобы вызвать щелчок ссылки или прикрепленного файла, чтобы инициировать или доставить атаку.Многие инженерные стратегии оказались очень успешными, в том числе:
- Электронные письма с очень профессиональным внешним видом и презентацией. Эти электронные письма могут содержать поддельные адреса электронной почты законных компаний или, казалось бы, невинные сообщения, такие как продажа цветов ко Дню матери.
- Электронные письма очень короткие и по существу, часто со ссылкой на поддельный счет, заблокированный платеж, доставку или факс.
- Электронные письма, предназначенные для создания кликабельности путем запугивания, например электронное письмо, которое выглядит так, как будто оно отправлено ФБР, банковским учреждением или IRS.
К сожалению, большинство компаний, похоже, вкладывают все усилия в защиту программного и аппаратного обеспечения, чтобы эти угрозы никогда не доходили до сотрудников. Использование этого подхода ошибочно, поскольку сотрудники подключаются к Интернету через электронную почту, Facebook, LinkedIn, Twitter и веб-страницы из дома, с мобильных устройств и с работы. Немногие компании также включают обучение сотрудников. Я обнаружил, что информирование сотрудников об угрозах, нацеленных на них, более важно, чем защита оборудования и программного обеспечения.И нетрудно научить сотрудников простым методам распознавания угроз, таким как навыки наведения указателя мыши и понимание анатомии адреса электронной почты или доменного имени.
Кертис Петерсон
@SmartFile
Кертис Петерсон — менеджер по цифровому маркетингу SmartFile. Петерсон отвечает за стратегию и выполнение стратегии SmartFile в отношении содержания, электронной почты, поиска и социальных сетей. SmartFile предоставляет ИТ-администраторам экономящие время инструменты управления файлами и пользователями, которые позволяют сотрудникам, не являющимся ИТ-специалистами, безопасно получать доступ к файлам и обмениваться ими.Масштабируемое облачное или локальное хранилище доступно для предприятий любого размера, которые регулярно отправляют, получают и архивируют файлы.
Что касается выявления и предотвращения атак социальной инженерии …
Очевидно, Эдвард Сноуден был инициатором атак социальной инженерии. Он либо подружился с людьми, либо попросил их пароли и логины, сказав им, что они необходимы для его роли администратора компьютерной системы. Предлог, создание вымышленного образа или использование своей роли ненадлежащим образом — довольно популярны для атак социальной инженерии.
Суть в том, что 63% утечек данных происходят из внутренних источников: из-за контроля, ошибок или мошенничества. В 2013 году кража данных принесла 143 миллиарда долларов (обе статистические данные можно найти на isyourdatasafe.com).
Социальную инженерию трудно предотвратить. Это самая сложная часть. В значительной степени предотвращение обеспечивается передовыми методами соблюдения требований ИТ. Но все же, даже в случае с Эдвардом Сноуденом, как вы можете определить, что происходит что-то плохое, если он выглядит как пользователь с допущенным уровнем допуска? Мы рекомендуем тщательный мониторинг и аналитику, чтобы попытаться понять, когда это происходит.Например, если у вас есть несколько очень важных файлов, вы должны отслеживать, когда они загружаются / передаются. ИТ-администратор также должен получать мгновенные уведомления, когда эти действия выполняются с конфиденциальными файлами. Наконец, должны быть журналы, которые регулярно анализируются, чтобы понять ненормальное поведение пользователя. Например, если файл загружается в нерабочее время, это должен быть красный флаг. Или, если загружено несколько конфиденциальных файлов от одного и того же пользователя, их следует идентифицировать и изучить.
Джереми Шонеман
Джереми Шонеман — специалист по информационной безопасности, специализирующийся на социальной инженерии. Он проработал в SecureState более года и регулярно занимается социальной инженерией в рамках тестов на проникновение клиентов.
Наиболее распространенные методы социальной инженерии, используемые сегодня, включают …
Сегодня существует множество способов, которыми злоумышленник попытается взломать корпоративную сеть, но, в конце концов, человек подвергается наибольшему риску атаки.Злоумышленники воспользуются любыми средствами, необходимыми для взлома сети и кражи информации, и наиболее популярным и наиболее успешным является метод социальной инженерии. Социальная инженерия ответственна за многие недавние крупные атаки, от Sony до Белого дома. По сути, существует два очень популярных типа атак: фишинг и вишинг (голосовой фишинг).
Фишинговые атаки — наиболее распространенный способ получения информации или доступа в сеть. Человек откроет, казалось бы, безобидное электронное письмо, либо щелкнет ссылку, которая ведет на вредоносный сайт, либо загрузит вложение, содержащее вредоносный код, и поставит под угрозу систему.Фишинг становится все более успешным, потому что злоумышленники создают более легитимные электронные письма, а атаки являются более изощренными. Благодаря распространению социальных сетей злоумышленник может найти все, что ему нужно знать о человеке и его интересах, создать электронное письмо, специально предназначенное для этого человека, и отправить что-то напрямую ему, что увеличивает вероятность того, что этот человек нажмет.
Вишинг — это, по сути, фишинг по телефону. Злоумышленник позвонит кому-нибудь, например, в службу поддержки ИТ, и, имея небольшую информацию о человеке (например, имя и дату рождения), получит либо учетные данные для входа, либо дополнительную информацию о человеке, например номер социального страхования. .
Защита компании от этих атак начинается с обучения. Обучение людей, на что обращать внимание при получении электронного письма или телефонного звонка от кого-то, кто запрашивает информацию или нажимает на что-либо, снижает вероятность успешной атаки. На самом деле просмотр адреса отправителя, наведение курсора на ссылки и проверка URL-адреса и никогда не загрузка вложений, если вы не знаете, откуда приходит электронное письмо, резко снизят вероятность успешной атаки на компанию.Когда человеку звонят с просьбой предоставить информацию, важно установить его личность, не давая подсказок. Помните: информацию о людях легко найти в Интернете. Хорошие вопросы по безопасности на уровне службы поддержки ИТ — отличный способ защититься от этих атак. Что-то вроде: в какой средней школе вы ходили, или какая у вас была первая машина, в тысячу раз лучше, чем ваш день рождения.
Пьерлуиджи Паганини
@InfosecEdu
Пьерлуиджи Паганини — исследователь в области безопасности в Институте информационной безопасности и имеет более чем 20-летний опыт работы в этой области.
Вот несколько основных правил для защиты цифровой идентичности пользователей от атак социальной инженерии …
- Помните о спаме и примите особые меры предосторожности для электронной почты, которая:
- запрашивает подтверждение личной или финансовой информации с высокой срочностью .
- требует быстрых действий, угрожая пользователю пугающей информацией.
- отправлено неизвестными отправителями.
- Регулярно отслеживайте онлайн-счета, чтобы гарантировать отсутствие несанкционированных транзакций.
- Никогда не разглашайте личную информацию по телефону или на незащищенных веб-сайтах.
- Не переходите по ссылкам, не загружайте файлы и не открывайте вложения электронной почты от неизвестных отправителей.
- Обязательно проводите онлайн-транзакции только на сайтах, которые используют протокол https. Найдите знак, указывающий на безопасность сайта (например, замок в адресной строке).
- Остерегайтесь телефонного фишинга; никогда не сообщайте личную информацию по телефону, если вам звонят. Остерегайтесь электронных писем, в которых пользователя просят связаться с определенным номером телефона, чтобы обновить информацию о пользователе.
- Никогда не разглашайте личную или финансовую информацию по электронной почте.
- Остерегайтесь ссылок на веб-формы, которые запрашивают личную информацию, даже если электронное письмо пришло из законного источника. Фишинговые веб-сайты часто являются точными копиями законных веб-сайтов.
- Остерегайтесь всплывающих окон; никогда не вводите личную информацию во всплывающем экране и не нажимайте на него.
- Установите надлежащие системы защиты, такие как фильтры спама, антивирусное программное обеспечение и брандмауэр, и постоянно обновляйте все системы.
- Для пользователя социальной сети важно никому не доверять и раскрывать только ограниченный объем информации. Никогда не публикуйте личную информацию, например расписание отпусков и домашние фотографии. Никогда не переходите по ссылкам и видео неизвестного происхождения и никогда не загружайте несертифицированные приложения.
Кейт Кейси
@CaseySoftware
Кейт Кейси в настоящее время работает директором по продукту в Clarify.io, работая над упрощением и согласованностью API-интерфейсов, а также с решением реальных проблем.Ранее, будучи проповедником разработчиков в Twilio, он работал, чтобы передать хорошие технологии в руки хороших людей, чтобы они делали великие дела. В свободное время он работает над созданием и поддержкой технологического сообщества Остина, иногда ведет блоги на CaseySoftware.com и полностью очарован обезьянами. Кейт также является соавтором книги Leanpub «Практический подход к проектированию API».
Самыми распространенными атаками социальной инженерии на сегодняшний день являются …
«Мне просто нужно.«Обычно кто-то звонит в компанию, утверждая, что представляет телефонную компанию, интернет-провайдера и т. Д., И начинает задавать вопросы. Они утверждают, что у них простая проблема, или знают о проблеме, которую можно быстро решить, но им нужна всего одна мелочь. Это может быть так же безобидно, как запрос имени пользователя или чьего-то расписания, или столь же вопиющим, как запрос пароля. Как только злоумышленник получает эту информацию, он звонит кому-то еще в компании и использует новую информацию для уточнения своей атаки. повторить.
После нескольких звонков они часто могут выдать себя за сотрудников — часто помощников кого-то значительного — и прямо сейчас попросить доступ или более подробную информацию. Ничего не подозревающий сотрудник не хочет раздражать значимого человека, поэтому он отвечает и помогает, прежде чем у них будет возможность подумать. На этом этапе получить доступ к учетным записям электронной почты, телефонным записям, маршрутам поездок и т. Д. Почти тривиально.
Единственное решение — никогда не доверять тому, кто вам звонит.Вместо того, чтобы сразу предоставлять запрошенную информацию, получите номер телефона человека из справочника компании и предложите перезвонить ему по этому номеру. Честный человек может рассердиться, но это сработает. Злоумышленник сдастся и попробует кого-нибудь другого. Кроме того, никогда не спрашивайте у человека его номер телефона, обратитесь к известному безопасному источнику, например, в справочнике компании, чтобы получить информацию.
То же самое относится к эмитенту вашей кредитной карты. Никогда не сообщайте конфиденциальную информацию тем, кто вам звонит.Используйте номер телефона на вашей карте и перезвоните им.
Джо Феррара
@WombatSecurity
Джо Феррара — президент и генеральный директор Wombat Security Technologies. Присоединившись к Wombat в 2011 году, Джо привнес 20-летний опыт в технологический маркетинг, операции и управление в качестве президента и генерального директора. Недавно Джо стал финалистом конкурса EY «Предприниматель года» в Западной Пенсильвании и Западной Вирджинии и получил награду «Генеральный директор года» от CEO World. Джо выступал с комментариями экспертов и выступал на многочисленных мероприятиях индустрии информационной безопасности, включая RSA Europe, форум руководителей CISO, ISSA International и региональные конференции по информационной безопасности.
Мой совет компаниям, связанным с растущим распространением атак социальной инженерии: …
Обычно определяемое как искусство использования человеческой психологии для получения доступа к зданиям, системам или данным, социальная инженерия развивается так быстро, что Сами по себе технологические решения, политики безопасности и рабочие процедуры не могут защитить критически важные ресурсы. Недавний опрос, спонсируемый Check Point, показал, что 43% опрошенных ИТ-специалистов заявили, что они стали жертвами схем социальной инженерии.Опрос также показал, что новые сотрудники наиболее подвержены атакам: 60% опрошенных указали, что недавние сотрудники подвергаются высокому риску социальной инженерии.
Компаниям следует:
- Провести базовую оценку понимания сотрудниками.
- Помогите сотрудникам понять, почему их конфиденциальность является жизненно важной для корпоративного здоровья.
- Создайте целевую программу обучения, которая в первую очередь адресована наиболее опасным сотрудникам и / или распространенному поведению.
- Предоставьте сотрудникам возможность распознавать потенциальные угрозы и самостоятельно принимать правильные решения в области безопасности.
- Повысьте эффективность удержания знаний с помощью коротких интерактивных учебных занятий, которые легко вписываются в плотный график сотрудников и содержат проверенные эффективные научные принципы обучения.
- Отслеживайте выполнение сотрудниками заданий и отправляйте автоматические напоминания о сроках обучения.
- Покажите измеримое улучшение знаний с течением времени с помощью удобных для чтения отчетов для высшего руководства.
Компаниям следует продвигать культуру безопасности, ориентированную на людей, которая предусматривает постоянное обучение для постоянного информирования сотрудников о последних угрозах безопасности.Чтобы противостоять атакам на человеческий разум, необходимы изменения в поведении, а не технологии защиты.
Компаниям следует использовать комбинированный подход моделирования атак социальной инженерии в сочетании с интерактивными обучающими модулями для достижения наилучшего результата. Внедрение методики непрерывного обучения может стать разницей между утечкой данных с пятью сигналами тревоги и тихой ночью в офисе.
Санджай Рамнат
@Barracuda
Санджай Рамнат — старший директор по управлению продуктами Barracuda, поставщика мощных, простых в использовании и доступных ИТ-решений для обеспечения безопасности и хранения данных.
Когда дело доходит до социальной инженерии, я советую компаниям …
Социальные сети — неизбежное зло. Компании должны осознавать ценность этих сайтов для использования в бизнесе и не могут просто заблокировать эти сайты в сети.
Однако есть несколько способов помочь снизить риски, разрешив использование социальных сетей. Что касается обучения, убедитесь, что вы можете провести курс для новых и пожилых сотрудников, чтобы показать им, что можно и чего нельзя делать, чтобы лучше защитить себя от угроз; тем не менее, большая часть этого общеизвестна, и ее трудно обеспечить.
BYOD действительно заставил сетевых администраторов защитить сеть от мобильных устройств пользователей.
Социальные сети — это среда с нулевым доверием. Социальные сети настолько просты в использовании, что часто люди теряют бдительность. Друг, которого вы хорошо знаете, может отправить вам ссылку на альбом о недавней поездке, которую они недавно совершили, чтобы вы могли щелкнуть по нему, чтобы просмотреть или загрузить. Вы, конечно, видите фотографию своего друга рядом со ссылкой или получаете электронное письмо с его адреса электронной почты, нажимаете на нее, потому что предполагаете, что это безопасно, не зная, что они были взломаны, и теперь изображения, которые, как вы думаете, вы загружаете, являются фактически загружает вредоносное ПО на ваш компьютер.
Компаниям необходимо рассмотреть возможность защиты всех векторов угроз и внедрения специализированных решений для удовлетворения любых потребностей. В таких случаях, как социальная инженерия, когда жертвы подвергаются целевым фишинговым атакам, фишинговым атакам, вредоносным электронным письмам и взломанным сайтам, хорошо иметь брандмауэр спама и веб-фильтр для смягчения этих угроз еще до того, как они достигнут сети.
Наличие безопасного веб-браузера или решения для управления мобильными устройствами для решения BYOD как в сети компании, так и за ее пределами — это то, что им также следует учитывать для защиты информации компании и сотрудников.
Алекс Марковиц
@ChelseaTech
Алекс Марковиц (Alex Markowitz) — системный инженер в Chelsea Technologies, компании, предоставляющей управляемые ИТ-услуги, которая предоставляет услуги проектирования, внедрения, хостинга и поддержки для мировой финансовой индустрии. Алекс имеет более 10 лет опыта работы в сфере ИТ в финансовом секторе.
Мое главное предложение для компаний по предотвращению атак социальной инженерии:
Сила №
Google — самые популярные атаки социальной инженерии.Что вы получаете? Истории о троянских конях, фишинговых атаках, инъекциях вредоносных программ, перенаправлениях, спаме и людях, отдающих слишком много личной информации на общедоступных веб-сайтах. Поверхность для атак социальной инженерии такая же, как и у всех сотрудников и пользователей вашей корпорации. Лучшая атака социальной инженерии не будет включать ничего, кроме незамеченной оплошности или ошибки одного пользователя. Я собираюсь обратиться к очень конкретному аспекту внутренней безопасности и оставлю вам следующее: самая важная защита, которая вам нужна в вашей компании, — это способность сказать: «Нет.«
Знание истории этих атак полезно, но в целом оно не защитит вас. Злоумышленники всегда опережают тех из нас, кто защищает нашу информацию. Социальный инженер всегда найдет новый способ сделать то, что они делают. Кто-то, кто хочет нацелиться на вашу компанию, считается нескончаемым источником творчества и должен рассматриваться как таковой. Имейте в виду, что технологии всегда меняются, но люди, использующие эту технологию, не меняются. Вы можете защитить себя всеми возможными способами. технологии, которые вам нужны, но всего одна человеческая ошибка может распахнуть двери вашей компании.Люди — это поверхность атаки, по которой наносит удар социальный инженер.
Таким образом, наша проблема, как ИТ-специалистов, заключается в том, чтобы не дать извечным человеческим недостаткам вызвать технологическую атаку. Ниже приводится вездесущий человеческий недостаток, на который я хотел бы обратить особое внимание: я работал во многих финансовых учреждениях. В каждом учреждении всегда есть множество руководителей, менеджеров и им подобных, которые хотят, чтобы к ним относились по-особенному. Им нужен доступ к сети на своем личном ноутбуке.Они хотят иметь доступ к сети на своем iPad, но также позволяют своим детям играть с этим iPad. Им нужен доступ, когда и где они не должны быть, и они занимают влиятельные позиции, что затрудняет их рассуждение.
Им нужны вещи, которые сделают их профессиональную жизнь еще проще, чем мы, в ИТ, изо всех сил пытаемся это сделать. К сожалению, в ИТ мы привыкли говорить «да». Я видел, как директора и технические директора создавали специальные исключения для других высокопоставленных пользователей, чтобы завоевать расположение и популярность, а также потому, что они боятся своего положения.Это лениво; это высокомерно; это глупо, но это, прежде всего, по-человечески. Мы, человеческие существа, являемся системой, атакованной социальной инженерией, а затем мы оставляем себя открытыми, становясь жертвами нашей незащищенности, давая злоумышленнику приглашение штурмовать наши ворота. Все ИТ-специалисты должны научиться говорить «нет», а ИТ-менеджмент должен быть сильным и упорным на благо компании. Один из лучших способов защитить вашу компанию от социальных инженеров — это научиться говорить «нет». Избегайте политики и подъема по служебной лестнице в сфере ИТ-безопасности.
Я знаю, что обращаюсь к очень специфическому аспекту ИТ, но один из лучших способов уменьшить поверхность атаки — это научиться говорить «Нет». От ИТ-менеджмента требуется твердое лидерство и решимость, чтобы обеспечить оптимальную защиту. Только после того, как наша защита будет оптимизирована, мы сможем точно обучить наших пользователей и создать безопасную инфраструктуру. Каждое отдельное исключение открывает ящик Пандоры, который социальные инженеры могут найти (или даже просто наткнуться) и использовать.
Роберт Харроу
@robert_harrow
Роберт Харроу — исследователь-аналитик компании ValuePenguin.com, где он охватывает различные вертикали личных финансов, включая кредитные карты, страхование жилья и медицинское страхование. Его интерес к безопасности в основном связан с изучением утечек данных о кредитных картах и медицинском страховании.
Самая большая угроза социальной инженерии для компаний сегодня — это …
Фишинг-мошенничество — самая большая угроза и наиболее распространенное средство социальной инженерии. Согласно последнему отчету EMC, только в 2013 году из-за фишинговых атак было понесено 5,9 миллиарда долларов убытков — это почти 450 000 атак.
Спам-фильтры могут быть полезны, помогая сотрудникам избежать этих атак. Однако они терпят неудачу при так называемом целевом фишинге. Эти атаки менее часты, но в большей степени нацелены на конкретных важных лиц — вероятно, генеральных директоров, финансовых директоров и других людей с высокоуровневым доступом в их компании. Эти атаки обычно не улавливаются спам-фильтрами, и их гораздо труднее обнаружить.
Очень важно информировать сотрудников об опасностях фишинга и внимательно относиться ко всем получаемым ими электронным письмам.
Стивен Дж. Дж. Вайсман, эсквайр.
@ Assessment Centre
Стивен Дж. Дж. Вайсман, эсквайр. — юрист, профессор колледжа Университета Бентли, где он преподает преступления против белых воротничков, и один из ведущих экспертов страны в области мошенничества, кражи личных данных и киберпреступлений. Вайсман ведет блог Scamicide.com, где ежедневно предоставляет обновленную информацию о последних мошенничествах и схемах кражи личных данных.
Я советую, когда речь идет об атаках социальной инженерии и о том, как компании могут их предотвратить…
Серьезные утечки данных и взломы крупных компаний, таких как Target, Sony или даже Государственный департамент, как правило, имеют одну общую черту: несмотря на сложность вредоносного ПО, используемого для сбора информации, это вредоносное ПО должно могут быть загружены на компьютеры целевой компании или агентства, и это делается, как правило, с помощью тактики социальной инженерии, которая заставляет сотрудников нажимать на ссылки или загружать вложения, которые непреднамеренно загружают вредоносное ПО.
Так как же убедить сотрудников щелкнуть ссылки и загрузить вложения?
- Создается впечатление, что письмо пришло от друга, чью электронную почту они взломали.
- Они создают впечатление, что электронное письмо пришло от кого-то в компании, чье имя и адрес электронной почты могли быть получены из множества доступных баз данных, включая LinkedIn.
- Они собирают информацию о целевом сотруднике через социальные сети, где сотрудник мог обнародовать личную информацию, что позволяет опытному хакеру использовать эту информацию, чтобы обманом заставить сотрудника щелкнуть ссылку, касающуюся того, что его интересует.
- Ссылка на бесплатную порнографию.
- Ссылка предназначена для предоставления фотографий знаменитостей или сплетен.
- Ссылка предназначена для предоставления сенсационных фотографий или видеороликов важного и интересного новостного события.
- Судя по всему, он исходит от специалиста по ИТ-безопасности из компании, информирующего сотрудника о чрезвычайной ситуации.
Это лишь некоторые из наиболее распространенных тактик социальной инженерии, используемых хакерами.
Итак, что можно сделать, чтобы их остановить?
Обучайте сотрудников моему девизу: «Поверьте мне, вы не можете никому доверять.«Никто никогда не должен предоставлять личную информацию кому-либо в ответ на запрос до тех пор, пока он не проверит, что запрос является законным. Никто никогда не должен переходить по какой-либо ссылке, не подтвердив, что она законна.
Обучайте сотрудников скептически относиться к будьте начеку в отношении распространенных схем фишинга и целевого фишинга.
Устанавливайте и поддерживайте новейшее и постоянно обновляемое антивирусное и антивирусное программное обеспечение, понимая, что последние обновления всегда отстают от хакеров как минимум на месяц.
Ограничьте доступ сотрудников к информации только той информации, к которой они должны иметь доступ.
Используйте двухфакторную аутентификацию вместе с надежными паролями, которые регулярно меняются.
Аурелиан Нягу
@HeimdalSecurity
Технический писатель с 6-летним опытом работы в области кибербезопасности в Bitdefender & Heimdal Security, Аврелиан Негу пытается обнаружить и понять, как технологии меняют отношения между людьми в обществе и изменяют социальное восприятие мир.
Атаки социальной инженерии на компании …
Могут исходить как внутри, так и за пределами организации.
Социальная инженерия, выполняемая злонамеренными инсайдерами
Согласно 18-му ежегодному глобальному опросу руководителей компаний PwC, проведенному в 2015 году, 21% нынешних или бывших сотрудников используют социальную инженерию для получения финансовой выгоды, из мести, из любопытства или ради развлечения.
Методы социальной инженерии, используемые внутри организации, могут включать:
- Извлечение информации о компании (такой как пароли, учетные данные) изнутри и передача ее третьим лицам.
- Использование конфиденциальной информации в качестве рычага для поиска новой работы или достижения лучшего положения в компании.
- Выход из организации с регистрационными данными и конфиденциальной информацией и использование ее в злонамеренных целях.
Социальная инженерия, осуществляемая злоумышленниками со стороны
- Злоумышленники со стороны очень часто выдают себя за подрядчиков компании, чтобы получить конфиденциальную информацию от доверчивых сотрудников. Они могут сделать это либо по телефону, либо по электронной почте, либо физически получив доступ к помещениям компании.
- Социальная инженерия часто полагается на сильную уверенность, которой обладают киберпреступники, и на доверие, которое обычно вызывается внешними подрядчиками, особенно если они исходят из известных компаний, таких как Cisco или IBM.
- Информация о сотрудниках, найденная на сайтах социальных сетей, также может быть способом завоевать доверие жертвы и получить от нее конфиденциальную информацию.
- Вредоносные посторонние могут также использовать вредоносные программы или исполняемые файлы, скрытые во вложениях электронной почты.Попав внутрь компьютера сотрудника, такой троянец может действовать различными способами, например отправлять копии документов или слежку за компьютерной деятельностью сотрудника.
- Фишинг — еще один метод, используемый киберпреступниками. Сюда входит использование электронных писем, которые, как представляется, исходят из надежного источника, чтобы обманом заставить сотрудника ввести действительные учетные данные на поддельном веб-сайте.
Социальная инженерия может использоваться либо для извлечения информации, либо для проникновения в систему защиты компании с целью внедрения вредоносного ПО, которое может распространяться по организации и причинять огромный ущерб, как это произошло в случае взлома Target в 2013 году.
Еще один пример целевой фишинг-атаки, нацеленной на датские архитектурные компании в марте 2015 года.
Как можно предотвратить атаки социальной инженерии
- Самый важный совет для компаний — инвестировать в обучение своих сотрудников вопросам кибербезопасности. Если сотрудники узнают, как защитить свои данные и конфиденциальные данные компании, они смогут обнаружить попытку социальной инженерии и смягчить ее последствия. Кроме того, они могут стать более бдительными и сами стать столь необходимым уровнем безопасности.
- Периодические оценки кибербезопасности также необходимы, потому что компании развиваются, они растут, они меняются — а информационные потоки меняются внутри организации. Следовательно, тестирование на проникновение должно проводиться на регулярной основе и приводить к практическим рекомендациям, которые могут улучшить безопасность данных во всей организации.
- Кроме того, я всегда рекомендую компаниям, которые еще этого не сделали, разработать и внедрить тщательную политику безопасности. Это тот тип политики, в который стоит инвестировать, потому что он может оказать огромное влияние на организацию и предотвратить кибератаки, которые могут привести к серьезным последствиям.
Шобха Малларапу
@anvayasolutions
Шобха Малларапу — президент и генеральный директор Anvaya Solutions, Inc., компании по кибербезопасности. Она была представлена в статьях Business Journal о безопасности и обучила сотни предприятий кибербезопасности. Anvaya Solutions, Inc. обучила тысячи сотрудников вопросам безопасности в различных организациях.
Распространенные атаки социальной инженерии на компании включают …
1.Фишинг: Это одна из самых распространенных атак, побуждающая сотрудников раскрыть информацию. Электронное письмо выдает себя за компанию или правительственную организацию, чтобы извлечь логин и пароль пользователя для конфиденциальной учетной записи внутри компании, или перехватывает известную электронную почту и отправляет ссылки, при нажатии которых на компьютер Пользователь. Затем хакеры берут власть в свои руки.
Подобные атаки по телефону, когда звонящий заявляет, что является надежным источником или уполномоченной организацией, также могут привести к раскрытию сотрудниками информации, которая может нанести ущерб чистой прибыли компании или ее репутации.
2. Обмен информацией: Обмен слишком большим объемом информации в социальных сетях может позволить злоумышленникам угадывать пароли или извлекать конфиденциальную информацию компании через сообщения сотрудников. Осведомленность о безопасности — ключ к предотвращению таких инцидентов. Разработка политик, обучение сотрудников и реализация мер, таких как предупреждения или другие дисциплинарные меры в случае повторных или серьезных инцидентов, снизят риск атак социальной инженерии.
Если вы не ждете электронного письма, введите адрес ссылки вместо того, чтобы нажимать на нее.Или позвоните человеку, чтобы подтвердить, что письмо пришло от него. Те же принципы применимы и к телефонным фишинговым атакам. Скажите им, что вы перезвоните и получите их номер. Прежде чем звонить, убедитесь, что номер принадлежит действующей организации, воспользовавшись функцией поиска по телефону.
Элвис Морленд
Элвис Морленд, CISSP-ISSEP, CGEIT, CISM, NSA IEM-IAM, CNSS 4012-4015-4016, является руководителем отдела информационных технологий журнала Computerworld Premier 100 и главным директором по информационной безопасности (CISO).
Одна из самых распространенных сегодня атак социальной инженерии…
Атака с использованием Spear Phishing. Это электронное письмо, которое доставляет вредоносный контент через веб-ссылку или вложение в электронном письме.
Контрмера (и):
1. Никогда не открывайте ссылки или вложения из неизвестных источников. Если сомневаетесь, сообщите об этом!
2. Если кажется, что письмо пришло из обычного источника, спросите себя: «Зачем им нужно, чтобы я открывал эту ссылку или вложение? Это нормальное поведение?» Если нет, сообщите об этом!
3. В случае сомнений дважды проверьте источник, контент и / или обратитесь за помощью в свой отдел ИТ-безопасности или кибербезопасности.
4. В корпоративных условиях ваш бизнес должен быть защищен с помощью одного из различных, если не нескольких комбинированных, архитектурных устройств сетевой безопасности или средств противодействия, таких как шлюз SMTP со сканированием и / или каким-либо механизмом фильтрации, который поможет вам пометить или удалить сомнительные почтовые кампании и контент.
5. Никогда не полагайтесь исключительно на антивирус или брандмауэры для защиты от таких сложных атак. Они прибывают с вариантами вредоносного контента, которые нельзя обнаружить только с помощью черных списков или контрмер на основе сигнатур (антивирусные программы или брандмауэры), потому что они просто не успевают.
Грег Манкузи-Унгаро
@BrandProtect
Грег Манкузи-Унгаро отвечает за разработку и реализацию рынка BrandProtect, маркетинг и стратегию выхода на рынок. Страстный проповедник новых технологий, бизнес-практик и клиентоориентированности, Грег руководит и консультирует маркетинговые инициативы мирового уровня, команды и организации более двадцати пяти лет. До прихода в BrandProtect Грег занимал руководящие должности в маркетинге в ActiveRisk, Savi Technologies, Sepaton, Deltek, Novell и Ximian, создавая прорывные продукты и ускоряя рост бизнеса.Он является соучредителем проекта openSUSE, одной из ведущих мировых инициатив с открытым исходным кодом.
Распространенные схемы социальной инженерии с быстрым захватом денег обычно включают …
Варианты мошенничества с застрявшим путешественником. В этом типе мошенничества социальный инженер отправляет своей цели электронное письмо, которое, похоже, исходит из личной учетной записи электронной почты доверенного коллеги. После быстрого объяснения того, почему они не могут использовать систему электронной почты компании, например, потерянный / сломанный компьютер, проблемы с подключением к VPN или забытый домен доступа к Outlook Web, они заявляют, что они застряли в отдаленном месте и нуждаются в проводных деньгах. им.Поскольку этот социальный инженер имеет доступ к вашей электронной почте, он знает, кто ваши коллеги, и может создать довольно убедительную историю.
Другой распространенный класс атак социальной инженерии происходит за пределами бизнес-среды, в социальных сетях и других социальных сетях. Там социальные инженеры скопируют профили, подставят снимки в голову и буквально украдут всю онлайн-личность, которую они затем могут использовать, чтобы дружить с другими в вашей фирме или в других учреждениях, превращая украденную личность в серию, казалось бы, законных онлайн-дружеских отношений.С этого момента следующий запрос социальной инженерии станет лишь вопросом времени.
Однако гораздо более серьезными являются схемы социальной инженерии, в которых запрос на добавление в друзья предполагает использование сети компании. Например, коллега отправляет вам электронное письмо поздно вечером и утверждает, что забыл код доступа к VPN — это подозрительное электронное письмо, которое можно получить, и, вероятно, атака социальной инженерии. В качестве второго примера — и еще более изощренного подхода: представьте, что друг из социальной сети отправляет вам электронное письмо с сопроводительным письмом и резюме и просит вас переслать его вашему менеджеру по найму.В электронном письме может быть имя менеджера по найму или название открытой вакансии, но в любом случае это очень эффективный подход. Между тем, за кулисами социальный инженер надеется, что вы нажмете на любой из документов, неосознанно установив вредоносное ПО на свой компьютер и проникнув в сеть вашей компании.
Как только социальный инженер получит надежную личность или будет принят в круг доверенных коллег, он будет использовать это доверие для получения доступа к другим людям, сетям, IP-адресам или корпоративным активам.Социальные инженеры обычно обращают внимание на нечто большее, чем их ничего не подозревающие цели; невинные жертвы — это просто удобный и простой способ для киберпреступников получить более крупный приз.
Итак, как предотвратить успех социальных инженеров?
Как компании, самый простой способ — это тщательно отслеживать несанкционированные электронные письма, использующие ваш бренд, и подтверждать, что профили социальных доменов, которые содержат ваш бренд, принадлежат лицам, которые имеют на это право.Например, недавно клиент BrandProtect обнаружил, что более половины его фирменных онлайн-агентов на самом деле не были авторизованными агентами. Некоторые из этих действий были невиновными — некоторые бывшие агенты забыли удалить логотип — но некоторые из них были маскировкой и кражей личных данных!
Для индивидуума самый простой способ уменьшить воздействие социальной инженерии — это всегда быть уверенным в том, с кем вы общаетесь. Если есть хоть малейшие сомнения, объясните, что вы не можете помочь с входящим запросом.Если они утверждают, что они ваш друг, есть дополнительные способы мягко подтвердить чью-то личность. Например, вместо этого они могут позвонить вам на мобильный телефон или отправить электронное письмо в личный кабинет. В конце концов, если они являются теми, кем они себя называют, они легко смогут связаться с вами с помощью других форм связи.
Большая часть личной защиты от социальной инженерии может показаться здравым смыслом, но компаниям следует инвестировать в обучение сотрудников этим и другим рискам в сети. Простое повышение осведомленности об этих опасных атаках позволит снизить значительный корпоративный риск.
Дэвид Ховард
Дэвид Ховард является сертифицированным этическим хакером с 2009 года и с тех пор работает в сегменте безопасности ИТ. Недавно Дэвид основал PPL HACK, компанию из Цинциннати, которая предлагает бесплатные семинары по всей стране, включая демонстрации хакерских атак в реальном времени, чтобы помочь малым и средним предприятиям обучить своих сотрудников, чтобы лучше подготовиться к защите данных компании.
Наиболее распространенными типами атак социальной инженерии являются …
Как сертифицированный этический хакер и основатель PPL HACK, я предпринял множество попыток вторжений, и социальная инженерия является самым забавным и наиболее распространенным вектором атак на данные компании.Фишинговая электронная почта, безусловно, является методом номер один, когда в компанию наводняется электронная почта, которая выглядит законной, но заставляет вас щелкнуть ссылку, открыть файл или установить программу, имеющую гнусные намерения. Вы также найдете клонированные и поддельные веб-сайты, предназначенные для кражи вашего логина или финансовой информации для последующего использования. В некоторых случаях ваш компьютер подвергается атаке только потому, что его можно использовать в качестве бота в более крупной сети, которая может делать много вещей. Ботнеты для атак на сайты являются обычным явлением, но все более распространенным становится захват мощности вашего компьютера для работы в более крупной сети, добывающей биткойны и другие альтернативные монеты для финансовой выгоды других.
Еще одна из наиболее распространенных атак — злоумышленник посередине. Именно здесь точка беспроводного доступа, находящаяся под контролем хакера, размещается в вашей среде, так что весь ваш вход в систему и трафик данных направляется через точку управления, которая может быть зарегистрирована и доступна. Использование общедоступного / открытого Wi-Fi в отелях, кофейнях и т. Д. Также ставит ваши данные в опасную ситуацию. Как остановить эти атаки — постоянный вопрос, но есть шаги, которые вы можете использовать для их смягчения.Не используйте одни и те же пароли снова и снова. Используйте парольные фразы, такие как I W3nt to h @ wa11 4 phun, вместо слов, которые можно угадать с помощью словарных атак. VPN, а не бесплатные, которые часто сами по себе являются мошенничеством, следует использовать на любом беспроводном устройстве, используемом в сети, находящейся вне вашего контроля. При правильном использовании VPN данные между вами и посещаемыми вами веб-сайтами шифруются от посторонних глаз.
Орен Кедем
@BioCatch
Орен Кедем обладает более чем 15-летним опытом управления продуктами в области обнаружения веб-мошенничества и безопасности предприятия.До BioCatch Орен занимал должность директора по маркетингу продуктов в Trusteer (теперь часть IBM) и руководил разработкой решения по борьбе с мошенничеством для электронной коммерции в RSA (теперь часть EMC). Орен также занимал различные должности по маркетингу и управлению продуктами в BMC, занимаясь решениями для управления идентификацией и доступом и системного управления. Орен имеет степени MBA и BSc. Имеет степень бакалавра промышленной инженерии Израильского технологического института (Технион).
Наиболее распространенными атаками на организации являются …
, именуемые Advanced Persistent Threats (APT).Эти атаки состоят из двух основных фаз: разведки и атаки. Социальная инженерия играет роль в обоих. На этапе атаки подробные данные организации, бизнеса и внутренних процессов используются, чтобы убедить сотрудников выполнить действие, направленное на извлечение конфиденциальных документов или выполнение действия (например, одобрить транзакцию во внутренней системе).
Атаки используют простые средства связи, такие как телефонные звонки и сообщения электронной почты, которые, как представляется, исходят из надежного источника — например, звонок из банка или электронное письмо от клиента или партнера.Во время этого общения сотрудников просят выполнить действия, которые соответствуют нормам деловой жизни (например, не могли бы вы одобрить эту транзакцию? Не могли бы вы отправить мне контракт для подписания?).
Эти атаки очень эффективны, если преступник выполнил свою домашнюю работу и обладает всей необходимой информацией. Откуда преступники в первую очередь берут информацию? Что ж … вот здесь и вступает в игру фаза разведки. На этом этапе, который может занять от нескольких месяцев до года (отсюда и постоянство в APT), преступник обычно заражает несколько компьютеров организации шпионским ПО и терпеливо анализирует информацию и учетные данные.
Социальная инженерия используется, чтобы убедить сотрудников установить вредоносное программное обеспечение или открыть веб-страницу или документ, содержащий вредоносный код эксплойта (т. Е. Код, который умеет устанавливать программное обеспечение автоматически). В одном печально известном случае — взломе RSA — администратор отдела кадров открыл лист Excel, который был прикреплен к электронному письму (предположительно, со статистикой по кадрам), и заразил свой компьютер вредоносным ПО. Несколько месяцев спустя код был украден из RSA, а позже этот код был использован для атаки на Lockheed Martin в сочетании с другими телефонами и электронными письмами, использующими методы социальной инженерии.
Итак, что могут сделать организации?
Обучайте сотрудников соблюдать несколько простых правил:
Правило № 1: НИКОГДА не отвечайте на нежелательные сообщения (электронная почта / телефон), не подтвердив личность человека на другой стороне. Самый простой способ подтвердить это — сообщить человеку, что вы перезвоните ему по проверенному телефону.
Правило № 2: НИКОГДА не открывайте вложения или не заходите на сайт из ненадежных / недействительных источников. Многие организации настроили небезопасные компьютеры отдела для доступа к любому документу или сайту (физическому или удаленному).Эти компьютеры часто выходят из строя и никогда не должны хранить конфиденциальные данные.
Правило № 3: Изменяйте пароль и доступ часто (каждые несколько месяцев) и время от времени (не предсказуемо, когда меняются пароли, чтобы мошенники не планировали заранее).
Правило № 4: Образование, образование, образование. Делитесь с сотрудниками «историями войны» и отраслевым опытом. Они не могут быть осторожными, если не знают об угрозах.
Роберто Родригес
@HumanFirewalls
Роберто А.Родригес — руководитель HumanFirewall в HumanFirewalls LLC. HumanFirewalls — это организация, расположенная в Делавэре, которая гордится тем, что предлагает лучшие услуги безопасности, такие как осведомленность о безопасности, анализ угроз, мониторинг сетевой безопасности, управление соответствием, управление уязвимостями и контроль целостности. Humanfirewalls понимает, что малые / средние компании редко имеют собственный опыт, время или бюджет для внедрения правильных мер безопасности, которые могли бы защитить их организации от угроз, которые теперь способны избежать обнаружения и обойти традиционные меры безопасности.
Наиболее распространенными атаками социальной инженерии на компании являются …
Фишинг и копирование фишинга
Фишинговое электронное письмо — это созданное электронное письмо, которое якобы отправлено из известного надежного источника и может обмануть пользователя. загрузить вложение, щелкнуть вредоносную ссылку или просто сотрудничать, чтобы предоставить конфиденциальную информацию, такую как ваши пароли. Эти электронные письма, например, могут быть отправлены всей организации без таргетинга на конкретных людей в компании.С другой стороны, электронные письма Spear Phishing — это электронные письма, созданные специально для нескольких человек в организации, которые могут иметь ценную информацию для злоумышленника.
В целом фишинг в течение последних двух лет активно использовался киберпреступниками для проникновения в организации. Заняв 3-е место в отчете Verizon за 2014 год, стало ясно, что киберпреступники уделяют больше внимания человеческому фактору, а не существующим технологиям, потому что создание фишинговых писем обходится недорого.Существуют инструменты с открытым исходным кодом, такие как SET (набор инструментов социальной инженерии), которые могут помочь злоумышленнику обойти передовые технологии. Спам-фильтры хороши, но в конечном итоге они становятся фундаментальным уровнем безопасности для организации, если злоумышленник знает, как заставить пользователя сотрудничать, не заставляя его или ее щелкать ссылку. Прекрасным примером может служить получение электронного письма от вашего банка с просьбой позвонить по номеру, указанному в электронном письме, и изменить PIN-код банкомата. Киберпреступник предоставляет номер, по которому он ожидает пересылки сообщения в реальный банк, но зеркалирует / перехватывает / анализирует трафик или разговор, которому пользователь доверяет номер в электронном письме.
Как это предотвратить?
Компании должны подходить к обеспечению безопасности с упреждающими мерами безопасности, учитывающими человеческий фактор. Программы обучения по вопросам безопасности действительно полезны для снижения риска взлома и повышения уровня осведомленности в организации.
Вишинг (голосовая связь и фишинг)
Эта социальная атака обманом заставляет пользователя по телефону раскрыть конфиденциальную информацию об организации. Это очень распространено в отделах обслуживания клиентов, где они пытаются удовлетворить клиента по телефону и в конечном итоге предоставляют информацию, которую можно использовать для взлома сети.Информация различается и может включать имена возможных целей, часы работы, финансовую или личную информацию и даже сброс пароля.
Как это предотвратить?
Расширенное обучение по вопросам безопасности, чтобы убедиться, что пользователь понимает, какой тип информации им разрешено раскрывать. Кроме того, различные технологии в местах, такие как решения NAC, которые ограничивают доступ к данным, которые не могут быть переданы без авторизации.
Tailgating or Piggybacking
Это социальная атака, в которой задействованы злоумышленник без авторизованного доступа и сотрудник с низким уровнем осведомленности.Это работает, когда неосведомленный пользователь сотрудничает и предоставляет неавторизованному лицу доступ в ограниченную зону. Это обычное дело во многих организациях, потому что всегда есть люди, например, курьеры из разных учреждений, которые сбрасывают посылки и взаимодействуют с неосведомленными пользователями, создавая определенный уровень комфорта и делая это рутиной. Опять же, такие технологии, как считывание карточек для входа в лифты или открытия дверей в крупных организациях, не всегда работают, и это потому, что все, что нужно, это: «Я забыл свой бейдж и опаздываю на встречу.Не могли бы вы? », Чтобы обмануть пользователя и получить доступ.
Как это предотвратить?
Еще раз, тренинг по безопасности, где пользователь изучает различные политики безопасности, применяемые в организации, и может определить определенные модели поведения, которые могли подвергнуть свою организацию риску в прошлом.
Jayson Street
@JaysonStreet
Джейсон — рейнджер Infosec в Pwnie Express, известный спикер конференции и автор книги «Dissecting the hack: The F0rb1dd3n Network» .«Pwnie Express обеспечивает непрерывную видимость во всем проводном / беспроводном / радиочастотном спектре, во всех физических точках, включая удаленные узлы и филиалы, обнаруживая« заведомо плохие », неавторизованные, уязвимые и подозрительные устройства.
Вот некоторые из наиболее распространенных атак социальной инженерии …
Общее решение для всех — повышение осведомленности и обучение сотрудников. Компаниям необходимо включать методы обеспечения безопасности в свои должностные инструкции и должным образом обучать сотрудников критически мыслить и надлежащим образом реагировать на подозрительные действия.Как смягчить атаки:
1. Spearphishing: Вопреки широко распространенному мнению, сегодняшние атаки Spearphishing тщательно рассчитаны и тщательно продуманы, чтобы быть актуальными и не тревожить пользователя. Распознать подделку не так просто, как думает большинство людей, поэтому сотрудников необходимо научить задавать вопросы и проверять непрошенные ссылки, звоня отправителю, отправляя отдельное дополнительное электронное письмо или проверяя через такие службы, как https: //www.virustotal. com /.
2. Техник-мошенник: Под видом техников или курьеров незаметные социальные инженеры проникают прямо в организации и могут физически взломать сеть.Сотрудники должны соблюдать базовые тренинги по «опасности незнакомцев» и следить за тем, чтобы каждый, кто входит в здание, имел встречу или заранее установленную цель.
3. Вредоносные веб-сайты: Часто вредоносные веб-сайты маскируются под корпоративные или партнерские сайты и предлагают посетителям обновить java / Adobe или установить определенный плагин. Пользователи всегда должны закрывать браузер и открывать новый, чтобы напрямую обновлять java или Adobe со своих официальных сайтов. Если пользователям предлагается указать конкретную программу или отсутствующий подключаемый модуль, им следует закрыть браузер и отправить электронное письмо на веб-сайт с вопросом о конкретной проблеме конфигурации.
Патрисия Титус
@RUSecur
Обладая более чем 20-летним опытом управления безопасностью на нескольких вертикальных рынках, Патрисия Титус отвечала за разработку и внедрение надежных программ информационной безопасности, обеспечивающих постоянную защиту конфиденциальной корпоративной, клиентской и личной информации в ее различные позиции.
Совсем недавно Титус занимал пост вице-президента и директора по информационной безопасности в Freddie Mac и играл стратегическую роль в защите и целостности информационных активов Freddie Mac, одновременно изменяя программу информационной безопасности, включая программу управления идентификацией и доступом.Титус также является членом Консультативного совета по визуальной конфиденциальности.
Хотя существует несколько технических решений для предотвращения атак социальной инженерии, самым слабым звеном часто является …
Человек. Только с помощью тщательной подготовки, обучения и тестирования вы сможете успешно справиться с этой растущей проблемой.
Распространенные методы цифровой социальной инженерии — это методы, которые обманом или обманом заставляют наших сотрудников предоставлять информацию, которая ведет к информационному расследованию, получению доступа к системам или преступному поведению, включая мошенничество.
Чтобы предотвратить атаки социальной инженерии, начните с обращения к людям, процессам и технологиям и примите во внимание следующие шаги:
Люди
- Разработайте и внедрите целевую программу повышения осведомленности о безопасности, основанную на социальной инженерии. Сделайте его интересным и интерактивным.
- Создайте внутри компании маркетинговую кампанию по повышению осведомленности о безопасности в области социальной инженерии, чтобы помочь сотрудникам понять, как компания решает проблему.Информируйте сотрудников, партнеров, поставщиков и т. Д. Об угрозе и их ответственности за ее предотвращение.
- Создайте структуру и программу высоконадежных или привилегированных сотрудников.
- Этим сотрудникам разрешено работать с самой конфиденциальной информацией.
- У них усиленная подготовка и тестирование.
- Компания регулярно проводит расширенную проверку биографических данных, включая выборочную проверку на наркотики и кредитоспособность.
Процесс
- Определите ваши критически важные данные или данные, которые могут нанести наибольший вред, если будут подвергнуты социальной инженерии.Обратитесь к третьей стороне для проведения оценки рисков, чтобы определить любые возможные бреши в безопасности.
- Установите правила или политику обработки критически важных данных.
- Сообщите руководству или, возможно, совету директоров результаты ваших тестов социальной инженерии, как положительных, так и отрицательных.
- Выполняйте случайные и запланированные тесты для всех сотрудников с помощью методов социальной инженерии.
Технологии
Выбор технологий очень разнообразен и зависит от данных, которые необходимо защитить от социальной инженерии.Он может включать следующие технологические программы или проекты, но не ограничивается ими:
- Управление идентификацией и доступом
- Система управления инцидентами и событиями безопасности
- Технология вредоносного ПО без сигнатур
- Прокси-сервер, блокирующий как белые, так и черные списки
- Мониторинг входящей и исходящей связи
Грег Скотт
@DGregScott
Грег Скотт — ветеран бурной ИТ-индустрии. Проработав консультантом в Digital Equipment Corporation, крупной компьютерной компании в свое время, Скотт в 1994 году разветвился самостоятельно и основал Scott Consulting.Более крупная фирма купила Scott Consulting в 1999 году, когда крах доткомов опустошил индустрию ИТ-услуг. В конце 1999 года Скотт снова ушел сам по себе и основал Infrasupport Corporation, на этот раз сфокусировавшись на инфраструктуре и безопасности. В настоящее время он живет в Миннеаполисе / Сент. Пол метро с женой, дочерью и двумя внуками. Он имеет несколько сертификатов ИТ-индустрии, в том числе номер CISSP 358671.
Самыми распространенными атаками социальной инженерии, которые я видел, являются самые распространенные атаки социальной инженерии…
Фишинговые письма. Я должен получать их 200 или больше каждый божий день. Каждый раз, когда я участвую в другом форуме технической поддержки, кто-то должен продать мой адрес электронной почты новому спамеру / фишеру. Наиболее распространенными из них в последнее время являются электронные письма, якобы пришедшие от Amazon, с просьбой открыть файл .zip или .doc с последним обновлением. Я получаю несколько просьб указать номер для отслеживания товаров, которые я предположительно отправил. Иногда требуя их — просто нажмите на этот документ, чтобы увидеть счет, который я якобы отправил.Иногда имена в электронных письмах совпадают с именами людей, которых я знаю, поэтому они меня заставляют открывать электронные письма. Но не вложения.
Старомодные телефонные звонки возвращаются. У некоторых плохих парней в наши дни есть IP-телефоны с номерами вызывающих абонентов в моем коде города, что побуждает меня отвечать, когда они звонят. Я взял один сегодня утром у дамы с сильным акцентом. Она хотела отправить мою подарочную карту на 100 долларов, которую я попросил у кого-то на прошлой неделе. Когда я спросил, кто это был, она ответила, что не знает, что ее компания выполняет заказы от многих клиентов, и у нее нет возможности узнать, какой это клиент.Я не сказал ей «спасибо».
И еще всегда есть поддельные телефонные звонки в службу поддержки.
Как от этого защититься? Я ничего не могу поделать с входящими электронными письмами. Фильтрация спама избавляет от некоторых из них, но ничто не может заменить здравый смысл человека, и никакая автоматизация не будет эффективна на 100 процентов. Всякий раз, когда я думаю, что электронное письмо может быть законным, я проверяю заголовок электронного письма, чтобы узнать, откуда оно пришло. Лучшая защита от этого — старомодная человеческая бдительность.То же самое и с телефонными схемами.
Ондрей Крехель
@lifarsllc
Ондрей Крехель, CISSP, CEH, CEI, EnCE, является основателем и руководителем LIFARS LLC, международной фирмы по кибербезопасности и цифровой криминалистике. Он бывший директор по информационной безопасности службы 911 по краже личных данных, ведущей национальной службы по восстановлению кражи личных данных и управлению утечками данных. Ранее он проводил судебно-медицинские расследования и руководил отделом кибербезопасности в Stroz Friedberg и Loews Corporation.Обладая двадцатилетним опытом в области компьютерной безопасности и цифровой криминалистики, он начал расследования по широкому кругу вопросов ИТ-безопасности, от хакерских атак до утечки данных и кражи интеллектуальной собственности. Его работа привлекла внимание CNN, Reuters, The Wall Street Journal и New York Times, а также многих других.
Некоторые из распространенных типов тактики социальной инженерии включают …
Фишинг — популярный способ получения конфиденциальной информации и учетных данных от пользователей путем рассылки массовых электронных писем, которые имитируют дизайн и форму, например, электронное письмо от банка, страховой компании и т. д.в надежде обманом заставить пользователей отказаться от информации. Эта информация впоследствии может быть использована для открытия мошеннических кредитных карт или получения доступа к различным онлайн-счетам.
Spear Phishing — более изощренная форма фишинга. Злоумышленники, стоящие за целевыми фишинговыми кампаниями, обычно знают больше информации о жертвах и нацелены именно на них. Например, в недавнем случае взлома LastPass были украдены адреса электронной почты (вместе с другой информацией). Скорее всего, ими будут злоупотреблять, и злоумышленники отправят владельцам этих почтовых ящиков электронное письмо, которое будет напоминать официальное электронное письмо LastPass, которое будет рекомендовать пользователям изменить свои пароли, но когда пользователи это сделают, они фактически отправят его на киберпреступники.Точно так же целевой фишинг — один из наиболее эффективных способов взлома сети. Жертвы обычно получают поддельное электронное письмо от кого-то в компании с важным документом, который обычно устанавливает вредоносное ПО или какой-либо тип трояна, который будет использоваться для взлома их компьютера. Этот первоначальный вектор атаки оказался чрезвычайно эффективным и часто используется в кампаниях кибершпионажа высокого уровня.
Другой часто используемой формой социальной инженерии являются телефонные звонки. Это может произойти как часть более крупного мошенничества или как отдельное мошенничество.
Часть более крупного мошенничества:
Представьте себе, что данные банковского счета человека украдены хакерами. Они не смогут отправлять деньги без ввода уникального кода, который отправляется на телефон жертвы. Известно, что мошенники связываются с жертвой до того, как переводят деньги со счета и лгут, чтобы жертва сообщила уникальный код. Они могут сказать что-нибудь вроде «Привет». Мы наблюдаем подозрительную активность в вашем аккаунте. Чтобы проверить рассматриваемую активность, нам нужно будет подтвердить, что вы действительно являетесь владельцем учетной записи.Вскоре вы получите подтверждающее SMS. Как только вы его получите, прочтите код мне, и мы продолжим рассмотрение. — Это очень эффективно.
В качестве отдельного мошенничества:
Вам звонит человек, утверждающий, что он сотрудник службы технической поддержки Microsoft, которому поручено связаться с вами по поводу ошибки, которую он получает от вашего компьютера. Чтобы исправить ошибку, он попросит вас установить одну небольшую программу, которую он использует для диагностики проблемы. Эта программа обычно является вредоносной.Часто с регистратором ключей и трояном удаленного доступа, которым они могут злоупотребить, чтобы украсть ваши банковские данные, а также все, что им заблагорассудится. Они также часто просят вас оплатить услугу кредитной картой — и, к сожалению, многие люди на нее попадают. Это всего лишь несколько примеров того, как социальная инженерия в цифровой сфере может использоваться для совершения преступлений и преследования невинных людей.
Амихай Шульман
@Imperva
Амихай Шульман — соучредитель и технический директор Imperva.Амичай курирует исследовательскую группу компании по безопасности и соответствию, Центр защиты приложений (ADC). ADC приписывают обнаружение уязвимостей в коммерческих веб-приложениях и продуктах баз данных, включая Oracle, IBM и Microsoft. Он также был техническим директором InfoWorld в 2006 году.
Когда дело доходит до атак социальной инженерии, компании должны понимать …
Социальная инженерия — один из самых мощных инструментов, используемых злоумышленниками, и, вероятно, лежит в основе каждого серьезного нарушения.Существует множество неправильных представлений о том, как в основном используется социальная инженерия, но реальность гораздо менее гламурна, чем восприятие, и часто возникает по электронной почте.
Большая часть киберпреступности связана с массовыми инфекционными кампаниями, основанными на массовой социальной инженерии. При распространении в достаточно большом количестве эти сообщения обязательно найдут свою целевую группу жертв и станут эффективными. При осторожном распределении (например, выбирая адреса типа [email protected], hr @ someorg.com), эти кампании становятся еще более эффективными с меньшими списками рассылки (что также затрудняет их обнаружение как спам).
Вот два очень распространенных метода электронной почты, которые я получил только за последние несколько недель:
1. Соответствие электронной почты целевой аудитории
Нередко можно получать электронные письма, которые кажутся совершенно нормальными и могут быть от компании, которую вы работали с ранее, но на самом деле заражены. Например, я получил электронное письмо от юридической фирмы, с которой я работал.Я заметил, что в список получателей включены все контакты из списка юристов, и я смог сказать, что это было сделано с помощью средств автоматизации. Я уверен, что других в списке обманули, так как они, вероятно, ждали информации от этого самого адвоката и не подозревали, что подверглись нападению. Если ваши электронные письма выглядят законными и актуальными, многие люди не будут дважды задумываться о полученном письме.
2. Спуфинг
Мне недавно прислали электронное письмо от туристического агентства, в котором я забронировал поездку, и мне отправили стандартное электронное письмо из отдельной учетной записи, которая выдавала себя за адрес отправителя.Я предполагаю, что большинство людей станут жертвами этой атаки, поскольку письмо выглядит так, как будто оно пришло с доверенного адреса. При этом часто злоумышленники получают информацию от своей жертвы просто из ответа. Что мы можем сделать?
Хотя обучение сотрудников необходимо, заражение неизбежно. Будут нажиматься ссылки, а вложения загружаться, открываться и выполняться, потому что это работа среднего сотрудника. Организации должны сосредоточиться на создании пакета безопасности, который быстро обнаруживает скомпрометированный компьютер или учетную запись, а затем быстро и автоматически применяет карантин к тому, что было скомпрометировано, предотвращая дальнейший доступ к конфиденциальным корпоративным данным.
Кен Симпсон
@ttul
Кен Симпсон является соучредителем и генеральным директором MailChannels. Кен впервые испытал азарт и магию программного обеспечения, когда его отец принес домой один из первых компьютеров IBM в 1980 году и научил его писать простые программы на BASIC. С тех пор он объединил свою страсть к программному обеспечению с предпринимательством, основав или участвуя в качестве начального сотрудника в четырех успешных стартапах в широком спектре технических областей, включая передачу голоса по IP, беспроводной Интернет и, конечно же, борьбу со спамом.Кен имеет диплом с отличием в области компьютерной инженерии в Университете Саймона Фрейзера и Университете Санта-Клары. В Рабочей группе по борьбе с злоупотреблениями в обмене сообщениями (MAAWG) Кен делит свое время, управляя подкомитетами по ботнетам и веб-злоупотреблениям, а также помогая в работе подкомитета исходящих нарушений.
Социальная инженерия обычно используется для …
Расширение уже существующей утечки информации. Так, например, злоумышленник может иметь определенную информацию о сотрудниках в компании, и он использует эту информацию, чтобы узнать что-то новое — например, пароль для внутренней системы.Существует заблуждение, что социальная инженерия — это одноразовая сделка: один фальшивый звонок от кабельной компании, и внезапно украдены миллионы номеров кредитных карт. Профессиональные киберпреступники извлекают по частям, постепенно проникая в глубь организации.
Например, RSA была взломана с помощью социальной инженерии, чтобы получить доступ к инфраструктуре SecurID. Первым шагом было отправка двух фишинговых сообщений двум группам сотрудников относительно низкого уровня.Тема была «Рекрутинг 2011», и сообщения содержали вредоносную программу Excel, которая провела атаку нулевого дня на компьютеры сотрудников. Несмотря на то, что файл Excel был помещен в нежелательную папку, по крайней мере один сотрудник извлек его из нежелательной почты и открыл, запустив вредоносное ПО и поставив под угрозу свою машину. До фишинговых сообщений предполагалось, что злоумышленник использовал социальные сети, такие как LinkedIn, для сопоставления целей компании по имени и что они угадывали адреса электронной почты, используя знакомый шаблон, такой как первый[email protected]. После установки вредоносного ПО злоумышленник просматривал файлы в целевой системе и обращался к внутренним веб-сайтам RSA для определения более ценных целей. Обладая этой информацией, они двинулись к более важным целям и, в конечном итоге, к данным, которые они искали.
Вообще говоря, наиболее распространенная атака социальной инженерии в наши дни — это целенаправленная фишинговая атака. При целевом фишинге, таком как случай RSA, описанный выше, злоумышленник нацеливается на очень конкретных сотрудников с сообщением, которое они могут интерпретировать как подлинное.На целевое фишинговое сообщение либо поступает ответ, содержащий информацию, которая позволяет злоумышленнику глубже зондировать, либо он напрямую приводит к установке вредоносного ПО. В любом случае, следующий шаг — продвинуться дальше в организацию либо в электронном виде через уязвимости, либо через дополнительные целевые фишинговые электронные письма другим в организации, расположенные через внутренние каталоги.
Курт Симионе
@TechnologySeed
Курт основал Technology Seed, LLC в июне 2000 года.Курт участвует в большинстве аспектов бизнеса, включая работу «закатывая рукава». По своей сути он умеет устранять неполадки и с удовольствием справляется с проблемами, возникающими при работе с ИТ. Курт, как известно, время от времени играл со своими детьми в игру Bruin’s.
К наиболее распространенным типам атак социальной инженерии, проводимых против компаний, относятся …
Мошенничество по электронной почте, в то время как ничего нового не происходит: от случайных рассылок электронной почты до сотен тысяч целей и до целевых, преднамеренных атак по электронной почте.Электронные мошенники умело используют следующую социальную инженерию:
1. Изучите и выберите целевую компанию.
а. Это существенное отличие от исторических атак, которые были случайными.
2. Приобретите необходимые инструменты атаки (доменное имя практически идентичное имени целевой компании).
а. Это существенное изменение, поскольку эта атака фактически стоит денег мошеннику.
3. Выберите соответствующих руководителей целевой компании.
4.Придумайте мошенничество, которое обычно включает в себя хорошо написанное электронное письмо, предназначенное для использования доверия руководителей высшего звена, которые слишком заняты, чтобы должным образом проверять свои электронные письма.
В I.T. world, мы обнаруживаем, что независимо от того, какие шаги мы предпринимаем, какую бы технологию мы ни внедряли, обучение конечных пользователей является лучшей защитой от этих типов (и большинства типов) мошенничества. Поднимите бровь на все, что кажется странным, кажется вам неправильным или чего вы не ожидали. Если вы не уверены, возьмите трубку и позвоните в надежный ресурс.
Луис А. Чапетти
@CudaSecurity
Луис А. Чапетти, инженер-программист и специалист по данным, Barracuda. Луис является частью центральной разведывательной группы Barracuda, где он носит различные шляпы, связанные с системами защиты IP-репутации, базами данных Spydef и другими основными средствами безопасности в системе защиты Barracuda Real-time.
Когда дело доходит до социальной инженерии и предотвращения подобных атак против вашей компании, я рекомендую …
Когда-то хакеры и спамеры полагались на рассылку спама / фишинговых писем как можно большему количеству глаз доступ к конфиденциальной информации через вредоносные вложения или ссылки.Попытки спама / фишинга превратились в чрезвычайно специфические и, по сути, самые продвинутые постоянные угрозы, наблюдаемые на сегодняшний день. Используя тактику социальных сетей, чтобы найти кого угодно, злоумышленники отлично умеют персонализировать фишинговые письма.
LinkedIn предоставил обширную информацию о сотрудниках практически любой компании. Facebook может помочь злоумышленнику, найдя не только руководителей высшего звена, но и членов семьи, которые могут иметь доступ к мобильному устройству или машинам, подключенным к сети.
Это два часто используемых элемента в социальной инженерии, для обеспечения безопасности мы рекомендуем следующее:
- Используйте систему управления мобильными устройствами, обеспечивающую такой же высокий уровень безопасности, который вы ожидаете увидеть в своей штаб-квартире, где бы вы ни находились.
- Сегментируйте уровень доступа. Убедитесь, что только люди, имеющие доступ к конфиденциальным данным, имеют определенные учетные данные для этих данных.
- Используйте мощный фильтр электронной почты. Таким образом почти все успешные атаки получают какую-либо информацию или заражают машины.
- LinkedIn и Facebook следует использовать для связи только с теми, кого вы знаете или с которыми ведете бизнес. Относитесь к нему как к таковому и помните, что это не конкурс популярности, в конце концов, это может дорого обойтись.
- Обучите своих сотрудников и убедитесь, что они осведомлены о потенциальном риске подобных атак социальной инженерии. Чем больше они узнают, тем лучше будут ваши сотрудники и компания.
Натан Максвелл
@CCI_team
Натан Максвелл (Nathan Maxwell) — консультант по кибербезопасности, помогающий организациям получать доступ к рискам / снижать риски и делать себя немного сложнее для компрометации, чем в соседней компании.
Социальная инженерия продолжает оставаться широко распространенным способом для злоумышленников закрепиться в организации …
Самым слабым звеном в компании по-прежнему остаются сотрудники, которые там работают.
Методы атак настолько же распространены, насколько и утомительны. Иногда они используют данные, полученные в результате массовых утечек корпоративной информации. Эти электронные письма созданы так, чтобы находить отклик у получателя. Чтобы иметь степень достоверности: «Они уже знают это обо мне …»
В творческих электронных письмах заглавная I будет заменена строчной l.Они будут использовать международные символы, например, é vs è vs ė vs e. Все они предназначены для того, чтобы обмануть получателя относительно того, кто на самом деле отправил электронное письмо.
Хотя есть несколько способов использовать технологии для защиты от социальной инженерии, наиболее эффективным является обучение сотрудников. Простые инструкции, такие как «Не нажимайте на ссылки», имеют большое значение. Если письмо пришло от Dropbox, удалите сообщение, откройте вкладку браузера, введите www.dropbox.com и соответствующим образом взаимодействуйте с веб-сайтом.
Кроме того, использование службы электронной почты, которая проверяет каждый веб-адрес при нажатии на него, является отличным временным решением.
Kamyar Shah
@kshahwork
Kamyar Shah — консультант по малому бизнесу, помогающий компаниям повысить прибыльность и производительность, предлагая услуги удаленного CMO и удаленного COO.
Слишком много разных способов назвать их все; однако у наиболее успешных атак социальной инженерии есть несколько общих черт …
Источником обычно является авторитетный объект, такой как банк или правительство, и создание ощущения срочности либо за счет потенциальной выгоды, либо за счет потенциального вреда. / штрафы.
Хотя существует несколько сложных инструментов, которые могут помочь в минимизации воздействия таких атак, два наиболее эффективных из них включают обучение и резервное копирование. Непрерывное обучение и обучение конечных пользователей поможет снизить общее количество успешных атак, а резервное копирование послужит страховкой в случае успеха атаки.
Ян Макрей
@encomputers
Ян Макрей — президент E-N Computers, Inc. Ян был увлечен технологиями всю свою жизнь.Он предоставляет ИТ-услуги в Вашингтоне и Вирджинии с 1997 года. Ему нравится решать проблемы, знать, что возможно, и сочетать правильное сочетание людей, процессов и технологий, чтобы немного облегчить жизнь.
Я вижу три категории атак социальной инженерии …
1. Прямой запрос денег или информации о кредитной карте в электронном виде.
Избежать этого может быть сложнее, чем вы думаете. Хорошо помнить, что если кто-то просит вас предоставить информацию или отправить электронную форму денег, и это немного необычно, замедлиться и свериться с ними, используя дополнительный метод.Например, если вы получили электронное письмо от начальника с просьбой приобрести коды подарочных сертификатов Apple iTunes и отправить ему по электронной почте, позвоните ему на его мобильный телефон и сделайте голосовое подтверждение перед выполнением запроса.
2. Запрос доступа к вашим учетным записям или паролям, который обычно выполняется путем нажатия на ссылку и перехода на веб-сайт, на котором будет запрашиваться ваша информация.
Я вижу, что многие из них охотятся на новых пользователей, которые изображают из себя популярные веб-системы, такие как DropBox или Office 365.Хотя эти системы небезопасны, злоумышленники используют свои логотипы и охотятся на пользователей, которые еще не до конца понимают, чего ожидать от новых технологий. Например, придет электронное письмо с сообщением, что у вас есть новый факс Office 365, и если вы нажмете на ссылку, им действительно может понадобиться ваш пароль или доступ для установки программного обеспечения на ваши компьютеры. Как только доступ и информация предоставлены, злоумышленники могут получить другие учетные данные, такие как доступ к банковским счетам, деловая информация, информация о кредитной карте, с которой вы можете регулярно работать в Интернете.
3. Выкуп.
Вы можете получить электронное письмо с сообщением: «У нас есть ваш пароль и компрометирующее видео с вашим участием, заплатите нам или иначе». Есть много способов предотвратить подобное с вами. Во-первых, когда вы приобретаете новое программное обеспечение или систему, вам необходимо пройти обучение, а не только тому, как использовать их в первый раз. Обучение должно быть непрерывным. Образование — лучший способ удержать этих преступников от страха перед технологиями. Например, одна из используемых нами мер — симуляторы фишинга, которые помогают людям распознавать попытки злоумышленников.
Для предприятий еще один способ предотвращения этого — открытые линии связи со службой ИТ-поддержки, если она у вас есть. Мы обнаружили, что если вы этого не сделаете и у вас есть поставщик услуг с почасовой оплатой, это может помешать пользователям брать трубку. Это общение имеет первостепенное значение в борьбе с атаками социальной инженерии. Ваши сотрудники должны чувствовать себя комфортно, поднимая трубку и спрашивая о странном электронном или текстовом сообщении. Кроме того, конечно, предприятиям необходимы надежный контроль паролей и безопасность.
Аднан Раджа
@AtlanticNet
Аднан Раджа — вице-президент по маркетингу компании Atlantic.Net, решение для веб-хостинга, которое обеспечивает HIPAA-совместимый, управляемый и выделенный облачный хостинг.
Атаки социальной инженерии очень распространены на современном цифровом рабочем месте …
По сути, сотрудники компании становятся мишенью и часто обманом заставляют непреднамеренно раскрыть конфиденциальную информацию. Часто это происходит по электронной почте или по телефону. Целями могут быть все: от генерального директора до коллег по службе поддержки.
Распространенные атаки включают фишинг, когда третья сторона пытается выдать себя за подлинный источник и отправлять мошеннические сообщения с целью извлечения конфиденциальных данных.Типичный пример — выдача себя за банки, страховых брокеров или юридических фирм. Фишинговые электронные письма маскируются под подлинно выглядящий брендинг компании, публикующий фальшивые объявления компании.
Другая распространенная атака — производная фишинга, известная как китобойный промысел. Это когда высший руководящий персонал, такой как генеральный директор, директора или высокопоставленный персонал, преследуется целью получения информации. Хакеры часто охотятся на людей с большим оттоком учетных записей электронной почты, когда более вероятно случайное открытие фальшивых вложений.Такие угрозы, как поддельные счета-фактуры, содержащие вредоносный макрокод, могут внедряться в компьютер и добывать данные или нажатия чувствительных клавиш.
Аутсорсинг ИТ-операций поставщику, имеющему хорошую репутацию в области безопасности, является одним из вариантов, который можно рассмотреть для предотвращения атак социальной инженерии. Эти поставщики управляемых услуг могут предложить уровень аппаратной защиты для бизнес-ИТ-систем, а также упреждающий мониторинг подозрительной активности и обнаружения угроз.
Брэндон Шрот
@gwdatarecovery
Брэндон Шрот — цифровой менеджер Gillware Data Recovery, компании мирового класса по восстановлению данных и лаборатории цифровой криминалистики.
Персонал службы поддержки может получать телефонные звонки от людей, которые подделывают информацию …
Возможен сброс пароля или попытки получить доступ к конфиденциальной информации, такой как информация о банковском счете. Колл-центр может стать целью, когда хакер имеет некоторую общую информацию о цели, и он будет использовать упорство для извлечения дополнительной информации из колл-центра. Регулярное обучение персонала имеет первостепенное значение для сотрудников, чтобы они могли изучить методы атак социальной инженерии и убедиться, что они всегда следуют лучшим практикам безопасности.
Владимир Мурашка
@ScienceSoft
Владимир Мурашка — сертифицированный этический хакер в ScienceSoft с более чем 6-летним опытом тестирования на проникновение. Сферы компетенции Владислава включают реверс-инжиниринг, тестирование на проникновение в веб-приложениях и мобильных приложениях с использованием черного, белого и серого ящиков, поиск ошибок и исследовательскую работу в области информационной безопасности.
Атаки социальной инженерии, такие как фишинговые электронные письма и кража личных данных, являются наиболее распространенными киберугрозами, с которыми сталкиваются компании…
Чтобы быть менее уязвимыми для таких атак, компании должны обучать своих сотрудников использованию сложных паролей и не входить на сторонние веб-сайты с корпоративными адресами электронной почты.
Теги: Социальная инженерия, Фишинг
Что такое социальная инженерия | 5 типов атак для
, на которые стоит обратить внимание
Мошенничество с социальной инженерией существует уже много лет, и тем не менее мы продолжаем попадаться на них каждый божий день. Это происходит из-за полного отсутствия обучения по вопросам кибербезопасности, доступного для сотрудников больших и малых организаций.Чтобы повысить осведомленность об этой тактике и дать отпор, вот краткий обзор распространенных видов мошенничества, связанных с социальной инженерией.
Поставщики управляемых услуг (MSP)
имеют возможность обучать своих клиентов из малого и среднего бизнеса тому, как определять эти атаки, что значительно упрощает предотвращение таких угроз, как программы-вымогатели.
Определение социальной инженерии
Социальная инженерия — это вид преступления, при котором люди пытаются передать конфиденциальную информацию злоумышленникам.Мастера социальной инженерии работают над получением конфиденциальной информации с помощью доверия, а не взлома чьей-либо учетной записи. Теория, лежащая в основе социальной инженерии, заключается в том, что люди имеют естественную склонность доверять другим, что позволяет обманом заставить кого-то раскрыть личную информацию, чем взломать учетную запись.
Как устроены атаки социальной инженерии?
Чтобы завоевать доверие, а затем использовать его, социальные инженеры следуют жизненному циклу, чтобы преследовать свои цели:
- Инвестирование: Эта фаза позволяет злоумышленнику идентифицировать жертв и определять лучший метод атаки
- Перехват: Это когда злоумышленник фактически начинает взаимодействовать со своей жертвой и начинает создавать доверие через обмен сообщениями
- Атака: Это когда злоумышленник, наконец, развертывает свой метод атаки и начинает собирать целевые данные.
- Выход: Когда злоумышленник получит то, что хочет, он удалит следы вредоносного ПО и заместит свои следы, чтобы перейти к следующему. жертва
Поскольку стратегия социального инженера строится на доверии, жертвы часто не осознают, что подверглись нападению, пока не становится слишком поздно.
Распространенные типы атак социальной инженерии
Фишинговые атаки
Фишинг — это ведущая форма атаки социальной инженерии, которая обычно доставляется в форме электронной почты, чата, веб-рекламы или веб-сайта, предназначенных для имитации реальной системы, человека или организации. Фишинговые сообщения создаются для того, чтобы вызвать чувство срочности или страха с конечной целью — захватить конфиденциальные данные конечного пользователя. Фишинговое сообщение может поступить от банка, правительства или крупной корпорации.
Призыв к действию различается. Некоторые просят конечного пользователя «проверить» свои данные для входа в учетную запись и включить макет страницы входа с логотипами и брендингом, чтобы он выглядел законным. Некоторые утверждают, что конечный пользователь является «победителем» главного приза или лотереи, и запрашивают доступ к банковскому счету для доставки выигрыша. Некоторые просят благотворительные пожертвования (и предоставляют инструкции по подключению) после стихийного бедствия или трагедии. Успешная атака часто заканчивается доступом к системам и потере данных.Организациям любого размера следует подумать о резервном копировании критически важных бизнес-данных с помощью решения для обеспечения непрерывности бизнеса и аварийного восстановления для восстановления в таких ситуациях.
Атаки наживкой
Приманка, как и фишинг, предполагает предложение конечному пользователю чего-то заманчивого в обмен на данные для входа или личные данные. «Приманка» бывает во многих формах, как в цифровом виде, например, скачивание музыки или фильма на одноранговом сайте, так и в физическом, например, корпоративный флеш-накопитель с надписью «Сводка заработной платы за 3 квартал», который не указан. стол для конечного пользователя.После загрузки или использования приманки вредоносное программное обеспечение доставляется непосредственно в систему конечного пользователя, и хакер может приступить к работе.
Quid Pro Quo
Подобно травле, услуга «услуга за услугу» предполагает, что хакер запрашивает обмен важными данными или учетными данными для входа в систему в обмен на услугу. Например, конечный пользователь может получить телефонный звонок от хакера, который, представившись экспертом по технологиям, предлагает бесплатную ИТ-помощь или усовершенствования технологий в обмен на учетные данные для входа.Другой распространенный пример — хакер, изображающий из себя исследователя, запрашивает доступ к сети компании в рамках эксперимента за 100 долларов. Если предложение звучит слишком хорошо, чтобы быть правдой, вероятно, это услуга за услугу.
Поперечные атаки
Совмещение, также называемое «хвостом», — это когда неавторизованное лицо физически следует за авторизованным лицом в ограниченную корпоративную зону или систему. Один проверенный метод совмещения — это когда хакер обращается к сотруднику с просьбой открыть для него дверь, поскольку тот забыл свое удостоверение личности.Другой метод заключается в том, что человек просит сотрудника «одолжить» его или ее ноутбук на несколько минут, в течение которых преступник может быстро установить вредоносное ПО.
Претекстовые атаки
Претекстинг, человеческий эквивалент фишинга, — это когда хакер создает ложное чувство доверия между собой и конечным пользователем, выдавая себя за сотрудника или авторитетного лица, хорошо известного конечному пользователю, чтобы получить доступ к информации для входа в систему. . Примером такого типа мошенничества является электронное письмо сотруднику от лица, которое, по всей видимости, является главой службы поддержки ИТ, или сообщение в чате от следователя, который утверждает, что проводит корпоративный аудит.Претекст очень эффективен, поскольку он снижает защиту человека от фишинга, создавая ожидание, что что-то законно и безопасно для взаимодействия. Электронные письма с предварительным текстом особенно эффективны для получения доступа к паролям и бизнес-данным, поскольку имитаторы могут казаться законными, поэтому важно иметь стороннего поставщика резервного копирования.
Лучшие методы защиты от атак социальной инженерии
Атаки социальной инженерии скрытны и широко распространены.Поэтому важно, чтобы все знали об угрозе.
Вот несколько рекомендаций, которым вы можете следовать, чтобы защитить себя от атак социальной инженерии:
- Никогда не отвечайте на запросы финансовой информации или паролей. Законные организации никогда не отправят сообщения с просьбой предоставить личную информацию.
- Настройте фильтры спама. В каждой почтовой программе есть спам-фильтры, убедитесь, что у вас установлен высокий уровень, чтобы блокировать потенциальные угрозы.
- Защитите свои вычислительные устройства и аксессуары. Это означает защиту вашего цифрового пространства с помощью антивирусного программного обеспечения, брандмауэров и фильтров электронной почты. Это также означает защиту флэш-накопителей, внешних жестких дисков и другого оборудования, которое может быть взломано.
Чтобы все сотрудники знали о различных формах социальной инженерии, необходимо обеспечить корпоративную кибербезопасность. Если пользователи знают основные характеристики этих атак, они с гораздо большей вероятностью смогут не попасться на них.
Помимо обучения и повышения осведомленности, есть другие способы снизить риск взлома. Сотрудники должны быть проинструктированы не открывать электронные письма и не переходить по ссылкам из неизвестных источников. Ни в коем случае нельзя делиться компьютером с кем-либо, даже на мгновение.
Убедитесь, что у вас есть надежное решение для резервного копирования и восстановления
По умолчанию все настольные, портативные и мобильные устройства компании должны автоматически блокироваться, если они не используются более пяти минут (или меньше).
Наконец, убедитесь, что ваш бизнес готов быстро оправиться от атак такого типа, если сотрудник действительно станет жертвой одной из этих схем.В конце концов, люди — это люди. Используя надежное решение для резервного копирования и восстановления, каждый может отдыхать спокойно.
Datto SIRIS — это надежное комплексное решение для обеспечения непрерывности бизнеса и аварийного восстановления (BCDR), созданное для поставщиков услуг мобильной связи, чтобы предотвратить потерю данных и минимизировать время простоя клиентов.
Хотите узнать больше о Datto SIRIS? Запросить демо
6 типов атак социальной инженерии
Атаки социальной инженерии составляют значительную часть всех кибератак, и исследования показывают, что количество таких атак растет.По данным KnowBe4, более 90% успешных взломов и утечек данных начинаются с распространенного типа атаки социальной инженерии, называемого фишинг .
Социальные инженеры умны и используют тактику манипуляций, чтобы обманом заставить своих жертв раскрыть личную или конфиденциальную информацию. Как только социальный инженер обманом заставил свою жертву предоставить эту информацию, они могут использовать ее для дальнейших атак.
Один из лучших способов обезопасить себя от атак социальной инженерии — это идентифицировать их. .Давайте рассмотрим шесть распространенных типов атак социальной инженерии:
1. Фишинг
Фишинг — это метод социальной инженерии, при котором злоумышленник рассылает мошеннические электронные письма, утверждая, что они отправлены из авторитетного и надежного источника. Например, социальный инженер может отправить электронное письмо от менеджера по работе с клиентами в вашем банке. Они могут утверждать, что у них есть важная информация о вашей учетной записи, но потребовать, чтобы вы сначала ответили своим полным именем, датой рождения, номером социального страхования и номером учетной записи, чтобы они могли подтвердить вашу личность.В конечном счете, человек, отправляющий электронное письмо, не является сотрудником банка; это человек пытается украсть личные данные.
Фишинг, как правило, охватывает широкую сеть и пытается охватить как можно больше людей. Тем не менее, существует несколько типов фишинга, нацеленных на конкретные цели.
Целевой фишинг — это тип целевого фишинга по электронной почте. В случае целевой фишинг-атаки социальный инженер проведет свое исследование и настроит свои сайты на конкретного пользователя.Просматривая общедоступные профили цели в социальных сетях и используя Google для поиска информации о ней, злоумышленник может создать убедительную целевую атаку. Представьте, что человек регулярно публикует в социальных сетях информацию о том, что он занимается в определенном спортзале. В этом случае злоумышленник может создать целевое фишинговое письмо, которое, по всей видимости, пришло из ее местного спортзала. Жертва с большей вероятностью станет жертвой мошенничества, так как она узнала предполагаемого отправителя в своем спортзале.
Whaling — еще одно целевое фишинговое мошенничество.Однако при китобойном промысле социальные инженеры не нацелены на обычного пользователя, а нацелены на более ценные цели, такие как генеральные директора и финансовые директора. Китобойный промысел получил свое название из-за того, что в компании нацелены на так называемую «большую рыбу».
2. Вишинг и улыбка
Хотя фишинг используется для описания мошенничества с использованием электронной почты, аналогичные методы манипуляции практикуются с использованием других методов связи, таких как телефонные звонки и текстовые сообщения.
Вишинг (сокращение от голосового фишинга) происходит, когда мошенник пытается обманом заставить жертву раскрыть конфиденциальную информацию или предоставить ей доступ к компьютеру жертвы по телефону.Одна из популярных схем вишинга заключается в том, что злоумышленник звонит жертвам и притворяется сотрудником IRS. Звонящий часто угрожает или пытается запугать жертву, чтобы дать ей личную информацию или компенсацию. Вишинговые мошенничества, подобные этому, часто нацелены на пожилых людей, но любой может попасться на него, если не будет должным образом обучен.
Smishing (сокращение от SMS-фишинга) аналогичен фишингу и вишингу по электронной почте и включает в себя те же методы, но осуществляется с помощью SMS / текстовых сообщений.
Посмотрите несколько реальных примеров фишинговых атак, прочитав наш блог «Примеры атак социальной инженерии».
3. Предварительный текст
Pretexting — это метод социальной инженерии, при котором злоумышленник создает сценарий, в котором жертва чувствует себя вынужденной подчиниться под ложным предлогом. Как правило, злоумышленник выдает себя за кого-то, кто занимает влиятельное положение, чтобы убедить жертву выполнять их приказы.
Во время этого типа атаки социальной инженерии злоумышленник может выдать себя за полицейских, высшее руководство компании, аудиторов, следователей или любую другую личность, которая, по их мнению, поможет им получить искомую информацию.
4. Наживка
Наживка ставит перед жертвой что-то заманчивое или любопытное, чтобы заманить ее в ловушку социальной инженерии. Схема приманки может предлагать бесплатную загрузку музыки или подарочную карту в попытке обманом заставить пользователя предоставить учетные данные.
Социальный инженер может раздавать бесплатные USB-накопители пользователям на конференции. Пользователь может подумать, что он просто получает бесплатное запоминающее устройство, но злоумышленник мог загрузить на него вредоносное ПО для удаленного доступа, которое заражает компьютер при подключении к сети.
5. Поперечный отвод и копирование
Tailgating — это упрощенная атака социальной инженерии, используемая для получения физического доступа к несанкционированному месту. Отслеживание достигается путем пристального следования за авторизованным пользователем в зоне, не будучи замеченным авторизованным пользователем. Злоумышленник может запереть другого человека, быстро вставив ногу или другой предмет в дверь прямо перед тем, как дверь будет полностью закрыта и заперта.
Копирование исключительно похоже на хвостохранилище.Основное различие между ними состоит в том, что в сценарии совмещения авторизованный пользователь знает об этом и позволяет другому человеку «совмещать» свои учетные данные. Авторизованный пользователь может быть вынужден по доброте придерживать надежную дверь открытой для женщины, держащей что-то вроде тяжелых коробок, или для человека, который называет себя новым сотрудником, забывшим свой пропуск.
Посмотрите, как социальные инженеры обманули крупные компании, такие как Target, Twitter и другие, прочитав Пять самых известных атак социальной инженерии за последнее десятилетие .
6. Quid Pro Quo
Quid pro quo (латинское «что-то за что-то») — это тип тактики социальной инженерии, при которой злоумышленник пытается обменять услугу на информацию. Сценарий «услуга за услугу» может включать в себя злоумышленник, который звонит на основные линии компаний, притворяясь сотрудниками ИТ-отдела, и пытается связаться с кем-то, у кого возникла техническая проблема.
Как только злоумышленник найдет пользователя, которому требуется техническая помощь, он скажет что-то вроде: «Я могу исправить это для вас.Чтобы продолжить, мне просто понадобятся ваши учетные данные ». Это простой и незамысловатый способ получения учетных данных пользователя.
Киберугрозы, выходящие за рамки социальной инженерии
Хотя социальная инженерия, без сомнения, является одним из самых распространенных способов, с помощью которых злоумышленники обманывают сотрудников и менеджеров, заставляя их раскрыть личную информацию, это не единственный способ, которым киберпреступники эксплуатируют малые и крупные компании.
Узнайте, с какими угрозами сталкиваетесь вы и ваша команда, загрузив нашу электронную книгу 5-½ шагов по предотвращению киберугроз .
Что такое социальная инженерия? Типы атак и методы предотвращения
Социальная инженерия, в отличие от распространенных методов взлома, таких как перебор, межсайтовый скриптинг или кейлоггинг, вместо этого использует различные психологические, информационные и поведенческие методы для доступа к информации организации, используя самое слабое звено компании — ее сотрудники. Это также основной метод, используемый для реализации некоторых из наиболее распространенных методов атак, таких как фишинг и программы-вымогатели.Метод атаки — одна из причин, по которой организациям важно иметь программы, позволяющие им постоянно контролировать свою кибербезопасность.
В отчете
Verizon о расследовании утечек данных за 2020 год атаки социальной инженерии заняли второе место среди причин утечки данных. Количество таких атак с годами растет из-за относительной простоты выполнения и отсутствия необходимых технических знаний.
Чтобы узнать больше о социальной инженерии и о том, какие отрасли наиболее уязвимы для атак социальной инженерии, ознакомьтесь с приведенной ниже инфографикой, где мы проанализировали оценки социальной инженерии более чем 100 000 организаций.
Пять наиболее распространенных атак социальной инженерии
1. Предварительный текст
Практика выдачи себя за другое лицо или фальсификации личности с целью получения конфиденциальной информации от цели. Претекст работает, создавая ложное чувство доверия к цели, так что она может получить доступ к информации компании в будущем. Киберпреступники, как правило, выдают себя за сотрудников отдела кадров, поэтому очень важно всегда проверять личность человека, с которым вы разговариваете, прежде чем раскрывать информацию.
2. Задний ход
Tailgating — это физическое действие злоумышленника, преследующего человека с доступом или учетными данными в частное место с целью получения частной информации. Наблюдатели могут быть одеты как водитель или сотрудник службы доставки, чтобы избежать подозрений при входе в здание. Еще один пример того, как сбиться с пути, — это когда кто-то заводит разговор с сотрудником, чтобы проследовать за ним на место работы. Если это произойдет с вами, обязательно проверьте их учетные данные, чтобы убедиться, что им разрешено там находиться.
3. Плата за услугу
Включает в себя поощрение, например призы в обмен на конфиденциальную информацию. Типичный пример атаки на условиях «услуга за услугу» — это когда злоумышленник связывается с сотрудником, предлагающим бесплатную ИТ-поддержку в обмен на учетные данные.
4. Наживка
Включает в себя оставление или дарение (изготовление сценария, например конкурса) физического устройства, такого как USB-накопитель, цифровой музыкальный проигрыватель или другое устройство, зараженное вредоносным ПО, доставляющее вредоносную полезную нагрузку, когда цель подключает устройство.Известно, что киберпреступники оставляют компакт-диски в общественных местах в надежде, что сотрудники найдут их и запустят из любопытства.
5. Фишинг
Веб-сайт или сообщения, имитирующие внешний вид официальных компаний или сотрудников с целью кражи учетных данных и конфиденциальной информации у сотрудников организации. Фишинговые атаки осуществляются различными способами, например по электронной почте, по телефону или даже на веб-сайте. Учитывая, что в большинстве фишинговых атак отправляются идентичные сообщения, вы можете проверить их легитимность, спросив коллег, получили ли они такое же сообщение.Если сообщение пришло из неизвестного источника и было отправлено всей вашей компании, скорее всего, это фишинговая кампания.
Признаки атаки социальной инженерии
Некоторые общие признаки атак социальной инженерии, на которые следует обратить внимание, включают:
Необычные или подозрительные строки URL-адресов
Проверьте URL-адрес в строке веб-адреса. Иногда в названии бренда написаны орфографические ошибки, после «.com» добавляются дополнительные символы или оно имеет расширение страны (.ru вместо .com). Это может быть признаком нелегитимного сайта.
Странное написание, грамматика и использование заглавных букв
Хакеры, не говорящие по-английски, могут использовать услуги перевода для создания копии, предназначенной для кражи ваших учетных данных. Хотя ошибки иногда могут возникать на законных веб-сайтах из-за недосмотра, постоянно плохая грамматика или неправильное написание в сочетании с подозрительным URL-адресом — это мертвая расплата за фишинговый сайт.
Странный брендинг / обмен сообщениями
Хакеры иногда изменяют копию бренда или сообщения, чтобы получить от вас необходимую информацию.Ищите незначительные изменения или странные запросы в копии сайта вместе с подозрительными URL-адресами.
Советы по предотвращению атак социальной инженерии
Поскольку социальные инженеры стремятся манипулировать человеческим поведением, важно, чтобы вы внимательно относились к любым подозрительным документам или несоответствующим электронным письмам от должностных лиц компании. Следование этим советам поможет вам не терять бдительность в отношении атак социальной инженерии.
- Никогда не предоставляйте учетные данные кому-либо в Интернете или по телефону: социальные инженеры попытаются заставить вас раскрыть учетные данные, поэтому важно, чтобы вы делились личной информацией только с надежными источниками.
- Дважды проверьте расширения файлов. Если файл PDF заканчивается на .exe, скорее всего, это вредоносная программа: файлы PDF всегда заканчиваются на .PDF. Если файла нет, то, скорее всего, к файлу прикреплена вредоносная полезная нагрузка.
- Будьте бдительны при проверке подлинности веб-сайта: проверьте индикаторы безопасности, такие как HTTPS и значок замка Google. Кроме того, прежде чем вводить личную информацию, найдите время, чтобы убедиться, что домен веб-сайта является законным. Это можно сделать, проанализировав субдомен и домены верхнего уровня в URL-адресе на предмет неуместных символов.Еще раз проверьте и убедитесь, что электронные письма приходят от нужного человека: заголовки, должности и даже заголовки электронной почты могут быть сфабрикованы с помощью внеполосного метода связи, такого как прямой телефонный звонок или личное общение.
- Реализуйте политику «минимальных привилегий»: ограничение доступа к сети обязанностями сотрудников может помочь повысить безопасность сети и бороться с внутренними угрозами. Когда у сотрудников есть доступ только к тем частям сети, которые им необходимы для работы, вы можете локализовать нарушения и снизить влияние атаки.
Как SecurityScorecard может помочь
Организации должны постоянно следить за атаками социальной инженерии, чтобы обеспечить безопасность бизнес-операций. Ключевым компонентом этого является видимость вашей внутренней и сторонней сетевой среды. С помощью рейтингов безопасности SecurityScorecard организации могут постоянно отслеживать свое кибер-здоровье и предотвращать атаки до того, как они будут выполнены. Возможности анализа угроз в Security Data предоставляют вам актуальную информацию о последних векторах атак, чтобы вы всегда были на шаг впереди киберпреступников.
С помощью Atlas организации могут легко отслеживать и управлять рисками третьих сторон в рамках всей экосистемы поставщиков. Atlas дает организациям возможность рассылать, заполнять и автоматически проверять анкеты в любом масштабе, чтобы они могли лучше понимать ИТ-риски своих поставщиков. Получив прозрачность, организации могут активно снижать риски социальной инженерии и повышать уровень безопасности своих поставщиков.
Поскольку все больше предприятий начинают работать удаленно, способность защищаться от угроз социальной инженерии становится необходимостью.С SecurityScorecard вы можете проактивно управлять и устранять риски социальной инженерии.
Что такое «социальная инженерия»? — ENISA
Определение
Социальная инженерия относится ко всем методам, направленным на то, чтобы убедить цель раскрыть определенную информацию или выполнить определенное действие по незаконным причинам.
Социальная инженерия в IT
Хотя такая форма обмана существовала всегда, она претерпела значительные изменения в связи с технологиями ИКТ.В этом новом контексте методы социальной инженерии в ИТ можно рассматривать с двух разных сторон:
- либо с помощью психологических манипуляций для получения дальнейшего доступа к ИТ-системе, в которой находится фактическая цель мошенника, например выдавать себя за важного клиента посредством телефонного звонка, чтобы заманить цель просмотреть вредоносный веб-сайт и заразить рабочую станцию цели;
- или использование ИТ-технологий в качестве поддержки методов психологического манипулирования для достижения цели за пределами ИТ-сферы, e.грамм. получение банковских учетных данных с помощью фишинговой атаки с целью кражи денег цели.
Растущее использование ИТ-технологий естественным образом привело к увеличению использования таких методов, а также к их комбинации, до такой степени, что большинство кибератак в настоящее время включают в себя те или иные формы социальной инженерии.
Методы социальной инженерии
В этой статье будут рассмотрены некоторые из наиболее распространенных техник: предлог, приманка, услуга за услугу и опровержение.Фишинговые атаки также основываются на социальной инженерии; эта тема была рассмотрена в предыдущей статье: Фишинг / целевой фишинг.
Предварительный текст
Этот прием — использование предлога — ложного оправдания определенного образа действий — для завоевания доверия и обмана жертвы.
- Пример: злоумышленник утверждает, что работает в службу поддержки ИТ, и запрашивает пароль цели для обслуживания.
Должны существовать надлежащие процессы идентификации и аутентификации, политики и обучение, чтобы обойти такие атаки.
Наживка
Приманка включает в себя побуждение жертвы к выполнению определенной задачи путем предоставления ей легкого доступа к тому, что ей нужно.
- Пример: USB-накопитель, зараженный кейлоггером и помеченный «Мои личные фото», оставлен на пороге жертвы.
Политики безопасности, такие как воздушный зазор и блокировка неавторизованного программного и аппаратного обеспечения, будут препятствовать большинству попыток, хотя сотрудникам также следует напоминать не доверять неизвестным источникам.
Плата за услугу
Quid Pro Quo, что на латыни означает «что-то за что-то», включает в себя запрос информации в обмен на вознаграждение.
- Пример: злоумышленник запрашивает пароль жертвы, утверждающей, что она исследователь, проводящий эксперимент, в обмен на деньги.
Атаки Quid pro quo относительно легко обнаружить, учитывая асимметричную ценность информации по сравнению с компенсацией, которая противоположна для злоумышленника и жертвы.В этих случаях лучшей мерой противодействия остается целостность жертвы и ее способность идентифицировать, игнорировать и сообщать.
Задняя дверь
Отслеживание — это действие за уполномоченным лицом в зону или систему с ограниченным доступом.
- Пример: злоумышленник, одетый как служащий, несет большую коробку и убеждает жертву, которая является одновременно входящим уполномоченным сотрудником, открыть дверь дата-центра, используя RFID-пропуск жертвы.
Доступ в закрытые зоны должен контролироваться политиками доступа и / или использованием технологий контроля доступа, чем более чувствительна зона, тем строже комбинация.Обязательства по ношению бейджа, наличия охраны и фактических дверей для защиты от захвата, таких как защитные ловушки с контролем доступа RFID, должно быть достаточным, чтобы отпугнуть большинство злоумышленников.
Рекомендации
Любая организация должна идентифицировать свои критические активы и внедрять соответствующие политики и протоколы безопасности. При необходимости их следует укреплять с помощью технологий.
Тем не менее, единственной наиболее эффективной мерой противодействия атакам социальной инженерии остается здравый смысл.В связи с этим ENISA рекомендует следующее:
- частые информационные кампании: плакаты, презентации, электронные письма, информационные заметки;
- человек;
- тестов на проникновение для определения уязвимости организации к атакам социальной инженерии, отчетности и действий в соответствии с результатами.
Обучение и учение персонала —
Лучшие практики для предприятий по предотвращению атак социальной инженерии
Одной из самых сложных проблем безопасности на сегодняшний день для предприятия является предотвращение атак социальной инженерии.Это обычная точка входа для многих злоумышленников, и любая организация может стать жертвой. Посмотрите на недавнюю атаку на институт SANS и, конечно же, на Twitter. Несмотря на частоту и мощность атак социальной инженерии, мы часто видим неадекватные меры безопасности, а также планы реагирования на инциденты в организациях.
Каждая организация будет иметь собственное определение приемлемого уровня риска и должна принимать серьезные решения в области безопасности и инвестиции, подкрепленные порогом риска.Помимо обучения и обучения сотрудников, организации захотят сосредоточиться на правильном освоении основ, чтобы обеспечить наличие уровней контроля, которые сделают их более устойчивыми, даже если их пользователи станут жертвами социальной инженерии.
В этой статье eWEEK помощник вице-президента по консалтингу Дэн Вуд в Темпе, штат Аризона, охранная фирма Bishop Fox предлагает компаниям передовой опыт, который может быть применен для обеспечения максимально надежной системы безопасности, чтобы помочь укрепить социальную инженерию организации. защитная стратегия.
Вот его самые важные советы / лучшие практики:
Рекомендация № 1. Убедитесь, что ваша организация не раскрывает себя через открытые почтовые ретрансляторы.
Они могут увеличить спуфинг электронной почты, поскольку позволяют отправлять неаутентифицированную электронную почту за пределы организации, что затрудняет защиту от фишинга, поскольку электронные письма будут выглядеть законными для внутренних пользователей. Реализуя строгую аутентификацию пользователей и IP-авторизацию на шлюзе, вы можете воспользоваться этой возможностью у злоумышленника.
Рекомендация № 2: используйте процессы фильтрации электронной почты.
Некоторые элементы управления безопасностью электронной почты предоставляют возможность фильтрации электронной почты, которая обеспечивает возможность удалять все внешние вложения и ссылки, чтобы предотвратить выполнение и переход по вредоносным ссылкам с попутной загрузкой, а также помечать внешние электронные письма с указателями, такими как [EXTERNAL] в теме строки и / или в теле письма при получении или поместите цветную полосу поперек письма с предупреждением. Это поможет снизить вероятность выдвижения жертвы как внутреннего пользователя.
Рекомендация № 3: как можно чаще анализируйте подозрительную электронную почту.
Средства контроля безопасности, такие как Cofense PhishMe, предоставляют подключаемый модуль почтового клиента под названием PhishMe Reporter, который позволяет конечному пользователю отправлять сообщения электронной почты, подозреваемые в фишинге, для анализа. Это также позволяет SOC организации быстро удалять все вхождения оскорбительной электронной почты из почтовых ящиков пользователей, чтобы предотвратить их дальнейшее распространение, если фишинговая кампания проводится по широкой сети. Другие меры безопасности имеют аналогичные возможности и должны быть пересмотрены, чтобы увидеть, что лучше всего работает для организации.
Лучшая практика № 4: Обучите защитников тактике нападения.
Если вы действительно стали жертвой атаки социальной инженерии, знание того, как действуют злоумышленники, и обучение ваших защитников этой тактике будет полезно, когда им будет поручено отслеживать сети и выявлять кражу данных.
Более сложные примеры, основанные на зрелости защитной позиции организации, включают:
Рекомендация № 5: Удалите ненужные административные учетные записи.
Удалите привилегированные и административные учетные записи там, где они абсолютно не нужны, и используйте систему своевременного управления секретами; если конечный пользователь успешно подвергается фишингу, это уменьшает количество прав доступа, с которыми они могли бы начать при установлении своей точки опоры.
Рекомендация № 6. Установите процесс проверки учетных данных.
Для привилегированных и административных учетных записей установите процесс проверки учетных данных, который требует двухэтапного процесса утверждения с проверкой обоснования и возможностью автоматического прекращения доступа к учетным данным по истечении заданного периода времени.
Рекомендация № 7. Развертывание аналитики поведения пользователей.
Установление базовых показателей пользователей с помощью аналитики поведения пользователей и сущностей (UEBA) для использования в качестве системы раннего оповещения в случае сбоя элементов управления конечной точкой, вы сможете обнаружить атаку на основе отклонений от этих базовых показателей использования и шаблонов доступа.
Рекомендация № 8: используйте машинное обучение в процессе SOAR.
Как и выше, по мере того, как вы начинаете создавать базовые уровни активности для пользователей и сущностей, вы можете начать обогащать свои данные интеллектом, который позволит вам начать применять машинное обучение с технологиями и средствами контроля безопасности с помощью так называемой оркестровки безопасности, автоматизации. и ответ (SOAR).Вместо того, чтобы полагаться на человека-аналитика для анализа потенциальных инцидентов, существуют решения, которые обеспечивают автоматизированный подход к управлению повторяющимися и рутинными задачами, который позволяет аналитикам сосредоточиться на более сложных проблемах безопасности и расследованиях. Технологии SOAR обеспечивают масштабируемость и скорость организациям, которым сложно вручную определять угрозы и реагировать на них.
Лучшая практика № 9: Начать безошибочную программу тестирования социальной инженерии.
Наконец, программа тестирования социальной инженерии без ошибок — хороший способ проверить сотрудников с помощью фишинга и других методов социальной инженерии. Убедитесь, что профили конечных пользователей созданы с известными правами доступа к активам и данным. Знание того, что может быть потенциально раскрыто, если конечный пользователь будет скомпрометирован, может дать информацию о том, какие элементы управления вы устанавливаете и где — не все элементы управления одинаковы для каждого пользователя. Некоторым пользователям могут потребоваться уникальные средства управления, основанные на их бизнес-процессах и технических способностях, в то время как другие могут не подвергаться критически важной информации или процессам.
Что такое социальная инженерия? Почему киберпреступники их любят
Что такое социальная инженерия?
Социальная инженерия в контексте кибербезопасности — это использование обмана для убеждения людей отказаться от своей личной информации в Интернете. Затем эта информация используется в кибератаках.
Самым сложным этапом кампании по взлому данных является проникновение в экосистему. Атаки социальной инженерии значительно упрощают этот этап, потому что жертвы по сути передают злоумышленникам ключи от внутренней сети.
Поскольку атаки социальной инженерии так сильно помогают киберпреступникам, они будут и дальше распространяться. В настоящее время 33% утечек данных вызваны атаками социальной инженерии, поэтому, приняв меры по предотвращению, можно будет избежать трети всех утечек данных.
Социальная инженерия применима не только в цифровом контексте, ее можно использовать в любом сценарии, когда от жертвы требуется конкретная информация для злонамеренных целей. В видео ниже всемирно известный хакер Кевин Митник описывает, как он использовал социальную инженерию, чтобы использовать систему продажи бумажных билетов L.A. автобусная сеть в возрасте 12 лет.
Примеры методов социальной инженерии
К распространенным атакам социальной инженерии относятся:
Приманка
Тип социальной инженерии, когда злоумышленник оставляет физическое устройство, зараженное вредоносным ПО, в том месте, где оно будет обнаружено, например USB. Жертва вставляет USB-накопитель в свой компьютер и непреднамеренно заражает компьютер вредоносным ПО.
Diversion Theft
Социальные инженеры обманом заставляют компанию, занимающуюся доставкой, отправить посылку в другое место и перехватить почту.
Honey Trap
Мошенник выдает себя за привлекательного человека в сети, чтобы создать фальшивые онлайн-отношения, чтобы заработать деньги или собрать личную информацию (PII), такую как номер телефона жертвы и адрес электронной почты.
Фишинг
Фишинговые атаки собирают конфиденциальную информацию, такую как учетные данные для входа, номера кредитных карт, данные банковского счета, маскируясь под надежный источник. Распространенным фишинговым мошенничеством является использование спуфинга электронной почты для маскировки под надежный источник, например финансового учреждения, с целью заставить жертву щелкнуть вредоносную ссылку или загрузить зараженное вложение.Фишинговые электронные письма часто вызывают у жертвы ощущение срочности, которое заставляет думать, что быстрое разглашение информации важно. Несмотря на то, что фишинг является относительно простой атакой, он представляет собой один из самых больших рисков кибербезопасности.
Pretexting
Pretexting — это ложь с целью получения доступа к личным данным или другой конфиденциальной информации. Например, мошенник может выдать себя за стороннего поставщика, заявив, что ему необходимо знать ваше полное имя и титул, чтобы подтвердить вашу личность.
Quid Pro Quo
Атака quid pro quo использует человеческую склонность к взаимности для получения доступа к информации.Например, злоумышленник может предоставить бесплатную техническую поддержку жертве по телефону и попросить ее выключить антивирусное программное обеспечение или установить троян, который берет под контроль его операционную систему.
Rogue Security Ssoftware
Rogue Security Software или scareware — это поддельное программное обеспечение безопасности, которое утверждает, что на компьютере установлено вредоносное ПО. Конечный пользователь получает всплывающее окно с требованием оплаты за удаление. Если платеж не будет произведен, всплывающие окна будут продолжаться, но файлы в целом в безопасности.
Spear Phishing
Spear phishing — это атака с использованием спуфинга электронной почты, нацеленная на определенную организацию или отдельное лицо. Электронные письма с адресным фишингом направлены на то, чтобы заразить жертву программой-вымогателем или обманом заставить ее раскрыть конфиденциальные данные и конфиденциальную информацию.
Smishing
Smishing или SMS-фишинг — это фишинг, осуществляемый с помощью SMS, а не с помощью традиционной электронной почты.
Отслеживание
Отслеживание или совмещение — это когда злоумышленник следует за человеком в безопасную зону.Этот тип атаки предполагает, что человек, за которым ведется наблюдение, имеет законный доступ в эту зону.
Vishing
Вишинг или голосовой фишинг осуществляется по телефону и часто нацелен на пользователей услуг передачи голоса по IP (VoIP), таких как Skype. Вишинг в сочетании с подделками голоса — это огромный риск для кибербезопасности. По данным The Wall Street Journal, генеральный директор британской энергетической компании отправил 243 000 долларов на банковский счет злоумышленника, полагая, что тот разговаривал по телефону со своим боссом.
Waterholing
Атака watering hole — это когда злоумышленник нацеливается на определенную группу людей, заражая веб-сайт, который он знает и которому доверяет, e.грамм. путем использования устаревшего SSL-сертификата, опечаток, отсутствия DNSSEC или взлома домена.
Китобойный промысел
Китобойный промысел — это форма целевого фишинга, нацеленного на высокопоставленных лиц, таких как руководители публичных компаний, политики или знаменитости. Например, китобойные атаки часто происходят в форме фальшивого запроса от генерального директора с просьбой к отделу кадров изменить существующие данные о заработной плате на те, которые были созданы фишером.
Как работает социальная инженерия?
Социальные инженеры используют широкий спектр тактик социальной инженерии, основанных на шести принципах влияния.
Тем не менее, первым шагом для большинства атак социальной инженерии является сбор информации о цели.
Например, если целью является организация, злоумышленники могут использовать неэффективные методы OPSEC для сбора информации о корпоративной структуре, внутренних операциях, отраслевом жаргоне, сторонних поставщиках и другой общедоступной информации, указанной в профилях социальных сетей, в Интернете и на веб-сайтах. человек.
Во многих случаях первой целью будет сотрудник нижнего уровня, учетные данные которого могут использоваться для получения доступа к внутренней информации, которая может использоваться для целевого фишинга или других более целенаправленных киберугроз.
Атаки социальной инженерии раскрывают конфиденциальную информацию, такую как номера социального страхования или номера кредитных карт, и приводят к утечкам и утечкам данных, позволяющих установить личность (PII) и защищенной информации о здоровье (PHI).
Почему киберпреступники используют социальную инженерию?
Киберпреступники используют методы социальной инженерии, чтобы скрыть свою истинную личность и представить себя надежными источниками или людьми. Цель состоит в том, чтобы повлиять, манипулировать или обмануть жертв, чтобы они отказались от личной информации или получили несанкционированный доступ в организации.
В большинстве случаев социальная инженерия использует готовность людей быть полезными. Например, злоумышленник может выдать себя за сотрудника, у которого возникла срочная проблема, например просроченный счет.
Социальная инженерия становится все более популярным способом подорвать информационную безопасность, потому что зачастую легче использовать человеческие слабости, чем сетевая безопасность или уязвимости.
Тем не менее, социальная инженерия может использоваться в качестве первого этапа более крупной кибератаки для проникновения в систему, установки вредоносного ПО или раскрытия конфиденциальных данных.
12 способов предотвращения атак социальной инженерии в 2021 году
Атаки социальной инженерии могут иметь наилучшие шансы не стать жертвой атак социальной инженерии, если следовать этим 12 стратегиям предотвращения.
1. Обучайте сотрудников
Незнание — основная причина, по которой сотрудники становятся жертвами атак социальной инженерии. Организации должны обучать своих сотрудников тому, как реагировать на обычные попытки взлома. Например, что делать, когда запрашивается информация, когда кто-то пытается проникнуть через заднюю дверь или когда кто-то пытается затащить сотрудника в офис.
В следующем списке перечислены некоторые из наиболее распространенных кибератак. Каждая ссылка откроет сообщение в блоге, которое можно использовать для обучения осведомленности о киберпреступности на рабочем месте:
2. Установите политики безопасности
Установите политику информационной безопасности, в которой изложено, что нужно делать, чтобы избежать социальной инженерии, и разработать план реагирования на инциденты. к утечкам и утечкам данных, чтобы уменьшить влияние любой атаки социальной инженерии.
3. Изучите всю информацию
Научите сотрудников тщательно проверять каждое полученное электронное письмо и каждое устройство, которое они подключают к своему компьютеру.Определение того, какая информация является конфиденциальной, и оценка того, как она может быть раскрыта во время атаки социальной инженерии, может помочь организациям принять меры противодействия и снизить риск кибербезопасности.
4. Установите протоколы безопасности
Создайте программу управления информационными рисками, которая имеет протоколы, политики и процедуры безопасности, описывающие, как обеспечить безопасность данных.
5. Тестирование устойчивости к атакам
Проверьте свою организацию и проведите против нее атаки социальной инженерии.Отправляйте поддельные фишинговые электронные письма, чтобы проверить, взаимодействуют ли сотрудники с сообщением, нажимают ли ссылки и загружают вложения.
6. Увеличьте количество тестовых атак
Так же, как вакцинация, ваша организация может стать более устойчивой к атакам социальной инженерии, если они будут подвергаться им часто, поэтому важно проводить тестирование несколько раз в год.
7. Изучите протоколы реагирования.
Изучите свои контрмеры и обучение против атак социальной инженерии с течением времени и улучшите или удалите устаревшую информацию.
8. Защищайте все отходы
Используйте безопасную службу управления отходами, чтобы социальные инженеры не могли собрать информацию о вашей организации из корзины и использовать ее для запуска целевого фишинга или других целевых кампаний социальной инженерии.
9. Использование многофакторной аутентификации
Требовать, чтобы пользователи что-то знали (пароль), имели что-то (токен) и были чем-то (биометрия), чтобы совершить платеж или выполнить чувствительное действие.
10. Безопасность операций
OPSEC — это процесс, который определяет дружественные действия, которые могут быть полезны для потенциального злоумышленника.Если правильно проанализировать и сгруппировать с другими данными, OPSEC обнаружит важную информацию или конфиденциальные данные. Используя методы OPSEC, организации могут сократить объем информации, которую могут собирать социальные инженеры.
11. Внедрение сторонней системы управления рисками
Уже недостаточно сосредоточиться исключительно на киберустойчивости и кибербезопасности вашей организации. Сторонние поставщики все чаще обрабатывают большие объемы личной идентифицируемой информации (PII) и защищенной медицинской информации ( PHI), что делает их первоочередными целями для социальных инженеров, которым нужен доступ к личным данным.
Разработайте стороннюю структуру управления рисками, политику управления поставщиками и проведите оценку рисков кибербезопасности перед привлечением новых поставщиков или продолжением использования существующих поставщиков. Гораздо проще предотвратить утечку данных, чем очистить их, особенно после того, как украденные данные были проданы в темной сети. Ищите программное обеспечение, которое может автоматизировать управление рисками поставщиков и постоянно отслеживать и оценивать рейтинг кибербезопасности ваших поставщиков.
12. Обнаружение утечки данных
Иногда бывает трудно узнать, когда учетные данные были раскрыты во время фишинг-атаки.Некоторые фишеры могут ждать месяцы или годы, прежде чем использовать собранные ими учетные данные, поэтому ваша организация должна постоянно сканировать на предмет раскрытия данных и утечек учетных данных.
Какие шесть принципов влияния злоупотребляют в социальной инженерии?
Все методы социальной инженерии основаны на использовании аспектов человеческого взаимодействия и принятия решений, известных как когнитивные искажения. Считайте предубеждения уязвимостями в человеческом программном обеспечении, которые можно использовать так же, как программные уязвимости, перечисленные в CVE.
Социальная инженерия во многом опирается на теорию влияния Роберта Чалдини, почетного профессора психологии и маркетинга в Университете штата Аризона и автора бестселлеров, основанную на шести принципах:
1. Взаимность. пользу, что объясняет повсеместное распространение бесплатных образцов в маркетинге. Мошенник может дать жертве что-то бесплатно, а затем запросить доступ к конфиденциальной информации.
Социальная инженерия. Пример взаимности:
Злоумышленник демонстрирует доброту, заставляя жертву почувствовать себя обязанной повторить свое мнение, предоставив конфиденциальную информацию о доступе.
2. Приверженность и последовательность
Если люди выражают устную или письменную приверженность цели или идее, они с большей вероятностью выполнят это обязательство, даже если исходная мотивация будет устранена.
Пример приверженности и согласованности в социальной инженерии:
Сотрудник выполняет запрос злоумышленника на учетные данные для входа, потому что они изначально согласились предоставить их, даже если они понимают, что этого делать не следует.
3. Социальное доказательство
Люди склонны делать то, что делают другие.
Пример социального доказательства социальной инженерии:
Злоумышленник предоставляет ложные доказательства того, что коллега жертвы недавно сотрудничал с ним. Это заставляет жертву подчиниться.
4. Власть
Люди склонны подчиняться авторитетным фигурам, даже если их просят совершить нежелательные действия. Вот почему целевые фишинговые кампании, в которых используется имя генерального директора и нацелены на сотрудников нижнего уровня, могут быть успешными.
Пример авторитета социальной инженерии:
Злоумышленник выдает себя за авторитетную фигуру либо на целевом рабочем месте, либо в обществе, например, полицейские, юристы и т. Д.
5. Нравится
Людей легко убедить те, кто им нравится, поэтому целевые фишеры часто маскируются под коллег или друзей в своих целевых фишинговых кампаниях.
Социальная инженерия, пример симпатии
Атака делает жертву комплиментом, чтобы она выглядела симпатичной.
6. Дефицит
Воспринимаемый дефицит увеличивает спрос, поэтому социальные инженеры часто создают ощущение срочности.
Пример нехватки в социальной инженерии:
Злоумышленник приводит убедительную причину, по которой необходимо срочно запросить набор учетных данных.
Каковы примеры атак социальной инженерии?
Троянский конь
Самая известная атака социальной инженерии происходит из древнегреческой истории об обманчивом троянском коне, который привел к падению города Троя, где солдаты прятались на гигантском деревянном коне, представленном троянской армии как дар мира.
RSA Data Breach
Успешная атака социальной инженерии привела к утечке данных RSA в 2011 году. Злоумышленники в течение двух дней отправили группе сотрудников RSA два фишинговых письма с темой «План набора на 2011 год» и зараженный документ Excel, в котором использовалась уязвимость Adobe Flash (CVE-2011-0609).
Target Data Breach
В 2013 году Target подверглась серьезной утечке данных, которая началась с того, что сторонний поставщик заполучил фишинговое письмо. Электронное письмо содержало трояна и позволяло злоумышленникам получить доступ к POS-системе Target, что привело к краже данных кредитных карт 40 миллионов клиентов Target.
Mispadu: вредоносная реклама для поддельных купонов McDonald’s
Троян, ворующий учетные данные банка, известный как Mispadu, был развернут через рекламу в Facebook поддельных купонов McDonald’s.Рекламы были нацелены на жителей Бразилии и Мексики. Когда пользователи пытались получить доступ к купонам, на их компьютер был загружен и установлен zip-файл, содержащий троян.
Mispadu вредоносная кампания — Источник: welivesecurity.com
Mispadu сканирует веб-браузеры, почтовые клиенты и даже базу данных буфера обмена на предмет банковских учетных данных. Троян также пытается заменить существующие биткойн-кошельки собственным кошельком.
Примеры известных социальных инженеров
Среди известных социальных инженеров:
Кевин Митник
Митник, проживающий в США, является консультантом по компьютерной безопасности, писателем и хакером, наиболее известным своим громким арестом в 1995 и пяти годах. -летняя судимость за различные преступления, связанные с компьютером и связью.
Сьюзан Хедли
Американский хакер, действовавший в конце 1970-х — начале 1980-х годов, известный своим опытом в социальной инженерии, претекстах и психологической подрывной деятельности.
Братья Бадир
Рами, Мужер и Шаддл Бадир, братья, которые были слепыми от рождения, в 1990-х годах организовали в Израиле масштабную схему телефонного и компьютерного мошенничества с использованием социальной инженерии, вишинга и компьютеров с дисплеем Брайля.
Фрэнк Абигнейл
Фрэнк Абигнейл — американский консультант по вопросам безопасности, известный своим прошлым мошенничеством, подделкой чеков и самозванцем в возрасте от 15 до 21 года.Он может быть самым известным в мире социальным инженером из-за его бестселлера «« Поймай меня, если сможешь »», который был адаптирован к фильму, снятому оскароносным Стивеном Спилбергом с Абигнейлом в исполнении Леонардо Ди Каприо.
Предотвращение утечек и утечек данных с помощью социальной инженерии с помощью UpGuard
UpGuard объединяет механизм обнаружения утечек данных со сторонними системами управления рисками, чтобы создать ведущее в мире решение для мониторинга поверхностей атак.