Социальная инженерия для хакеров: способы и методы применения хакерами
Содержание
Социальная инженерия — методы, которыми хакеры пользуются, чтобы обмануть корпоративных пользователей и обойти самые мощные системы информационной безопасности.
Социальная инженерия — методы, которыми хакеры пользуются, чтобы обмануть корпоративных пользователей и обойти самые мощные системы информационной безопасности. О ловушках, расставляемых доверчивым сотрудникам, — в статье по итогам выступления Кевина Митника на конференции «Информационная безопасность предприятия», прошедшей в Москве в 2005 году.
Кевин Митник — в прошлом хакер, взломавший информационные системы крупнейших компаний мира, а ныне консультант по информационной безопасности, учредитель компании Mitnick Security Consulting. Автор книг «Искусство обмана» и «Искусство вторжения».
Сегодня человеческий фактор в информационной безопасности играет гораздо более важную роль, чем 20 лет назад, когда Интернет не был коммерческим и его пользователями были лишь специалисты. Многие компании, которые думают, что проблему информационной безопасности можно решить просто с помощью аппаратных и программных средств, сильно заблуждаются. Технологии безопасности, которым мы привыкли доверять, — межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и другие — малоэффективны в противостоянии хакерам, использующим методы социальной инженерии. Необходима мощная работа с персоналом, обучение сотрудников применению политики безопасности и техникам противостояния социоинженерам — только тогда ваша система безопасности будет комплексной.
Непрямая атака
Представьте ситуацию: крупный московский офисный центр. Вы входите в лифт и видите на полу компакт-диск с логотипом известной компании и наклейкой: «Строго конфиденциально. Заработная плата сотрудников за 2005 год». Самая естественная человеческая реакция — взять этот диск, отнести в свой офис и вставить в CD-ROM своего рабочего компьютера. Предположим, вы так и сделали. На диске — файл со знакомой иконкой MS Excel. Вы пытаетесь его открыть, но вместо столбиков цифр и фамилий видите лишь сообщение операционной системы: «ошибка, файл поврежден». В этот момент на ваш компьютер, помимо вашей воли и вашего ведома, загружается вредоносная программа. В лучшем случае это «троянец», отслеживающий, какие клавиши вы нажимаете и какие совершаете операции, и передающий эту информацию по мгновенно налаженному каналу связи на чужой компьютер. В худшем варианте — вирус, который в считанные мгновения разрушит вашу информационную систему и распространится по локальной сети, пожирая всю корпоративную информационную систему. Вы ведь подключены к локальной сети, правда?
Это типичный пример социальной инженерии — нарушения информационной безопасности компании с помощью воздействия на человека. Есть много способов манипулировать людьми, и любопытство — только один из мотивов, которые можно использовать.
Почему злоумышленники прибегают к социальной инженерии?
- Это проще, чем взломать техническую систему безопасности.
- Такие атаки не вычислить с помощью технических средств защиты информации.
- Это недорого.
- Риск — чисто номинальный.
- Работает для любой операционной системы.
- Эффективно практически на 100%.
База для социоинженера
Первый этап любой атаки — исследование. Используя официальную отчетность компании-жертвы, ее заявки на патенты, сообщения о ней в прессе, рекламные буклеты этой фирмы и, конечно же, корпоративный сайт, хакер пытается получить максимум информации об организации и ее сотрудниках. В ход идет даже содержимое мусорных корзин, если его удается раздобыть. Социоинженер выясняет, кто в компании имеет доступ к интересующим его материалам, кто в каком подразделении работает и где это подразделение расположено, какое программное обеспечение установлено на корпоративных компьютерах…
Словом, все, что только можно.
Хакер всегда стремится выдать себя за того, кто имеет право на доступ к интересующим его данным и кому эти данные действительно нужны по долгу службы. Для этого он должен свободно ориентироваться в терминологии, владеть профессиональным жаргоном, знать внутренние порядки компании-жертвы. Затем следует разработка плана атаки: предстоит изобрести предлог или схему обмана, которые помогут построить доверительные отношения с нужным сотрудником. Если атака прошла успешно и работник организации ничего не заподозрил, хакер, скорее всего, не ограничится одним вторжением, а вернется и будет дальше пользоваться возникшим доверием.
Ошибка резидента (пример из фильма «Дневной дозор»): главный герой (Антон Городецкий), успешно сымитировав личность представителя вражеского стана, пытается проникнуть в этот самый стан. Проходя мимо охранника, он небрежно бросает ему: «Привет, Витек!» — ориентируясь на бейдж с именем стража, приколотый к его пиджаку. Разоблачение следует немедленно: пиджак на охраннике — чужой.
Самые распространенные методы атак:
- Выяснение, передача или несанкционированная смена паролей
- Создание учетных записей (с правами пользователя или администратора)
- Запуск вредоносного программного обеспечения (например, «троянца»)
- Выяснение телефонных номеров или иных способов удаленного доступа к корпоративной информационной системе
- Фишинг (электронное мошенничество)
- Несанкционированное добавление дополнительных прав и возможностей зарегистрированным пользователям системы
- Передача или распространение конфиденциальной информации.
Прямая атака
В «доэлектронную эру» социальной инженерией пользовались злоумышленники, звонившие по телефону. Например, для того чтобы получить доступ к базе абонентов телефонной компании, достаточно было позвонить туда и представиться сотрудником сервисной службы, совершающим плановую проверку, или работником органов власти, уточняющим данные. Главное — выбрать нужный тон. Этот метод действует и сейчас, а современные средства телефонии только облегчают хакерам задачу. Так, с помощью специальной приставки к аппарату звонящий может изменить тембр голоса. А использование офисной мини-АТС помогает замести следы — усложнить определение номера, с которого звонят. Хакер набирает один из телефонов компании и спрашивает у сотрудника его логин и пароль, представляясь системным администратором. Если это крупная организация, где не все сотрудники знают друг друга, велика вероятность того, что пользователь сообщит социоинженеру интересующие его данные.
Невероятно, но факт: в ходе специального исследования 7 из 10 офисных сотрудниц лондонского вокзала Ватерлоо назвали свои логин и пароль незнакомцу в обмен на шоколадку!
С распространением компьютеров возможности социальной инженерии расширились. Теперь для атаки можно использовать электронную почту или ICQ. Иногда даже не нужно подделывать стиль того, от чьего имени пишешь, и сотрудник все равно ничего не заподозрит. Например, человеку приходит «письмо от начальства»: «Прошу направить мне копию базы данных по клиентам Северного Федерального округа в формате MS Excel в срок до 15.00 сегодня, 5 марта». Он, конечно же, направит — и прости-прощай секретные данные. Или «письмо от системного администратора»: «Уважаемые коллеги! В связи с обновлением версии системы совместной работы ваш логин и пароль изменен. Ваш новый логин и пароль — во вложенном файле». На самом же деле вложение содержит вирус, выводящий из строя операционную систему. Последнее — реальный пример из недавней практики московской компании «Òàóýð».
Бреши в информационной системе — сотрудники обычно:
- считают, что корпоративная система безопасности непогрешима, и теряют бдительность
- легко верят полученной информации, независимо от ее источника
- считают соблюдение корпоративной политики безопасности пустой тратой времени и сил
- недооценивают значимость информации, которой владеют
- искренне хотят помочь каждому, кто об этом просит
- не осознают пагубных последствий своих действий.
Ключик к каждому
В различных странах люди по-разному подвержены социоинженерному воздействию. Россияне — не самая доверчивая нация, а вот жители США и Японии очень внушаемы. В каждой стране есть свои культурные особенности, которые должен учитывать социоинженер. Например, на западе прекрасно работает «норма взаимности»: если человеку сделать что-то приятное, он будет чувствовать себя обязанным и при первой же возможности постарается отплатить добром. В Испании атака успешнее всего пройдет, если использовать личное доверие, завязать с жертвой приятельские отношения. А немец скорее поддастся на уловки хакера, если сыграть на его приверженности к корпоративному порядку.
Независимо от национальности, наиболее уязвимы для атак социоинженеров новые сотрудники. Как правило, им еще не успели рассказать о всех существующих корпоративных правилах, они не изучили регламентов информационной безопасности. Новички еще не знают всех своих коллег, особенно лично. К тому же, им свойственна повышенная доверчивость и готовность помочь, дабы зарекомендовать себя как активных и отзывчивых членов команды, на которых можно положиться. Они вряд ли будут интересоваться правами доступа социального инженера, который выдает себя за другого сотрудника, особенно вышестоящего.
Возможно, вас атакуют, если ваш собеседник:
- проявляет к вам повышенный интерес, преувеличенное внимание и заботу
- отказывается дать вам свои координаты
- обращается к вам со странной или необычной просьбой
- пытается втереться к вам в доверие или льстит вам
- говорит с вами подчеркнуто начальственным тоном.
Даже самые бдительные сотрудники не всегда могут распознать социальную инженерию. Да они и не должны действовать как детектор лжи. Ключевой фактор успеха — обучение. Политики безопасности должны войти в плоть и кровь каждого, кто работает в компании. И, разумеется, прежде чем втолковывать сотрудникам суть этих политик, нужно их разработать.
Социальная инженерия и хакеры | Блог Касперского
Социальная инженерия, иногда называемая наукой и искусством взлома человеческого сознания, становится все более популярной в связи с повышением роли социальных сетей, электронной почты или других видов онлайн-коммуникации в нашей жизни. В сфере информационной безопасности данный термин широко используется для обозначения ряда техник, используемых киберпреступниками. Последние имеют своей целью выманивание конфиденциальной информации у жертв либо побуждают жертв к совершению действий, направленных на проникновение в систему в обход системы безопасности.
Даже сегодня, когда на рынке доступно огромное количество продуктов для обеспечения информационной безопасности, человек все еще владеет ключами от всех дверей. Будь то комбинация учетных данных (логин и пароль), номер кредитной карты или данные для доступа к онлайн-банку, самое слабое звено в системе обеспечения безопасности — это не технологии, а живые люди. Таким образом, если злоумышленники применяют к пользователям манипулятивные психологические техники, очень важно знать, какие приемы наиболее характерны в данной ситуации, а также понимать принцип их работы, чтобы избежать неприятностей.
Социальная инженерия — понятие совсем не новое, оно появилось давным-давно. Известными специалистами-практиками в этой науке стали, например, Кевин Митник и Фрэнк Абаньяле, которые на сегодняшний день являются ведущими консультантами по безопасности. Они живая иллюстрация того, что преступники могут превращаться в уважаемых экспертов. К примеру, тот же Фрэнк Абаньяле был одним из самых знаменитых и виртуозных мошенников: он умел создавать множество личностей, подделывать чеки и обманывать людей, вытягивая из них конфиденциальную информацию, необходимую для работы мошеннических схем. Если вы смотрели фильм «Поймай меня, если сможешь», вы имеете представление о том, на что способен специалист по социнженерии, если он имеет перед собой ясную цель. Вам просто следует помнить, что для получения от вас нужной информации социнженер может использовать различные мошеннические схемы, не ограничивающиеся приемами, связанными с технологиями или компьютерами, так что лучше пользователям с осторожностью относиться к подозрительным действиям, даже если они кажутся обычными. Классическим приемом, например, является выманивание пароля в телефонном звонке. Кажется, что никто в здравом уме не сообщит свой пароль постороннему, но звонок «с работы» в 9 утра в воскресенье, требующий приехать для какой-то мелочевой технической операции над вашим компьютером, несколько меняет дело. Когда «ваш администратор» предложит просто сказать ему пароль, чтобы он все сделал за вас, вы не только сообщите пароль, но и поблагодарите его за заботу! Ну, может, не лично вы, но примерно половина ваших коллег поступит так гарантированно.
«Компания может тратить сотни тысяч долларов на брандмауэры, шифрование и другие технологии обеспечения безопасности, но, если мошенник может позвонить одному из надежных сотрудников и через него получить доступ к конфиденциальной информации, все средства, потраченные во имя безопасности, были потрачены зря», — говорит Кевин Митник.
Большинство киберпреступников не станут тратить время на осуществление технологически сложных приемов взлома, если необходимые сведения можно получить, используя навыки в области социнженерии. Более того, существует множество сайтов, где описаны принципы работы подобных техник и причины их успеха. Один из этих сайтов называется SocialEngineer.org, и он предлагает весьма полезную основу для теоретического изучения принципов социнженерии, дополняя ее большим количеством реальных примеров.
Мы используем речь каждый день, влияя на действия друг друга, хотя часто не замечаем этого. Но язык с точки зрения социнженерии имеет несколько недостатков, так как он связан с нашим субъективным восприятием фактов, при котором мы можем опустить некоторые части истории, исказить смысл или сделать некоторые обобщения. НЛП, или нейролингвистическое программирование, которое изначально было создано для лечебных целей, сегодня считается «мутировавшей» формой гипноза, используемой социнженерами как инструмент манипуляции жертвами и оказания на них влияния с целью побудить их выполнить действия, ведущие к успеху атаки. В результате данной тактики жертва может сообщить свой пароль, разгласить конфиденциальную информацию, отказаться от какой-либо меры обеспечения безопасности, то есть, может сделать все что угодно, чтобы убрать препятствия на пути злоумышленников.
Хотя связь между психологией и хакингом кажется чересчур натянутой, на самом деле онлайн-атаки основаны на тех же принципах, которые лежат в основе «офлайнового» мошенничества. Принцип возвратности («если я окажу тебе услугу, ты окажешь услугу мне»), принцип социальной проверки (вы оцениваете свое поведение как правильное, если наблюдаете такое же поведение у большинства), преклонение перед авторитетами (проявление большей степени доверия к сотруднику полиции, врачу, сотруднику технической поддержки, кому-либо более «высокого ранга») — это универсальные для всех способы выстраивания общения в социуме и удовлетворения наших базовых социальных инстинктов. Социнженер знает, на какие кнопки нажимать, чтобы получить желаемый ответ, создавая контекст (канву) для формирования правдоподобной легенды, которая смогла бы создать ощущение срочности. Для опытных специалистов в сфере социнженерии не составит труда обойти рациональное мышление человека, и им понадобится только доля секунды, чтобы добиться преимущества и получить от жертвы необходимые данные.
Однако в данной статье мы в большей степени обратим внимание на различные техники, используемые онлайн-мошенниками для незаконного получения информации и прибыли от жертв, которые «хотели как лучше». Как мы уже упомянули, принципы, используемые для мошеннических схем в Интернете, похожи на те, которые используются в реальной жизни, но так как Интернет — это огромная машина распространения информации, одно фишинговое сообщение может быть отправлено миллионам получателей в течение самого короткого времени. То есть в таких условиях данный тип атак может превратиться в беспроигрышную лотерею: даже если только небольшая часть от общего числа потенциальных жертв попадется на удочку, это все равно означает огромную прибыль для организации или человека, стоящего за атакой.
«Заниматься тем, чем я занимался в молодости, сегодня во много раз легче. Технологии подстегивают эволюцию преступлений», — говорит Фрэнк Уильям Абаньяле.
Сегодня одним из самых распространенных методов получения конфиденциальной информации является фишинг (термин образован от игры слов password harvesting fishing — «ловля паролей»). Фишинг можно охарактеризовать как тип компьютерного мошенничества, который использует принципы социальной инженерии с целью получения от жертвы конфиденциальной информации. Киберпреступники обычно осуществляют свои действия при помощи электронной почты, сервисов мгновенных сообщений или SMS, посылая фишинговое сообщение, в котором напрямую просят пользователя предоставить информацию (путем ввода учетных данных в поля сайта-подделки, скачивания вредоносного ПО при нажатии ссылки и т.д.), благодаря чему злоумышленники получают желаемое при полном неведении со стороны жертвы.
Мы наблюдали процесс развития вредоносного ПО, который во многом использовал принципы социнженерии. Раньше факт заражения компьютера вирусом был весьма очевиден: пользователь видел странные сообщения, иконки, картинки — одним словом, все, что обнаруживало участие злоумышленника. Сегодня нас уже не удивляют примеры вредоносного ПО, которое получает доступ к системам жертв путем применения трюков, характерных для социнженерии, и остается невидимым для пользователя до того момента, как выполнит свою задачу. Бесконечная игра в кошки-мышки между хакерами и компаниями, создающими средства информационной безопасности, подтверждает: образование и информирование — это ключевой защитный механизм, необходимый для пользователей. Они должны следить за новостями и новыми веяниями в мире информационной безопасности, а также знать о ключевых тактиках мошенников.
Множество интересных примеров взлома основаны на техниках социнженерии, которые, в свою очередь, помогают злоумышленникам доставить вредоносное ПО жертвам. Среди наиболее популярных — фальшивые обновления Flash Player и других популярных программ, вшитые в документ Word исполняемые файлы и многое другое.
Большинство описанных выше методов проведения атаки направлены на жителей Латинской Америки, так как технологические угрозы такого типа не до конца понятны или распространены в регионе, а если еще и принять во внимание, что большинство компьютеров работают с устаревшим ПО, это дает киберпреступникам отличную возможность заработать. Только недавно некоторые банки усилили меры обеспечения информационной безопасности для пользователей онлайн-банкинга, но до сих пор множество уязвимостей в системе безопасности способствуют успеху тактик социнженерии. Интересно, что многие особенности этого региона перекликаются с российскими, поэтому киберпреступники СНГ и Латинской Америки весьма активно обмениваются опытом и перенимают друг у друга удачные находки.
Популярны другие типы атак, которые даже не всегда попадают в категорию компьютерного мошенничества. Схема, известная как «виртуальное похищение«, использует практики социнженерии, а в качестве средства связи выступает телефон. Злоумышленники обычно звонят жертве и говорят, что член семьи был похищен и для его освобождения требуется незамедлительно заплатить выкуп. Преступник создает ощущение срочности и страха, жертва выполняет требования мошенника, даже не убедившись, на самом ли деле похищен кто-то из родственников. Похожая схема популярна при атаках на пожилых людей и может быть названа «виртуальной болезнью» — когда жертве звонят якобы из поликлиники, говорят, что в недавних анализах есть признаки опасного заболевания и нужно незамедлительно лечь на операцию для спасения жизни, разумеется, платную. После оплаты, конечно, никого не оперируют, потому что болезни никакой и не было.
В свете этого очень важно помнить, что любая публично доступная информация, появляющаяся в соцсетях («ВКонтакте», Instagram, Facebook, Twitter, Foursquare и так далее), может также помочь преступникам сложить два и два и понять, где вы находитесь, либо узнать некоторые персональные сведения. Направленная целевая фишинг-атака — это не столь частое явление, но, если вы готовы предоставлять ценную информацию, даже не задумываясь о предполагаемых последствиях, вы только облегчаете мошенникам задачу. Даже виш-листы на Amazon могут стать хорошим подспорьем для взлома при использовании тщательно отобранных трюков из арсенала социнженеров.
Как мы уже сказали, сегодня установка комплексного решения для обеспечения безопасности — это необходимость, особенно если вы пользуетесь Интернетом (весьма вероятно, что так оно и есть). Более того, ознакомление с новостями и тенденциями в мире онлайн-угроз и социальной инженерии поможет вам избежать атак такого типа (как онлайн, так и в реальной жизни). Помните, что все гаджеты и технологии защиты ничего не стоят, если вы не знаете, как их правильно использовать, и не осведомлены о том, на что способны злоумышленники. Технологии, которыми пользуются преступники, развиваются, и вам не следует отставать, поэтому немного параноидальности в наше время не повредит.
«Полиция не сможет защитить пользователей. Людям нужно быть более осведомленными и больше знать о таких вещах, как кража личности. Нужно быть немного умнее, немного сообразительнее… Нет ничего плохого в том, чтобы быть скептиком. Мы живем в такое время, что, если у вас легко украсть, кто-нибудь обязательно воспользуется возможностью», — говорит Фрэнк Уильям Абаньяле.
Социальная инженерия и социальные хакеры
Введение
Для кого и о чем эта книга
Предметом книги является рассмотрение основных методов социальной инженерии – по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути, это книга о роли человеческого фактора в защите информации. О человеческом факторе в программировании выходило несколько хороших книг, одна из них, книга Ларри Константина, так и называется «Человеческий фактор в программировании». Это, пожалуй, единственная книга на данную тему, переведенная на русский язык. Вот что пишет автор в предисловии к этой книге: «Хорошее программное обеспечение создается людьми. Так же как и плохое. Именно поэтому основная тема этой книги – не аппаратное и не программное обеспечение, а человеческий фактор в программировании (peopleware)». Несмотря на то, что книга Л. Константина скорее по психологии, чем по программированию, первое издание книги было признано классическим трудом в области информационных технологий.
Информация тоже защищается людьми, и основные носители информации – тоже люди, со своим обычным набором комплексов, слабостей и предрассудков, на которых можно играть и на которых играют. Тому, как это делают и как от этого защититься, и посвящена данная книга. Исторически так сложилось, что хакерство с использованием человеческого фактора называют «социальной инженерией», поэтому наша книга так и называется «Социальная инженерия и социальные хакеры».
Защититься от социальных хакеров можно только зная их методы работы. Наша цель, как авторов книги, – ознакомить читателей с этими методами, чтобы лишить социальных хакеров их главного козыря: неискушенности их жертв в вопросах мошенничества и методах скрытого управления человеком. Мы также надеемся, что изучение материала книги будет полезным для читателей не только в профессиональном, но и в жизненном плане. Ведь изучение тех разделов психологии, о которых мы будем говорить в этой книге, позволит вам взглянуть на окружающую действительность глазами психолога. Поверьте, это большое удовольствие и большая экономия нервов, сил и времени.
Авторы предлагаемой книги пришли к социальному программированию и основным его концепциям, с одной стороны (и большей частью), через программирование, связанное с защитой информации, а с другой – через одно из направлений нашей профессиональной деятельности, связанное с проектированием и установкой средств защиты информации от несанкционированного доступа, систем охранной сигнализации, систем контроля доступа и т. д. Анализируя причины и методы взлома ПО или каналы утечки информации из различных структур, мы пришли к очень интересному выводу о том, что примерно в восьмидесяти (!) процентах причина этого – человеческий фактор сам по себе или умелое манипулирование оным. Хотя это наше открытие, безусловно, не ново. Потрясающий эксперимент провели английские исследователи. Не мудрствуя лукаво, они разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования. На это письмо ответило 75% сотрудников компании, вложив в письмо свой пароль. Как говорится, комментарии излишни. Не нужно думать, что это просто люди такие глупые попались. Вовсе нет. Как мы увидим дальше, человеческие поступки тоже вполне неплохо программируются. И дело здесь не в умственном развитии людей, которые попадаются на подобные удочки. Просто есть другие люди, которые очень неплохо владеют языком программирования человеческих поступков. Сейчас интерес к социальной инженерии очень высок. Это можно заметить по многим признакам. К примеру, пару лет назад по запросу «социальная инженерия» в поисковой системе Google было только 2 ссылки. Теперь же их сотни… Известный хакер К. Митник, использующий для взломов методы социальной инженерии, выступает с лекциями в гостинице «Редиссон-Славянская» для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций… По социальной инженерии стали устраивать конференции, в ряде университетов собираются вводить курсы лекций на эту тему…
Однако у многих лекций и опубликованных статей, с которыми ознакомились авторы, есть несколько серьезных недостатков. Во-первых, не объясняется психологическая подоплека применяемых приемов. Авторы статей просто говорят: «Это делается так-то». А почему именно так – никто не объясняет. В лучшем случае приводятся фразы: «в основе этого приема лежат принципы нейролингвистического программирования», что, правда, запутывает еще больше. Иногда еще говорят, что «для того, чтобы не стать жертвой социальных хакеров, нужно развивать в себе психологическое чутье». О том, куда за этим самым чутьем сходить и где его приобрести, тоже ничего не говорится. И, наконец, третий и, пожалуй, самый серьезный недостаток публикуемых в настоящее время статей по социальной инженерии состоит в том, что большинство примеров, которые в них приводятся – надуманные («киношные»), которые в реальной жизни не сработают. Читатель, изучая этот пример, понимает, что если к нему заявится такой хакер, он его непременно раскусит. Что правда: такого, – раскусит. Но когда к нему приходит настоящий, – он выкладывает ему самые сокровенные секреты. Предлагаемая книга призвана, с одной стороны, устранить эти недостатки и дать читателю реальный психологический минимум, который лежит в основе «социального хакерства». С другой стороны, в книге много реальных, а не выдуманных примеров, что тоже поможет читателю в освоении материала, и покажет основные приемы, которыми действуют социальные хакеры. Прочитав эту книгу, читатели будут в немалой степени защищены от подобных манипуляций. И еще одно небольшое замечание. Во многих местах книга написана в стиле учебника по социальной инженерии. Таким образом, мы нередко писали так, как если бы обучали читателей методам социальной инженерии. Это не из-за того, что нам хотелось научить читателей методам мошенничества, а потому, что очень часто, для того чтобы распознать манипулятора, нужно знать, как он действует, вжиться в эту роль… Не для того, чтобы кого-то «охмурить», а только для того, чтобы суметь предвидеть опасность и предсказать дальнейшие действия.
Книга будет в одинаковой степени полезна представителям трех видов профессий: IT-специалистам, сотрудникам служб безопасности предприятий и психологам, изучающих социальную инженерию. В первую очередь, книга будет интересна IT-специалистам, причем самого широкого круга профессий: программистам, системным и сетевым администраторам, специалистам по компьютерной безопасности и т. д. Хотя бы потому, что за кражу ценной информации из «недр компьютера» спрашивают именно с IT-специалистов. И именно им в первую очередь приходится «расхлебывать» последствия такой кражи. Нередко на плечи IT-специалистов ложится и выяснение причин утечки информации. В силу этого многие зарубежные университеты уже вводят для специалистов по компьютерной безопасности курс лекций по основам социальной психологии. Книга будет интересна также и «рядовым» пользователям ПК, поскольку именно они наиболее часто выбираются социальными хакерами в качестве наиболее удобных мишеней.
Психологам книга будет интересна по причине того, что в ней впервые изложены основные принципы социальной инженерии и показано, на каких психологических концепциях она базируется. Сотрудникам служб безопасности она полезна по причине того, что за несанкционированное проникновение на объект отвечают именно они, а такие проникновения очень часто строятся на использовании «человеческого фактора».
Читатели книги смогут задать любой вопрос, посвященный методам социального программирования, на специальном форуме на сайте авторов.
Благодарности
Авторы выражают признательность сотрудникам издательства «БХВ-Петербург», благодаря которым наша рукопись увидела свет.
Часть I
Что такое социальная инженерия и кто такие социальные хакеры
В первой части обсуждаются основные концепции социальной инженерии и социального хакерства. Первая глава, как обычно, – это введение в обсуждаемый вопрос, а во второй главе приведены различные примеры использования методов социальной инженерии.
Глава 1. Социальная инженерия – один из основных инструментов хакеров XXI века
Глава 2. Примеры взломов с помощью методов социальной инженерии
Глава 3. Примеры социального программирования
Глава 4. Построение социальных файрволов
Глава 5. Психологические аспекты подготовки социальных хакеров
Глава 1
Социальная инженерия – один из основных инструментов хакеров XXI века
…В начале февраля 2005 года многие специалисты по информационной безопасности нашей страны ждали выступления К. Митника, известного хакера, который должен был рассказать о том, какую опасность представляет собой социальная инженерия, и какими методами пользуются социальные инженеры (которых мы в дальнейшем будем называть социальными хакерами). Увы, ожидания не очень-то оправдались: Митник рассказал лишь об основных положениях социальной инженерии. И много говорил о том, что методы социальной инженерии используют преступники всего мира для получения самой различной засекреченной информации. По мнению многих участников встречи, слушать было интересно, т. к. человек действительно очень обаятельный, но никаких особых тайн раскрыто не было.
Примечание
Кевин Митник – известный хакер, которому противостояли лучшие эксперты по защите информации из ФБР, и осужденный в 90-х годах правосудием США за проникновение во многие правительственные и корпоративные секретные базы. По мнению многих экспертов, Митник не обладал ни значительной технической базой, ни большими познаниями в программировании. Зато он обладал искусством общения по телефону в целях получения нужной информации и того, что сейчас называют «социальной инженерией».
То же самое можно сказать и о его книгах – никаких особенных откровений там нет. Мы совершенно не исключаем, что Митник это все прекрасно знает, более того, мы даже в этом почти уверены, только, к сожалению, он ничего из того, что действительно знает, не рассказывает. Ни в своих выступлениях, ни в книгах.
Примечание
Что, наверное, в общем-то, и неудивительно, т. к. ФБР взялось тогда за него очень плотно, показав, кто в доме хозяин, и нервы ему подергали изрядно. Было и множество объяснений, и запрет на работу с ЭВМ в течение нескольких лет, и тюремное заключение. Не стоит удивляться тому, что после таких перипетий он стал весьма законопослушным человеком, и не будет не то какие-то секретные базы похищать, но даже и о не секретных вещах станет говорить с большой осторожностью.
В результате таких недоговорок социальная инженерия представляется этаким шаманством для избранных, что не так. Более того, есть еще один важный момент. Во многих описаниях атак пропускаются целые абзацы, если не страницы. Это мы вот к чему. Если взять конкретно схемы некоторых, наиболее интересных атак, и попытаться их воспроизвести согласно написанному, то, скорее всего, ничего не выйдет. Потому что многие схемы К. Митника напоминают примерно такой диалог.
– Вася, дай пароль, пожалуйста!
– Да на! Жалко мне, что ли для хорошего человека.
Разбор же этой «атаки» напоминает примерно следующее: «Вася дал социальному хакеру, потому что он с рождения не умел говорить «Нет!» незнакомым людям. Поэтому основной метод противодействия социальным инженерам – это научиться говорить «Нет»». …Может быть, эта рекомендация и подходит для Америки, но, боюсь, что не для России, где большинство скорее не умеют говорить «Да», а «Нет» у всех получается весьма неплохо. Действительно, есть тип людей, которые органически не могут отказать другому человеку, но, во-первых, таких людей немного, а всех остальных нужно к такому состоянию подводить. А о том, как подводить, не сказано ни слова.
Примечание
О психологической типологии и о том, как эти знания использовать в социальной инженерии, мы подробно поговорим в приложении 2.
Вот примерно это и имеется в виду, когда мы говорим, что у Митника нередко пропускаются целые абзацы. Можно допустить, что первая фраза могла иметь место в начале, а вторая – в конце разговора. Но между ними было еще очень многое и самое интересное. Потому что, чтобы все было так просто, нужно человека погрузить либо в глубокий гипноз, либо вколоть ему «сыворотку правды». Но даже если это так и было, то об этом тоже нужно писать.
В жизни же происходит, как правило, по-другому. И пароли говорят, и базы выносят, не потому что не просто «нет» ответить не могут, а потому что «нет» отвечать бывает, …очень не хочется. А для того, чтобы человеку, который владеет какой-то серьезной информацией, очень сложно было ответить «нет», нужно его подвести к такому состоянию. Проследив за ним, скажем, в течение недельки. Вдруг что интересное обнаружиться? Может он сам «засланный казачок» или по вечерам на конкурентов подрабатывает, а может дело то вообще серьезнее обстоит: по вечерам он подрабатывает не на конкурентов, а ходит в публичный дом …для людей с нетрадиционной сексуальной ориентацией, и, будучи для всех прочих примерным семьянином, очень не хочет, чтобы об этом кто-то узнал. Вот имея примерно такую информацию, к нему же можно смело подходить и говорить:
– Вася, а ну скажи-ка мне все пароли, которые знаешь. И доступ мне в свою сеть открой, чтобы я время попусту не терял.
И вот в этом случае уже очень многие Васи ответят:
– Да на, пожалуйста. И пароли дам и доступ открою. Жалко мне, что ли для хорошего человека…
На языке разведчиков это называется «вербовка». И если вдруг в вашей организации все куда-то исчезает, все пароли кому-то известны, подумайте о том, не сел ли кто «на хвост» кому-то из ваших сотрудников. Вычислить того, на кого сели, и тех, кто сел, обычно бывает не сложно. Умные сотрудники служб безопасности, кстати, прежде чем доверять людям ключевые посты, обычно очень сильно его проверяют на предмет, скажем так, слабых сторон кандидата на должность. И следят за ним, и тесты всякие умные устраивают, чтобы знать, что за человек работать пришел.
…Это вступление написано не для того, чтобы покритиковать К. Митника – каждого из нас есть за что покритиковать – а для того, чтобы показать, что в социальной инженерии не все так просто, как это иногда преподносится, и относиться к этому вопросу нужно серьезно и вдумчиво. Теперь, после этого вступления, как говорится, давайте начнем.
Компьютерная система, которую взламывает хакер, не существует сама по себе. Она всегда содержит в себе еще одну составляющую: человека. Образно выражаясь, компьютерную систему можно представить следующей простой схемой (рис. 1.1).
Рис. 1.1. Основные варианты взлома компьютерной системы (человек – с карикатуры Х. Бидструпа)
Задача хакера состоит в том, чтобы взломать компьютерную систему. Поскольку, как мы видим, у этой системы две составляющие, то и основных путей ее взлома соответственно два. Первый путь, когда «взламывается компьютер», мы назовем техническим. А социальной инженерией называется то, когда, взламывая компьютерную систему, вы идете по второму пути и атакуете человека, который работает с компьютером. Простой пример. Допустим, вам нужно украсть пароль. Вы можете взломать компьютер жертвы и узнать пароль. Это первый путь. А пойдя по второму пути, вы этот же самый пароль можете узнать, попросту спросив пароль у человека. Многие говорят, если правильно спросить.
По мнению многих специалистов, самую большую угрозу информационной безопасности, как крупных компаний, так и обычных пользователей, в следующие десятилетия будут представлять все более совершенствующиеся методы социальной инженерии, применяемые для взлома существующих средств защиты. Хотя бы потому, что применение социальной инженерии не требует значительных финансовых вложений и досконального знания компьютерных технологий. Так, к примеру, Рич Могулл, глава отдела информационной безопасности корпорации Gartner, говорит о том, что «социальная инженерия представляет из себя более серьезную угрозу, чем обычный взлом сетей. Исследования показывают, что людям присущи некоторые поведенческие наклонности, которые можно использовать для осторожного манипулирования. Многие из самых вредоносных взломов систем безопасности происходят и будут происходить благодаря социальной инженерии, а не электронному взлому. Следующее десятилетие социальная инженерия сама по себе будет представлять самую высокую угрозу информационной безопасности». Солидарен с ним и Роб Форсайт, управляющий директор одного из региональных подразделений антивирусной компании Sophos, который привел пример «о новом циничном виде мошенничества, направленного на безработных жителей Австралии. Потенциальная жертва получает по электронной почте письмо, якобы отправленное банком Credit Suisse, в котором говорится о свободной вакансии. Получателя просят зайти на сайт, представляющий собой почти точную копию настоящего корпоративного сайта Credit Suisse, но в поддельной версии представлена форма для заполнения заявления о приеме на работу. А за то, чтобы рассмотрели заявление, «банк» просил пусть символические, но деньги, которые требовалось перевести на такой-то счет. Когда же деньги перевели весьма много человек, сумма получилась уже не столь символическая. Фальшивый сайт сделан столь мастерски, что экспертам потребовалось время, чтобы убедиться, что это подделка. Стоит признать, что злоумышленники применили довольно хитрую комбинацию технологий. Их цель – самые нуждающиеся члены общества, т. е. те, кто ищет работу. Это как раз те люди, которые могут поддаться на такого рода провокацию», – говорится в словах Форсайта. Энрике Салем, вице-президента компании Symantec, вообще считает, что такие традиционные угрозы, как вирусы и спам, – это «проблемы вчерашнего дня», хотя компании обязательно должны защищаться и от них. Проблемой сегодняшнего дня Салем называет фишинг с использованием методов социальной инженерии.
Примечание
Подробно о фишинге – в главе 2.
Почему же многие исследователи считают, что социальная инженерия станет одним из основных инструментов хакеров XXI века? Ответ прост. Потому что технические системы защиты будут все больше и больше совершенствоваться, а люди так и будут оставаться людьми со своими слабостями, предрассудками, стереотипами, и будут самым слабым звеном в цепочке безопасности. Вы можете поставить самые совершенные системы защиты, и все равно бдительность нельзя терять ни на минуту, потому что в вашей схеме обеспечения безопасности есть одно очень ненадежное звено – человек. Настроить человеческий брандмауэр, иначе говоря файрвол (firewall), – это самое сложное и неблагодарное дело. К хорошо настроенной технике вы можете не подходить месяцами. Человеческий брандмауэр нужно подстраивать постоянно. Здесь как никогда актуально звучит главный девиз всех экспертов по безопасности: «Безопасность – это процесс, а не результат». Очень простой и часто встречающийся пример. Пусть вы директор, и у вас очень хороший сотрудник, который, по вашему мнению, ну уж никогда ничего никому не продаст и никого не продаст. В следующем месяце вы понизили ему зарплату, скажем, по тем или иным причинам. Пусть даже эти причины весьма объективны. И ситуация резко изменилась: теперь за ним глаз да глаз, потому что он места себе не находит от обиды, он уже вас убить готов, что уж тут говорить о каких-то внутрикорпоративных секретах.
Замечу также, что для того, чтобы заниматься обеспечением безопасности, особенно в части настройки «человеческих файрволов», нужно обладать устойчивой нервной и психической системой. Почему, вы поймете из следующей прекрасной фразы А. Эйнштейна, которую мы, вслед за Кевином Митником, не можем не повторить: «Можно быть уверенным только в двух вещах: существовании вселенной и человеческой глупости, и я не совсем уверен насчет первой».
Что взломать легче: ваше ПО или вашего сотрудника
Претекстинг (триггер — доверие)
Хакер представляется сотрудником или подрядчиком компании. По подготовленному сценарию (претексту) он извлекает нужные ему данные. Как правило, мошенник уже добыл реальную информацию о компании или сотрудниках и использует ее в своих сообщениях, чтобы не вызвать подозрений. Чаще всего ложные сообщения прилетают в Skype, через телефон, электронную почту и пр.
Фишинг (триггер — страх)
Часто это выглядит как электронное письмо, которое выглядит как официальное сообщение, например, от банка. В письме — форма для ввода персональных данных (логин, пароль, девичья фамилия матери и пр.) или ссылка на сайт с такой формой. Ввел и все — попалась золотая рыбка.
Троянский конь (триггер — любопытство)
Это простое электронное письмо с файлом во вложении: обновление софта, фотка-компромат коллеги, документ от начальника и пр. Но по факту — вирус, который после запуска на компьютере, собирает и передает и/или изменяет информацию на компьютере-носителе.
Кви про кво (триггер — страх)
Обычно это происходит так: в компанию звонит «технический специалист» и говорит, что в компании какие-то проблемы и их нужно срочно устранить. А как что зачем — все расскажет, только нужно четко следовать его инструкциям. В этих инструкциях и скрыты нежелательные команды или установка программного обеспечения.
Дорожное яблоко (триггер — любопытство и о, халява)
Обращали внимание на бесхозные халявные флэшки? Халява может дорого стоить. Такие физические носители мошенники специально оставляют в общедоступных местах (прямо на рабочем месте сотрудника или в туалете — забыл что ли кто?). Для пущей убедительности негодяи даже наносят на носители логотип компании!
Обратная социальная инженерия (триггер — лень)
Хакер создает ситуацию, в которой человек сам обращается к нему. Например, сотруднику приходит письмо с контактами обслуживающей организации, и затем вдруг выходит из строя компьютер или интернет. Этот сотрудник сам звонит мошенникам по указанному в письму телефону, обратившись за помощью. Пока те «помогают», они получают необходимые им данные.
4 причины, почему они легко взломают вашу систему — СКБ Контур
Фишинг — кибератака нашего времени
Сегодня один из самых популярных способов атаки посредством техник социальной инженерии — фишинг. Для осуществления этой атаки злоумышленники создают интернет-страницы, похожие на легальные, вынуждают пользователей зайти на них (путем организации почтовых рассылок, фишинг-сообщений, маскировки под обычные ссылки и т д.), а затем — ввести свои логины и пароли. Таким образом мошенники получают доступ к аккаунтам в социальных сетях, банковским счетам, корпоративным учетным записям пользователей.
Кроме подделки интернет-страниц, злоумышленники часто маскируют вредоносные элементы под легальные письма электронной почты. В файлы офисного пакета (.doc,.xls,.ppt и др.) встраивают макровирусы — вирусы, написанные на языке сценариев программ из офисного пакета. Таким способом распространяется, например, вирус-шифровальщик.
«Взлом» оператора call-центра
Еще одно любимое и прибыльное занятие для хакеров-социнженеров — получение конфиденциальных персональных данных: медицинских диагнозов, сведений о состоянии банковских счетов, детализаций расходов от операторов сотовой связи. Для доступа к этой информации злоумышленники обращаются в call-центры и по заранее продуманному сценарию пытаются выудить необходимые данные в обход правил их выдачи (такая атака называется претекстинг). В этом случае единственный барьер к получению информации — оператор call-центра, поэтому хакеры используют всевозможные методы манипуляции и приемы социальной инженерии.
Технологии меняются, люди — нет
Несмотря на то что существует огромное количество техник, использующих социальную инженерию, перечисленные выше методы на данный момент охватывают более 90 % всех атак на конфиденциальную информацию. Следует отметить, что с течением времени некоторые методы становятся неактуальными, постоянно появляются новые способы хищения информации, но принципы таких атак и причины их успеха остаются теми же. Социальная инженерия использует особенности строения человеческой психики, скорость изменения которой намного медленнее, чем скорость генерации все новых и новых способов атак.
Залог успеха социнженерии
Какие особенности человеческой психики делают атаки социальных хакеров успешными?
1. Сильные положительные и отрицательные эмоции: страх, гнев, паника, радость, азарт, возбуждение. Эмоциональный подъем может притупить внимание и логику. У человека на некоторый период теряется способность рационально анализировать свои действия, и вероятность успешного прохождения атаки очень высока.
2. Нервная перегрузка, стресс. Всем знакома сильная загруженность на работе: коллеги ушли в отпуск, заканчивается очередной квартал, приближаются дедлайны… В такие периоды люди часто испытывают сильную перегрузку. Именно она может стать одним из серьезных факторов успешного прохождения атаки. В стрессовые моменты человек перестает должным образом обрабатывать информацию, занимая пассивную позицию в устном или письменном диалоге. Зная, когда сотрудники определенной организации испытывают нервное напряжение, злоумышленник легко может использовать эту человеческую уязвимость. Получив письмо с «сюрпризом», сотрудник с большой вероятностью может проигнорировать предупреждения безопасности и открыть вложение.
3. Чувство долга. Большинство из нас использует в своей жизни правило взаимного обмена, которое заставляет вернуть услугу, оказанную другими людьми, какой бы малой и незначительной она ни была. Этот принцип широко применяется в обратной социальной инженерии. Метод заключается в том, что жертва сама выдает конфиденциальную информацию злоумышленнику. Выглядит абсурдно, но многие люди не испытывают сомнений в порядочности, например, службы ИТ, охотно сообщая свои пароли для решения проблем. Принцип взаимного обмена в обратной социальной инженерии работает следующим образом: хакер провоцирует сбой или вызывает иллюзию сбоя процесса работы пользователя и сам предлагает решить возникшую проблему. Человек, чувствуя себя обязанным за оказываемую помощь, желая ускорить процесс и оказать ответную услугу (пусть и подсознательно), сообщает конфиденциальные данные (логин, пароль и т д.).
4. «Любопытной Варваре на базаре нос оторвали….». Не всегда злоумышленники пользуются сложными трюками и психологическими приемами: иногда достаточно использовать обычную человеческую слабость — любопытство. Для хакера не составляет труда сконструировать письмо с вирусом-шифровальщиком, описать файл как «Зарплата топ-менеджмента» и разослать «сюрприз» с подложных адресов. Если пользователю дать выбор между возможностью узнать интересную информацию или отказаться от этого во имя безопасности, пользователь, скорее всего, выберет первое.
Решения нет, но бороться можно
Список подобных методов манипуляций довольно велик, из чего можно сделать вывод, что проблема социальной инженерии в информационной безопасности стоит очень остро. Актуальной эта проблема останется и в ближайшие десятилетия: такие уязвимости человеческой психики устранить, по всей видимости, не представляется возможным. Поэтому противодействие атакам социальной инженерии должно быть комплексным, а не состоять из применений всего лишь нескольких методик. Во второй части статьи будет предложен многоуровневый, комплексный подход, основанный на принципе защиты от социальных хакеров «в глубину» («defense-in-depth»).
Защитите персональные данные и конфиденциальную информацию
Узнать больше
Александр Власов, старший инженер отдела внедрения систем защиты информации компании СКБ Контур
Социальная инженерия и социальные хакеры — Введение
Для кого эта книга
Предметом книги является рассмотрение основных методов социальной инженерии — по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути,это книга о роли человеческого фактора в защите информации.
О человеческом факторе в программировании выходило несколь-ко хороших книг, одна из них, книга Ларри Константина, так иназывается "Человеческий фактор в программировании". Это,пожалуй, единственная книга на данную тему, переведенная нарусский язык. Вот что пишет автор в предисловии к этой книге:"Хорошее программное обеспечение создается людьми. Так жекак и плохое. Именно поэтому основная тема этой книги — неаппаратное и не программное обеспечение, а человеческий фак-тор в программировании (peopleware)". Несмотря на то, что книгаЛ. Константина скорее по психологии, чем по программирова-нию, первое издание книги было признано классическим трудомв области информационных технологий.Информация тоже защищается людьми, и основные носителиинформации — тоже люди, со своим обычным набором комплек-сов, слабостей и предрассудков, на которых можно играть и накоторых играют. Тому, как это делают и как от этого защититься,и посвящена данная книга. Исторически так сложилось, что ха-керство с использованием человеческого фактора называют "со-циальной инженерией", поэтому наша книга так и называется"Социальная инженерия и социальные хакеры".Защититься от социальных хакеров можно только зная их методыработы. Наша цель, как авторов книги, — ознакомить читателей сэтими методами, чтобы лишить социальных хакеров их главногокозыря: неискушенности их жертв в вопросах мошенничества иметодах скрытого управления человеком. Мы также надеемся,что изучение материала книги будет полезным для читателей нетолько в профессиональном, но и в жизненном плане. Ведь изу-чение тех разделов психологии, о которых мы будем говорить вэтой книге, позволит вам взглянуть на окружающую действи-тельность глазами психолога. Поверьте, это большое удовольст-вие и большая экономия нервов, сил и времени.Авторы предлагаемой книги пришли к социальному программи-рованию и основным его концепциям, с одной стороны (и боль-шей частью), через программирование, связанное с защитой ин-формации, а с другой — через одно из направлений нашей про-фессиональной деятельности, связанное с проектированием иустановкой средств защиты информации от несанкционирован-ного доступа, систем охранной сигнализации, систем контролядоступа и т. д. Анализируя причины и методы взлома ПО или ка-налы утечки информации из различных структур, мы пришли кочень интересному выводу о том, что примерно в восьмидесяти(!) процентах причина этого — человеческий фактор сам по себеили умелое манипулирование оным. Хотя это наше открытие,безусловно, не ново. Потрясающий эксперимент провели англий-ские исследователи. Не мудрствуя лукаво, они разослали сотруд-никам одной крупной корпорации письма якобы от системногоадминистратора их компании с просьбой предоставить свои па-роли, поскольку намечается плановая проверка оборудования. Наэто письмо ответило 75% сотрудников компании, вложив в пись-мо свой пароль. Как говорится, комментарии излишни. Не нужнодумать, что это просто люди такие глупые попались. Вовсе нет.Как мы увидим дальше, человеческие поступки тоже вполне не-плохо программируются. И дело здесь не в умственном развитиилюдей, которые попадаются на подобные удочки. Просто естьдругие люди, которые очень неплохо владеют языком програм-мирования человеческих поступков.Сейчас интерес к социальной инженерии очень высок. Это можнозаметить по многим признакам. К примеру, пару лет назад по за-просу "социальная инженерия" в поисковой системе Google былотолько 2 ссылки. Теперь же их сотни... Известный хакер К. Мит-ник, использующий для взломов методы социальной инженерии,выступает с лекциями в гостинице "Редиссон-Славянская" длятоп-менеджеров крупных IT-компаний и специалистов служббезопасности корпораций... По социальной инженерии стали уст-раивать конференции, в ряде университетов собираются вводитькурсы лекций на эту тему...Однако у многих лекций и опубликованных статей, с которымиознакомились авторы, есть несколько серьезных недостатков. Во-первых, не объясняется психологическая подоплека применяе-мых приемов. Авторы статей просто говорят: "Это делается так-то". А почему именно так — никто не объясняет. В лучшем слу-чае приводятся фразы: "в основе этого приема лежат принципынейролингвистического программирования", что, правда, запуты-вает еще больше. Иногда еще говорят, что "для того, чтобы нестать жертвой социальных хакеров, нужно развивать в себе пси-хологическое чутье". О том, куда за этим самым чутьем сходить игде его приобрести, тоже ничего не говорится. И, наконец, третийи, пожалуй, самый серьезный недостаток публикуемых в на-стоящее время статей по социальной инженерии состоит в том,что большинство примеров, которые в них приводятся — наду-манные ("киношные"), которые в реальной жизни не сработают.Читатель, изучая этот пример, понимает, что если к нему заявит-ся такой хакер, он его непременно раскусит. Что правда: тако-го, — раскусит. Но когда к нему приходит настоящий, — он вы-кладывает ему самые сокровенные секреты. Предлагаемая книгапризвана, с одной стороны, устранить эти недостатки и дать чи-тателю реальный психологический минимум, который лежит воснове "социального хакерства". С другой стороны, в книгемного реальных, а не выдуманных примеров, что тоже поможетчитателю в освоении материала, и покажет основные приемы,которыми действуют социальные хакеры. Прочитав эту книгу,читатели будут в немалой степени защищены от подобных мани-пуляций. И еще одно небольшое замечание. Во многих местахкнига написана в стиле учебника по социальной инженерии. Та-ким образом, мы нередко писали так, как если бы обучали чита-телей методам социальной инженерии. Это не из-за того, что намхотелось научить читателей методам мошенничества, а потому,что очень часто, для того чтобы распознать манипулятора, нужнознать, как он действует, вжиться в эту роль... Не для того, чтобыкого-то "охмурить", а только для того, чтобы суметь предвидетьопасность и предсказать дальнейшие действия.Книга будет в одинаковой степени полезна представителям трехвидов профессий: IT-специалистам, сотрудникам служб безопас-ности предприятий и психологам, изучающих социальную инже-нерию. В первую очередь, книга будет интересна IT-специа-листам, причем самого широкого круга профессий: программи-стам, системным и сетевым администраторам, специалистам покомпьютерной безопасности и т. д. Хотя бы потому, что за кражуценной информации из "недр компьютера" спрашивают именно сIT-специалистов. И именно им в первую очередь приходится"расхлебывать" последствия такой кражи. Нередко на плечи IT-специалистов ложится и выяснение причин утечки информации.В силу этого многие зарубежные университеты уже вводят дляспециалистов по компьютерной безопасности курс лекций по ос-новам социальной психологии. Книга будет интересна также и"рядовым" пользователям ПК, поскольку именно они наиболеечасто выбираются социальными хакерами в качестве наиболееудобных мишеней.Психологам книга будет интересна по причине того, что в нейвпервые изложены основные принципы социальной инженерии ипоказано, на каких психологических концепциях она базируется.Сотрудникам служб безопасности она полезна по причине того,что за несанкционированное проникновение на объект отвечаютименно они, а такие проникновения очень часто строятся на ис-пользовании "человеческого фактора".Читатели книги смогут задать любой вопрос, посвященный мето-дам социального программирования, на специальном форуме насайте авторов.
Благодарности
Авторы выражают признательность сотрудникам издательства"БХВ-Петербург", благодаря которым наша рукопись увиделасвет.
Глава 4. Социальная инженерия . Секреты супер хакера
Обратная социальная инженерия: Он нуждается в вашей помоши.
Социальная инженерия: ваша жертва обычно остается в недоумении.
Обратная социальная инженерия: все проблемы устраняются, вопросов не остается.
Социальная инженерия: вы почти не контролируете ситуацию.
Обратная социальная инженерия: вы полностью контролируете направление и предмет беседы.
Социальная инженерия: подготовительной работы практически не требуется.
Обратная социальная инженерия: тщательное предварительное планирование; требуется предварительное получение доступа к месту действия.
Социальная инженерия: может применяться где угодно.
Обратная социальная инженерия: применяется только в определенных условиях.
Социальная инженерия в основном исходит из предпосылки, что вы самозванец, притворяетесь, что у вас возникли затруднения и вам требуется помошь другого оператора. А вот обратная ситуация: проблемы возникают у легального пользователя системы, и он (или она) просит вас, хакера, о помоши. Помогая пользователю разрешить возникшие проблемы, хакер без особенных усилий может узнать рабочие имена и пароли. Атака с помощью ОСИ состоит из трех частей: диверсия; реклама; помошь.
Диверсия — это первый краткий контакт с определенным компьютером, во время которого хакер создает какую-либо неполадку, требующую устранения.
Реклама — информирование пользователя о том, что вы разбираетесь в вопросах из области компьютеров.
Помошь — общение с пользователем, в процессе которого вы решаете проблемы пользователя, а тот, сам того не ведая, решает ваши.
Прежде чем я начну объяснять, как применять этот метод и что он может дать, вам следует уяснить для себя, почему лучше, когда пользователь обращается к вам за помошью, а не наоборот. Давайте рассмотрим по пунктам список недостатков социальной инженерии, приведенный в предыдущей главе, чтобы показать, как обратная социальная инженерия преодолевает эти препятствия.
Преодоление недостатков социальной инженерии
Пользователь может быть предупрежден об утечках информации или знать о тактике СИ
Пытаясь подвергнуть социальной инженерии того, кто о ней знает, особенно квалифицированных программистов и других хакеров, вы вряд ли многого добьетесь. Даже если собеседник не знает о СИ как таковой, он (или она) может достаточно серьезно относиться к предупреждениям «Храните в тайне свой пароль», чтобы не купиться на вашу болтовню. Социальная инженерия рассчитана на наивных пользователей. Но ведь не все являются таковыми.
В случае ОСИ легальный пользователь обращается к вам за советом. Следовательно, он считает вас человеком, которому можно доверять, — членом компании или ее доверенным лицом, то есть тем, кто уже и так знает все пароли и протоколы. Так что у него нет причин не давать вам такую информацию. У него даже мысли подобной не возникнет — ведь ему так или иначе придется, обратившись за помошью, выложить всю подноготную.
Следует отметить, что обратная социальная инженерия не является социальной инженерией. Она подходит к проблеме разговора с пользователем с другой стороны, и пользователь, знакомый с обычными ха-керскими уловками, вряд ли сможет ее раскусить. Более того, даже если ваша жертва достаточно умна, чтобы распознать ОСИ, этот человек будет настолько озабочен возникшей у него проблемой, что не заметит происходящего. Ему (или ей) нужна ваша помощь, чтобы устранить неполадку; он понимает, что, если он не договорится с вами, вы ему не поможете.
Что такое социальная инженерия? Примеры и советы по предотвращению
Социальная инженерия — это искусство манипулировать людьми, чтобы они отказывались от конфиденциальной информации. Типы информации, которую ищут эти преступники, могут быть разными, но когда жертвами становятся отдельные лица, преступники обычно пытаются обманом заставить вас сообщить им ваши пароли или банковскую информацию или получить доступ к вашему компьютеру для тайной установки вредоносного программного обеспечения, что даст им доступ к вашему пароли и банковскую информацию, а также предоставление им контроля над вашим компьютером.
Преступники используют тактику социальной инженерии, потому что обычно легче использовать вашу естественную склонность к доверию, чем находить способы взломать ваше программное обеспечение. Например, гораздо легче обмануть кого-то, чтобы он дал вам свой пароль, чем вам попытаться взломать его пароль (если только пароль не является действительно ненадежным).
Развивается фишинг. Из этого руководства вы узнаете 11 способов, которыми хакеры пытаются заполучить ваши данные и как защитить себя.
Безопасность — это знание, кому и чему доверять.Важно знать, когда и когда не следует верить человеку на слово, и когда человек, с которым вы общаетесь, является тем, кем он себя называет. То же самое и в отношении онлайн-взаимодействия и использования веб-сайта: когда вы уверены, что веб-сайт, который вы используете, является законным или безопасным для предоставления вашей информации?
Спросите любого специалиста по безопасности, и он скажет вам, что самое слабое звено в цепочке безопасности — это человек, который принимает человека или сценарий за чистую монету. Неважно, сколько замков и засовов на ваших дверях и окнах, есть ли сторожевые собаки, системы сигнализации, прожекторы, заборы с колючей проволокой и вооруженные сотрудники службы безопасности; Если вы доверяете человеку у ворот, который говорит, что он разносчик пиццы, и впускаете его, не проверив сначала, законен ли он, вы полностью подвергаетесь риску, который он представляет.
Как выглядит атака социальной инженерии?
Письмо друга
Если преступнику удастся взломать или подобрать пароль электронной почты одного человека, он получит доступ к списку контактов этого человека, а поскольку большинство людей везде используют один пароль, они, вероятно, также имеют доступ к контактам этого человека в социальных сетях.
Как только преступник получает эту учетную запись электронной почты под своим контролем, он отправляет электронные письма всем контактам человека или оставляет сообщения на всех социальных страницах своего друга и, возможно, на страницах друзей этого человека.
Воспользовавшись вашим доверием и любопытством, эти сообщения будут:
Содержит ссылку , которую вам просто нужно проверить — и поскольку ссылка исходит от друга, и вам любопытно, вы доверяете ссылке и щелкаете — и заразитесь вредоносным ПО, чтобы преступник мог захватить вашу машину и собирайте ваши контактные данные и обманывайте их так же, как вас обманули
Содержит загружаемые изображений, музыки, фильмов, документов и т. Д., в который встроено вредоносное ПО. Если вы загрузите — что вы, скорее всего, сделаете, поскольку думаете, что это от вашего друга, — вы заразитесь. Теперь преступник имеет доступ к вашей машине, учетной записи электронной почты, учетным записям и контактам в социальных сетях, и атака распространяется на всех, кого вы знаете. И так далее.
Электронная почта из другого надежного источника
Фишинговые атаки — это разновидность стратегии социальной инженерии, которая имитирует надежный источник и придумывает, казалось бы, логический сценарий для передачи учетных данных для входа или других конфиденциальных личных данных.Согласно данным Webroot, финансовые учреждения представляют подавляющее большинство вымышленных компаний, и, согласно ежегодному отчету Verizon о расследовании утечек данных, атаки социальной инженерии, включая фишинг и предтексты (см. Ниже), являются причиной 93% успешных утечек данных.
Эти сообщения могут быть использованы под убедительной историей или предлогом:
Срочно прошу вашей помощи. Ваш друг застрял в стране X, был ограблен, избит и находится в больнице.Им нужно, чтобы вы отправили деньги, чтобы они могли вернуться домой, и они расскажут вам, как отправить деньги преступнику.
Использовать попытки фишинга с кажущимся законным фоном . Как правило, фишер отправляет электронное письмо, мгновенное сообщение, комментарий или текстовое сообщение, которое, похоже, исходит от законной, популярной компании, банка, учебного заведения или учреждения.
Попросите вас сделать пожертвование их благотворительной организации по сбору средств или на какое-либо другое дело. Скорее всего, с инструкциями, как отправить деньги преступнику. Пользуясь добротой и щедростью, эти фишеры просят помощи или поддержки в случае катастрофы, политической кампании или благотворительности, которые на мгновение становятся главными.
Представьте проблему, требующую от вас «проверки» вашей информации, щелкнув отображаемую ссылку и предоставив информацию в их форме. Расположение ссылки может выглядеть вполне законно со всеми правильными логотипами и содержанием (на самом деле, преступники могли скопировать точный формат и содержание законного сайта).Поскольку все выглядит законным, вы доверяете электронной почте и фальшивому сайту и предоставляете любую информацию, которую запрашивает мошенник. Эти типы фишингового мошенничества часто включают предупреждение о том, что произойдет, если вы не примете меры в ближайшее время, потому что преступники знают, что, если они смогут заставить вас действовать раньше, чем вы подумаете, у вас больше шансов попасться на их попытку фишинга.
Сообщите вам, что вы «победитель». Может быть, в электронном письме написано письмо от лотереи, от мертвого родственника, или от миллионного человека, перешедшего на их сайт, и т. Д.Чтобы дать вам свой «выигрыш», вы должны предоставить информацию о маршруте вашего банка, чтобы они знали, как отправить его вам, или указать ваш адрес и номер телефона, чтобы они могли отправить приз, и вас также могут попросить доказать, кто вы часто указываете свой номер социального страхования. Это «жадные фишки», когда, даже если повод для рассказа неубедителен, люди хотят того, что им предлагают, и попадают в ловушку, отдавая свою информацию, затем опустошая свой банковский счет и украшая личность.
Представьте себя начальником или коллегой. Он может запросить обновленную информацию о важном частном проекте, над которым в настоящее время работает ваша компания, информацию о платежах, относящуюся к кредитной карте компании, или какой-либо другой запрос, маскирующийся под повседневную работу.
Сценарии наживки
Эти схемы социальной инженерии знают, что если вы повесите то, что хотят люди, многие люди клюнут на эту наживку. Эти схемы часто можно найти на одноранговых сайтах, предлагающих загрузку чего-то вроде нового популярного фильма или музыки.Но схемы также можно найти на сайтах социальных сетей, вредоносных сайтах, которые вы найдете в результатах поиска, и так далее.
Или эта схема может показаться очень выгодной на тематических сайтах, аукционных сайтах и т. Д. Чтобы развеять ваши подозрения, вы можете увидеть, что у продавца хороший рейтинг (все спланировано и создано заранее).
Люди, попавшие на приманку, могут быть заражены вредоносным программным обеспечением, которое может генерировать любое количество новых эксплойтов против них самих и их контактов, могут потерять свои деньги, не получив купленный предмет, и, если они были достаточно глупы, чтобы заплатить чеком, могут обнаруживают, что их банковский счет пуст.
Ответ на вопрос, который у вас никогда не было
Преступники могут притвориться, будто отвечают на ваш запрос о помощи от компании, а также предлагают дополнительную помощь. Они выбирают компании, которыми пользуются миллионы людей, например, софтверную компанию или банк. Если вы не пользуетесь продуктом или услугой, вы проигнорируете электронную почту, телефонный звонок или сообщение, но если вы все-таки воспользуетесь услугой, есть большая вероятность, что вы ответите, потому что вам, вероятно, нужна помощь в решении проблемы. .
Например, даже если вы знаете, что изначально не задавали вопрос, у вас, вероятно, проблема с операционной системой вашего компьютера, и вы пользуетесь этой возможностью, чтобы исправить ее.Бесплатно! В тот момент, когда вы отвечаете, вы купили историю мошенника, оказали ему доверие и открылись для эксплуатации.
Представитель, который на самом деле является преступником, должен будет «аутентифицировать вас», должен ли вы войти в «его систему» или вы войдете в свой компьютер и либо предоставите им удаленный доступ к вашему компьютеру, чтобы они могли «исправить» это. для вас, или скажите вам команды, чтобы вы могли исправить это самостоятельно с их помощью — где некоторые из команд, которые они говорят вам ввести, откроют для преступника путь позже вернуться к вашему компьютеру.
Создание недоверия
Некоторая социальная инженерия — это создание недоверия или начало конфликтов; их часто делают люди, которых вы знаете и которые злятся на вас, но это также делают противные люди, просто пытающиеся сеять хаос, люди, которые хотят сначала вызвать у вас недоверие к другим, чтобы затем они могли вмешаться в качестве героя и завоевать ваше доверие, или вымогателей, которые хотят манипулировать информацией, а затем угрожают вам раскрытием.
Эта форма социальной инженерии часто начинается с получения доступа к учетной записи электронной почты или другой учетной записи связи в клиенте обмена мгновенными сообщениями, социальной сети, чате, форуме и т. Д.Они достигают этого либо путем взлома, либо с помощью социальной инженерии, либо просто угадывая действительно слабые пароли.
Злоумышленник может затем изменить конфиденциальные или личные сообщения (включая изображения и аудио), используя базовые методы редактирования, и переадресовать их другим людям, чтобы создать драму, недоверие, смущение и т. Д. Они могут создать впечатление, что оно было отправлено случайно, или появиться как будто они дают вам знать, что «на самом деле» происходит.
В качестве альтернативы они могут использовать измененный материал для вымогательства денег либо у взломанного лица, либо у предполагаемого получателя.
Существуют буквально тысячи вариантов атак социальной инженерии. Единственное ограничение на количество способов социальной инженерии пользователей с помощью такого рода эксплойтов — это воображение преступника. И вы можете столкнуться с несколькими формами эксплойтов за одну атаку. Тогда преступник, скорее всего, продаст вашу информацию другим, чтобы они тоже могли использовать свои подвиги против вас, ваших друзей, друзей ваших друзей и так далее, поскольку преступники используют неуместное доверие людей.
Не становись жертвой
Несмотря на то, что фишинговые атаки являются необузданными, недолговечными и для успешной кампании нужно всего несколько пользователей, есть способы защитить себя. Большинство из них не требует большего, чем просто обращать внимание на детали перед вами. Помните следующее, чтобы не стать жертвой фишинга.
Полезные советы:
Притормозить. Спамеры хотят, чтобы вы сначала действовали, а потом думали.Если сообщение передает ощущение срочности или использует тактику продаж с высоким давлением, отнеситесь к этому скептически; никогда не позволяйте их срочности влиять на ваше внимательное рассмотрение.
Изучите факты . С подозрением относитесь к нежелательным сообщениям. Если письмо выглядит так, как будто оно от компании, которой вы пользуетесь, проведите собственное исследование. Воспользуйтесь поисковой системой, чтобы перейти на сайт реальной компании, или телефонным справочником, чтобы найти их номер телефона.
Не позволяйте ссылке определять, где вы приземляетесь. Сохраняйте контроль, находя веб-сайт самостоятельно с помощью поисковой системы, чтобы быть уверенным, что вы попадете туда, куда собираетесь попасть. При наведении курсора на ссылки в электронном письме внизу будет отображаться фактический URL, но хорошая подделка все равно может сбить вас с пути.
Угон электронной почты процветает. Хакеры, спамеры и социальные инженеры, берущие контроль над учетными записями электронной почты людей (и другими коммуникационными аккаунтами), стали безудержными. Получив контроль над учетной записью электронной почты, они пользуются доверием контактов человека.Даже если отправителем оказывается кто-то из ваших знакомых, если вы не ожидаете письма со ссылкой или прикрепленным файлом, проверьте его у друга перед тем, как открывать ссылки или скачивать.
Остерегайтесь любой загрузки. Если вы не знаете отправителя лично и ожидаете от него файла, загрузка чего-либо будет ошибкой.
Зарубежные предложения — подделка. Если вы получаете электронное письмо от иностранной лотереи или розыгрыша, деньги от неизвестного родственника или просьбы о переводе средств из другой страны в обмен на долю денег, это гарантированно является мошенничеством.
Способы защитить себя:
Удалите все запросы финансовой информации или паролей. Если вас попросят ответить на сообщение с личной информацией, это мошенничество.
Отклонять просьбы о помощи или предложения о помощи. Законные компании и организации не обращаются к вам за помощью. Если вы специально не обращались за помощью к отправителю, рассмотрите любое предложение «помочь» восстановить кредитный рейтинг, рефинансировать дом, ответить на свой вопрос и т. Д., обман. Аналогичным образом, если вы получили запрос о помощи от благотворительной организации или организации, с которой у вас нет отношений, удалите его. Чтобы жертвовать, ищите авторитетные благотворительные организации самостоятельно, чтобы не попасться на мошенников.
Установите высокий уровень спам-фильтров . В каждой почтовой программе есть спам-фильтры. Чтобы найти свою, просмотрите параметры своих настроек и установите для них высокий уровень — просто не забывайте периодически проверять папку со спамом, чтобы убедиться, что в нее случайно попала легальная электронная почта.Вы также можете найти пошаговое руководство по настройке спам-фильтров, выполнив поиск по названию вашего почтового провайдера и по фразе «спам-фильтры».
Защитите свои вычислительные устройства . Установите антивирусное программное обеспечение, брандмауэры, фильтры электронной почты и поддерживайте их в актуальном состоянии. Настройте свою операционную систему на автоматическое обновление, и если ваш смартфон не обновляется автоматически, обновляйте его вручную всякий раз, когда вы получите уведомление об этом. Используйте средство защиты от фишинга, предлагаемое вашим веб-браузером или третьим лицом, чтобы предупредить вас о рисках.
База данных угроз Webroot содержит более 600 миллионов доменов и 27 миллиардов URL-адресов, отнесенных к категориям для защиты пользователей от сетевых угроз. Аналитика угроз, поддерживающая все наши продукты, помогает вам безопасно использовать Интернет, а наши решения для обеспечения безопасности мобильных устройств предлагают безопасный просмотр веб-страниц для предотвращения успешных фишинговых атак.
Объяснение социальной инженерии: как преступники используют человеческое поведение
Определение социальной инженерии
Социальная инженерия — это искусство использования психологии человека, а не технических приемов взлома, для получения доступа к зданиям, системам или данным.
Например, вместо того, чтобы пытаться найти уязвимость программного обеспечения, социальный инженер может позвонить сотруднику и выдать себя за сотрудника службы поддержки ИТ, пытаясь обманом заставить сотрудника раскрыть свой пароль.
Известный хакер Кевин Митник помог популяризировать термин «социальная инженерия» в 90-х годах, хотя идея и многие методы существуют с тех пор, как появились мошенники.
Даже если у вас есть все навороты, когда дело доходит до безопасности вашего центра обработки данных, ваших облачных развертываний, физической безопасности вашего здания, и вы инвестировали в защитные технологии, у вас есть правильные политики и процессы безопасности, и измерять их эффективность и непрерывно улучшать, но хитрый социальный инженер может проложить себе путь насквозь (или обойти).
Методы социальной инженерии
Социальная инженерия оказалась очень успешным способом для преступников «проникнуть внутрь» вашей организации. Как только социальный инженер получит пароль доверенного сотрудника, он может просто войти в систему и поискать конфиденциальные данные. Имея карту доступа или код для физического проникновения внутрь объекта, преступник может получить доступ к данным, украсть активы или даже причинить вред людям.
В статье «Анатомия взлома» тестер на проникновение рассказывает, как он использовал текущие события, общедоступную информацию, доступную на сайтах социальных сетей, и рубашку Cisco за 4 доллара, которую он купил в благотворительном магазине, чтобы подготовиться к незаконному проникновению.Рубашка помогла ему убедить сотрудников стойки регистрации и других сотрудников в том, что он был сотрудником Cisco, находившимся на визите технической поддержки. Оказавшись внутри, он также смог дать незаконный доступ другим членам своей команды. Ему также удалось сбросить несколько зараженных вредоносным ПО USB-накопителей и взломать сеть компании, причем все это было в поле зрения других сотрудников.
Тем не менее, вам не нужно ходить в благотворительные магазины, чтобы провести атаку социальной инженерии. Они также хорошо работают по электронной почте, телефону или в социальных сетях.Общим для всех атак является то, что они используют человеческую природу в своих интересах, подпитывая нашу жадность, страх, любопытство и даже наше желание помочь другим.
Примеры социальной инженерии
Преступникам часто требуются недели и месяцы, чтобы узнать место, прежде чем даже войти в дверь или позвонить. Их подготовка может включать в себя поиск списка телефонов компании или организационной структуры и исследование сотрудников в социальных сетях, таких как LinkedIn или Facebook.
1.По телефону
Социальный инженер может позвонить и притвориться коллегой по работе или сторонним авторитетом, которому доверяют (например, правоохранительными органами или аудитором).
2. В офисе
«Можете ли вы подержать мне дверь? У меня нет при себе ключа / карты доступа». Как часто вы слышали это в своем доме? Хотя спрашивающий может не показаться подозрительным, это очень распространенная тактика, используемая социальными инженерами.
3. Интернет
Сайты социальных сетей упростили проведение атак социальной инженерии.Сегодняшние злоумышленники могут зайти на такие сайты, как LinkedIn, найти всех пользователей, работающих в компании, и собрать много подробной информации, которая может быть использована для дальнейшей атаки.
Социальные инженеры также пользуются преимуществами последних новостей, праздников, поп-культуры и других устройств, чтобы заманить жертв. В фильме «Женщина» теряет 1825 долларов из-за мошенничества с тайным покупателем, выдаваемого за BestMark, Inc., вы видите, как преступники использовали имя известной компании по тайному покупателю для проведения своей аферы. Мошенники часто используют поддельные благотворительные фонды для достижения своих преступных целей в праздничные дни.
Злоумышленники также настроят фишинговые атаки на известные интересы (например, любимых артистов, актеров, музыку, политику, благотворительность), которые могут быть использованы, чтобы побудить пользователей нажимать на вложения, содержащие вредоносное ПО.
Известные атаки социальной инженерии
Хороший способ понять, на какие тактики социальной инженерии следует обратить внимание, — это узнать, что использовалось в прошлом. У нас есть все подробности в обширной статье по этому вопросу, но пока давайте сосредоточимся на трех методах социальной инженерии — независимо от технологических платформ — которые оказались очень успешными для мошенников.
Предложите что-нибудь сладкое. Любой мошенник скажет вам, что самый простой способ обмануть знак — это использовать собственную жадность. Это основа классической нигерийской аферы 419, в которой мошенник пытается убедить жертву помочь вывести якобы незаконно полученные деньги из своей страны в безопасный банк, предлагая взамен часть средств. Эти электронные письма о «нигерийском принце» были шуткой на протяжении десятилетий, но они по-прежнему являются эффективным методом социальной инженерии, на который люди попадают: в 2007 году казначей в малонаселенном округе Мичиган дал 1 доллар.2 миллиона государственных средств такому мошеннику в надежде лично обналичиться. Еще одна распространенная приманка — это перспектива новой, лучшей работы, чего, очевидно, слишком многие из нас хотят: в чрезвычайно досадном взломе 2011 года безопасность Компания RSA была скомпрометирована, когда по крайней мере два сотрудника нижнего уровня открыли прикрепленный к фишинговому письму файл вредоносной программы с именем «2011 recruitment plan.xls».
Подделывайте, пока не сделаете. Один из простейших — и, на удивление, самых успешных — методов социальной инженерии — это просто притвориться своей жертвой.В одном из легендарных случаев мошенничества Кевина Митника он получил доступ к серверам разработки ОС Digital Equipment Corporation, просто позвонив в компанию, назвавшись одним из их ведущих разработчиков и сказав, что у него проблемы со входом в систему; он был немедленно вознагражден новым логином и паролем. Все это произошло в 1979 году, и вы могли бы подумать, что с тех пор ситуация улучшится, но вы ошибаетесь: в 2016 году хакер получил контроль над адресом электронной почты Министерства юстиции США и использовал его, чтобы выдать себя за сотрудника, уговаривая службу поддержки, чтобы передать токен доступа к внутренней сети Министерства юстиции, сказав, что это была его первая неделя на работе, и он не знал, как что-то работает.
Во многих организациях есть барьеры, предназначенные для предотвращения такого наглого выдвижения себя за другое лицо, но их часто довольно легко обойти. Когда Hewlett-Packard наняла частных детективов, чтобы выяснить, какие члены совета директоров HP сливали информацию в прессу в 2005 году, они смогли предоставить PI последние четыре цифры номера социального страхования своих жертв, которые техническая поддержка AT&T приняла как подтверждение личности перед передачей подробных журналов вызовов.
Действуйте так, как будто вы главный. Большинство из нас настроено уважать авторитет — или, как оказывается, уважать людей, которые действуют так, будто у них есть полномочия делать то, что они делают. Вы можете использовать разную степень осведомленности о внутренних процессах компании, чтобы убедить людей, что вы имеете право находиться в местах или видеть то, чего не должны, или что сообщение, исходящее от вас, действительно исходит от кого-то, кого они уважают. Например, в 2015 году финансовые сотрудники Ubiquiti Networks переводили миллионы долларов деньгами компании мошенникам, которые выдавали себя за руководителей компании, вероятно, используя похожий URL-адрес в своем адресе электронной почты.Что касается технических проблем, то следователи, работавшие на британские таблоиды в конце 00-х — начале 10-х годов, часто находили способы получить доступ к учетным записям голосовой почты жертв, притворяясь другими сотрудниками телефонной компании с помощью явного блефа; например, один из частных лиц убедил Vodafone сбросить PIN-код голосовой почты актрисы Сиенны Миллер, позвонив и назвавшись «Джоном из отдела кредитного контроля».
Иногда мы выполняем требования внешних властей, не задумываясь об этом. Ведущий кампании Хиллари Клинтон Джон Подеста был взломан российскими шпионами в 2016 году, когда они отправили ему фишинговое письмо, замаскированное под записку от Google с просьбой сбросить пароль.Предприняв действия, которые, по его мнению, защитят его учетную запись, он фактически отдал свои учетные данные.
Профилактика социальной инженерии
Тренинги по вопросам безопасности — лучший способ предотвратить социальную инженерию. Сотрудники должны знать, что социальная инженерия существует, и знать наиболее часто используемые тактики.
К счастью, понимание социальной инженерии поддается повествованию. А рассказы намного проще для понимания и намного интереснее, чем объяснения технических недостатков.Викторины, привлекающие внимание или юмористические плакаты также служат эффективным напоминанием о том, что нельзя предполагать, что все являются теми, кем они себя называют.
Но не только рядовой сотрудник должен знать о социальной инженерии. Высшее руководство и руководители являются основными целями предприятия.
5 советов по защите от социальной инженерии
Сотрудник CSO Дэн Лорманн предлагает следующий совет:
1. Тренируйтесь и тренируйтесь снова, когда дело доходит до осведомленности о безопасности.
Убедитесь, что у вас есть комплексная программа обучения навыкам безопасности, которая регулярно обновляется для устранения как общих фишинговых угроз, так и новых целевых киберугроз. Помните, что речь идет не только о переходе по ссылкам.
2. Предоставьте ключевым сотрудникам подробный инструктаж по новейшим методам онлайн-мошенничества.
Да, включая руководителей высшего звена, но не забывайте о тех, кто имеет право осуществлять электронные переводы или другие финансовые операции.Помните, что многие правдивые истории о мошенничестве происходят с сотрудниками более низкого уровня, которых обманывают, полагая, что руководитель просит их принять срочные меры — обычно в обход обычных процедур и / или средств контроля.
3. Изучите существующие процессы, процедуры и разделение обязанностей для финансовых переводов и других важных транзакций.
При необходимости добавьте дополнительные элементы управления. Помните, что разделение обязанностей и другие меры защиты могут быть скомпрометированы в какой-то момент внутренними угрозами, поэтому может потребоваться повторный анализ анализа рисков с учетом возросших угроз.
4. Рассмотрите новые политики, связанные с «внешними» транзакциями или срочными запросами руководства.
Электронное письмо из аккаунта Gmail генерального директора должно автоматически поднять красный флаг для сотрудников, но они должны понимать новейшие методы, применяемые темной стороной. Вам нужны санкционированные действия в чрезвычайных ситуациях, которые всем хорошо известны.
5. Изучите, доработайте и протестируйте свои системы управления инцидентами и сообщениями о фишинге.
Регулярно проводите настольные учения с руководством и ключевым персоналом.Тестируйте средства управления и перепроектируйте потенциальные области уязвимости.
Инструментарий социальной инженерии
Ряд поставщиков предлагают инструменты или услуги, помогающие проводить упражнения по социальной инженерии и / или повышать осведомленность сотрудников с помощью таких средств, как плакаты и информационные бюллетени.
Также стоит обратить внимание на набор инструментов социальной инженерии social-engineering.org, который можно загрузить бесплатно. Этот инструментарий помогает автоматизировать тестирование на проникновение с помощью социальной инженерии, включая целевые фишинговые атаки, создание легитимных веб-сайтов, атаки с использованием USB-накопителей и многое другое.
Еще один хороший ресурс — Концепция социальной инженерии.
В настоящее время лучшая защита от атак социальной инженерии — это обучение пользователей и уровни технологической защиты, позволяющие лучше обнаруживать атаки и реагировать на них. Обнаружение ключевых слов в электронных письмах или телефонных звонках можно использовать для отсеивания потенциальных атак, но даже эти технологии, вероятно, будут неэффективными в остановке квалифицированных социальных инженеров.
Copyright © 2019 IDG Communications, Inc.
Атаки социальной инженерии: общие методы и способы предотвращения атаки
34 эксперта по информационной безопасности обсуждают, как предотвратить наиболее распространенные атаки социальной инженерии.
Атаки социальной инженерии не только становятся все более распространенными против предприятий и малых и средних предприятий, но и становятся все более изощренными. Поскольку хакеры разрабатывают все более изощренные методы обмана сотрудников и отдельных лиц для передачи ценных данных компании, предприятиям необходимо проявлять должную осмотрительность, чтобы оставаться на два шага впереди киберпреступников.
Атаки социальной инженерии обычно связаны с той или иной формой психологической манипуляции, заставляя ничего не подозревающих пользователей или сотрудников передавать конфиденциальные или конфиденциальные данные.Обычно социальная инженерия включает в себя электронную почту или другое общение, которое вызывает у жертвы срочность, страх или аналогичные эмоции, побуждая жертву незамедлительно раскрыть конфиденциальную информацию, щелкнуть вредоносную ссылку или открыть вредоносный файл. Поскольку социальная инженерия включает в себя человеческий фактор, предотвращение этих атак может быть сложной задачей для предприятий.
Мы хотели обучить компании, сотрудников и конечных пользователей тому, как лучше распознавать усилия социальной инженерии и предотвращать успешные атаки.Чтобы раскрыть некоторые из наиболее распространенных атак социальной инженерии, которые используются против современных предприятий, и получить советы о том, как их избежать, мы попросили группу экспертов по безопасности данных и руководителей бизнеса ответить на следующий вопрос:
«Каковы общие социальные инженерные атаки на компании, и как их предотвратить? »
Посмотрите, что наши эксперты сказали ниже:
Познакомьтесь с нашей группой экспертов по безопасности данных:
Стю Сьюверман и Кевин Митник
@StuAllard
Стю Сьюверман (произносится как «человек в душе») является основателем и Генеральный директор KnowBe4, LLC, на которой размещена самая популярная в мире интегрированная платформа обучения безопасности и имитации фишинга.Сьюверман, эксперт по безопасности данных с более чем 30-летним опытом работы в ИТ-индустрии, был соучредителем компании Sunbelt Software Inc. 500, компании, которая была приобретена в 2010 году и отмечена множеством наград. безопасности серьезно пренебрегали, Сьюверман решил помочь организациям справиться с проблемой киберпреступности с помощью тактики социальной инженерии с помощью нового учебного курса по безопасности в школах. KnowBe4 обслуживает более 1200 организаций в различных отраслях, в том числе в строго регулируемых областях, таких как здравоохранение, финансы, энергетика, правительство и страхование, и ежегодно демонстрирует взрывной рост в 300%.Сьюверман является автором четырех книг, последняя из которых — «Киберхейст: самая большая финансовая угроза для американского бизнеса».
@KevinMitnick
Кевин Митник, «самый известный хакер в мире», всемирно признанный эксперт по компьютерной безопасности с обширным опытом выявления уязвимостей сложных операционных систем и телекоммуникационных устройств. Он получил известность как высококвалифицированный хакер, проникший в некоторые из самых устойчивых компьютерных систем из когда-либо созданных.Сегодня Митник известен как консультант по информационной безопасности и основной докладчик и является автором четырех книг, в том числе бестселлера The New York Times «Призрак в проводах». Его последнее начинание — сотрудничество с KnowBe4, LLC в качестве директора по взлому.
Методы социальной инженерии
Как социальная инженерия выглядит в действии? Это может выглядеть как электронное письмо, созданное так, чтобы оно выглядело так, как будто оно было отправлено надежной организацией, например, вашей службой сообщений, Fed Ex или даже вашим банком.Но если вы откроете его и нажмете на это вложение, вы можете установить вредоносное ПО или программу-вымогатель. Или это может быть замаскировано, чтобы выглядеть так, будто оно исходит от кого-то внутри вашей организации (например, с необычным названием, например IT @ yourorganization — кем-то, кому вы доверяете). Но если вы ответите на это письмо со своим именем пользователя и паролем, ваш компьютер будет легко взломан. Правило: Подумайте, прежде чем щелкнуть .
Атаки социальной инженерии
Технический директор Symantec Security Response сказал, что злоумышленники обычно не пытаются использовать технические уязвимости в Windows.Вместо этого они преследуют вас. «Вам не нужно столько технических навыков, чтобы найти человека, который мог бы в момент слабости открыть вложение, содержащее вредоносный контент». Только около 3% вредоносных программ, с которыми они сталкиваются, пытаются использовать техническую уязвимость. Остальные 97% пытаются обмануть пользователя с помощью какой-то схемы социальной инженерии, поэтому, в конце концов, не имеет значения, является ли ваша рабочая станция ПК или Mac.
Фишинг
Наиболее распространенные атаки социальной инженерии исходят от фишинга или целевого фишинга и могут варьироваться в зависимости от текущих событий, стихийных бедствий или налогового сезона.Поскольку около 91% утечек данных происходит из-за фишинга, это стало одной из наиболее часто используемых форм социальной инженерии.
Вот некоторые из худших:
A. Судебное извещение о появлении — Мошенники рассылают фишинговые электронные письма, утверждая, что они исходят от реальной юридической фирмы под названием «Baker & McKenzie», в которой говорится, что вы должны явиться в суд и должны щелкнуть ссылка для просмотра копии судебного извещения. Если вы перейдете по ссылке, вы загрузите и установите вредоносное ПО.
Б.Программа-вымогатель IRS для возврата налогов — Многие из нас ждали до последнего момента до крайнего срока уплаты налогов 15 апреля и теперь затаили дыхание в ожидании, возможно, полезного возмещения. Проблема в том, что киберпреступники хорошо осведомлены об этом ожидании и используют тактику социальной инженерии, чтобы обмануть налогоплательщиков. Зная, что многие в Америке ждут известий от Налоговой службы о незавершенных возмещениях, кибер-мафия прилагает все усилия, чтобы первыми начать массированную фишинговую атаку с вложением вымогателя.Вложение представляет собой зараженный файл Word, содержащий полезную нагрузку программы-вымогателя и шифрующий файлы незадачливого конечного пользователя, открывшего вложение, а также все подключенные сетевые диски, если таковые имеются.
C. Исследователи из Proofpoint недавно обнаружили фишинговую кампанию , которая возникла из избранных объявлений о вакансиях на CareerBuilder. Воспользовавшись системой уведомлений, которую использует портал вакансий, злоумышленник загрузил вредоносные вложения вместо резюме, что, в свою очередь, заставило CareerBuilder действовать как средство доставки фишинговых писем.
Мошенничество одновременно простое и сложное. Это просто, потому что злоумышленник использовал известный сайт вакансий для нацеливания на пул желающих получателей электронной почты, и сложный, потому что доставленное вредоносное ПО развертывалось поэтапно.
Атака начинается с отправки вредоносного документа Word (с именем resume.doc или cv.doc) в объявление о вакансии. В CareerBuilder, когда кто-то отправляет документ в список вакансий, создается электронное письмо с уведомлением для человека (лиц), разместившего вакансию, и прилагается вложение.
D. В июне прошлого года полицейское управление Дарема, штат Нью-Гэмпшир, стало жертвой программы-вымогателя , когда сотрудник нажал на письмо, которое выглядело вполне законно. Пострадали многие другие полицейские управления, включая Суонси и Тьюксбери, Массачусетс, Шериф округа Диксон (Теннесси) и другие. На данный момент основным средством заражения, по-видимому, являются фишинговые электронные письма, содержащие вредоносные вложения, фальшивые уведомления об отслеживании FedEx и UPS и даже всплывающие окна с рекламой.
Вот несколько видов мошенничества с социальной инженерией, выполняемых с помощью фишинга:
Мошенничество с банковскими ссылками : хакеры отправляют вам электронное письмо с фальшивой ссылкой на ваш банк, заставляя вас ввести свой банковский идентификатор и пароль.
Об ограблении на миллиард долларов, охватывающем 30 стран, и о потерянных средствах почти на миллиард долларов, прозванном фирмой Kaspersky по прозвищу Carbanak, в феврале 2015 года было много сообщений.
В рамках мошенничества Carbanak сотрудникам, заражавшим работу, рассылались электронные письма с адресным фишингом. Станции, и оттуда хакеры проникли глубже в системы банков, пока они не контролировали станции сотрудников, которые позволяли им делать денежные переводы, управлять банкоматами удаленно, изменять информацию об учетных записях и вносить административные изменения.
Это была довольно стандартная схема: письмо со ссылкой, которая выглядела так, будто пришла от коллеги, содержало вредоносный код, который распространялся оттуда, как цифровой риновирус. Хакеры записали все, что происходило на пораженных компьютерах, чтобы узнать, как организация работает. Освоив систему, они использовали ее для серии транзакций, которые включали в себя сбои в банкоматах, а также практику искусственного раздувания банковских балансов с последующим выкачиванием этой суммы, так что баланс счета клиента может вырасти с 1000 до 10000 долларов, а затем 9000 долларов пойдут хакеру.
Мошенничество с факсом с уведомлением : Это фальшивая ссылка на фальшивый факс. Но это нанесет реальный ущерб вашему ПК. Это довольно распространено, особенно для фирм, которые все еще активно используют факсы, например, для управления документами, титульных компаний, страховых и других компаний, предоставляющих финансовые услуги.
Мошенничество со ссылками на Dropbox : У нас есть сюрприз, ожидающий вас в Dropbox.
Пара вариантов этого была запущена в 2014 году. Один из них представлял собой поддельное фишинговое письмо для сброса пароля Dropbox, которое при нажатии приводило пользователей на страницу с сообщением, что их браузер устарел и им необходимо обновить его (с помощью «кнопки» на Обновить).Это запустит троян из семейства вредоносных программ Zeus.
Еще одно электронное письмо со ссылками на Dropbox, на котором размещалось вредоносное ПО, такое как «CryptoWall», вымогатель.
Секретарь суда Ссылка на жалобу Мошенничество : Вот фальшивая ссылка, подтверждающая вашу жалобу. Что-то подсказывает нам, что вы очень скоро будете жаловаться на что-то еще.
Одна из версий используется некоторое время. См. A. выше.
Мошенничество со ссылкой на сообщение в Facebook : Вин Дизель только что умер.Узнайте, что ваш компьютер будет продавать ромашки по этой ссылке.
Это обычно используется, когда знаменитость умирает. Это было использовано с Робином Уильямсом, когда он скончался с прощальным видео Робина Уильямса. Появилось поддельное фишинговое сообщение Facebook, в котором пользователям предлагалось щелкнуть ссылку и посмотреть эксклюзивное видео Робина Уильямса, прощающегося по мобильному телефону. Конечно, видео не было, и ссылка вела на поддельную новостную страницу BBC, которая пыталась обманом заставить кликеров нажимать на другие ссылки, что приводило к мошенническим онлайн-опросам.
Так как мы обучаем других и активно создаем тестовые фишинговые кампании для наших клиентов, мои сотрудники на днях пытались меня с помощью социальной инженерии, пытаясь поймать меня как розыгрыш.
Это была двухэтапная атака, пытающаяся заставить меня раскрыть свои учетные данные. Они подделали нашего директора по персоналу и прислали мне электронное письмо ниже. Это пример очень высокой операционной сложности, типичный для китобойных атак высшего уровня, тех случаев, когда человек подвергается попыткам целевого фишинга, потому что он хранит ценную информацию или обладает влиянием в организации.Они сделали свою домашнюю работу и знали, что я активен на форуме SpiceWorks для ИТ-администраторов.
10:45 AM (1 час назад)
по адресу: stus
Stu,
Я заметил, что пользователь с именем securitybull72 (утверждающий, что сотрудник) на форуме по безопасности опубликовал несколько негативных комментариев о компании в целом (главным образом о вознаграждении руководителей) и о вас в частности (переплаченные и некомпетентные).Он привел подробные примеры своих разногласий и, возможно, непреднамеренно разгласил конфиденциальную информацию компании о незавершенных транзакциях.
Сообщение вызвало довольно много ответов, большинство из которых согласны с отрицательными утверждениями. Хотя я понимаю, что сотрудник имеет право на свое мнение, возможно, ему следовало выразить свое разочарование по соответствующим каналам, прежде чем опубликовать этот пост. Ссылка на пост находится здесь (она вторая в ветке):
www.spiceworks.com/forums/security/234664/2345466.
Не могли бы вы с ним поговорить?
Спасибо.
Девять из десяти попались бы на что-то подобное. Единственное, что меня спасло, это то, что, когда я наведен на ссылку, я увидел, что это домен, который я создал сам для имитации фишинговых атак. Но это был близкий вызов! Еще одна секунда, и я был бы разбит.
Лучшими профилактическими действиями являются:
1.Обучите пользователей с помощью эффективной программы обучения, которая регулярно использует интегрированный инструмент защиты от фишинга, который заботится о безопасности пользователей и помогает им распознать, как может выглядеть фишинговое письмо.
2. Сделайте резервную копию на всякий случай и регулярно проверяйте эти резервные копии, чтобы убедиться, что они работают.
Пол Кублер, CISSP, CCNA, Sec +, ACE
@lifarsllc
Пол Кублер — эксперт по кибербезопасности и цифровой криминалистике в LIFARS LLC, международной фирме по кибербезопасности и цифровой криминалистике.Он бывший сотрудник компании Boeing, подразделения глобальной сетевой архитектуры, крупнейшего в стране объекта частных кибератак. Ранее он работал в Flushing Bank в области сетевой и системной инфраструктуры, защищая ценные финансовые данные на различных уровнях сети и системы. Пол также проводил судебно-медицинские исследования мобильных устройств, помогая преследовать преступников.
Обладая многолетним опытом работы в области кибербезопасности и цифровой криминалистики, он провел широкий спектр расследований, включая взлом данных в результате компьютерных вторжений, кражи интеллектуальной собственности и взлома компьютеров.Он работал над укреплением систем и развертыванием защиты в международной организации. Он также создал бизнес-сети со стратегией глубокоэшелонированной защиты и внедрил в них межсетевые экраны.
Некоторые из наиболее распространенных форм социальной инженерии (и способы их предотвращения) включают …
ФИШИНГ
В последние несколько лет фишинг стал крупным игроком в атаках вредоносных программ, и этот тип социальных сетей инженерное дело оказалось труднопреодолимым.Злоумышленники обычно отправляют хорошо составленные электронные письма с кажущимися законными вложениями, которые несут вредоносную полезную нагрузку. Это не типичные мошенники «нигерийского принца», а скорее изощренные хакерские группы с достаточным временем и финансированием, которые запускают эти эксплойты. Обычно они прячутся за сетью Tor или чем-то подобным, и их трудно найти, особенно когда их поддерживает организованная преступность, которая использует это как источник дохода.
RANSOMWARE
В последние годы мы наблюдаем резкий рост использования программ-вымогателей, которые доставляются вместе с фишинговыми сообщениями электронной почты.Обычно они отправляют вложение, такое как «СРОЧНАЯ ИНФОРМАЦИЯ ОБ УЧЕТНОЙ ЗАПИСИ» с расширением файла «.PDF.zip» или «.PDF.rar», которое проскальзывает ничего не подозревающая жертва и доставляет полезную нагрузку. Эта атака часто шифрует весь жесткий диск или документы и требует оплаты биткойнами для разблокировки. К счастью, эти группы действительно разблокируют данные — так будущие жертвы с большей вероятностью будут платить.
Что вы можете сделать, чтобы свести к минимуму свои шансы стать жертвой этих грязных схем? Вот несколько шагов, которые вы можете предпринять:
- НЕ открывайте электронные письма в папке со спамом или письма, получателей которых вы не знаете.
- НЕ открывайте вложения в письмах неизвестного происхождения.
- Используйте надежное антивирусное программное обеспечение — я рекомендую Kaspersky или Symentec.
- Выполняйте регулярное резервное копирование на внешний носитель (внешний жесткий диск или облако).
- После резервного копирования отключите накопитель. Известно, что современные программы-вымогатели также шифруют ваш резервный диск.
- НЕ платите выкуп. Причина, по которой преступники продолжают использовать эту форму шантажа, заключается в том, что люди продолжают платить.Чтобы попытаться вернуть свои данные, проконсультируйтесь со специалистом в вашем регионе.
Что может сделать ваша компания, чтобы не стать жертвой подобных атак?
- Людей нужно обучать — они самое слабое звено. Компании должны проводить, как минимум, два раза в год обучение, ориентированное на каждую группу пользователей (конечные пользователи, ИТ-персонал, менеджеры и т. Д.), Чтобы все были в курсе последних атак.
- Сотрудники должны быть протестированы с привлечением сторонней организации для проведения теста социальной инженерии.Подобные тесты помогают держать сотрудников в напряжении и с большей вероятностью избежать атак.
- Поскольку количество таких атак увеличивается, был разработан ряд новых средств защиты. AppRiver — отличный фильтр электронной почты для спама и вирусов, который может блокировать большое количество фишинговых эксплойтов еще до того, как они достигнут внутренних серверов.
- Если они все же пройдут, система защиты конечных точек, которая может блокировать новейшие вредоносные программы, вероятно, станет вашим лучшим выбором для остановки атаки.
- В качестве последней линии защиты Cyphort имеет хорошее решение IDS / IPS, которое может помочь обнаружить известные атаки и то, как далеко им удалось проникнуть в сеть по сигнатуре, поведению и знаниям сообщества.
Дуг Фодман
@dailyscams
Дуг Фодеман — контент-директор и совладелец The Daily Scam, веб-сайта, посвященного помощи отдельным лицам, компаниям и организациям в повышении их понимания и осведомленности об интернет-угрозах. мошенничества и мошенничества с целью значительного снижения рисков и связанных с ними потерь производительности.
Когда дело доходит до атак социальной инженерии, компании должны понимать …
Атаки социальной инженерии, нацеленные на компании или частных лиц, наиболее легко и успешно запускаются через электронную почту.Все зависят от электронной почты для общения, даже больше, чем от социальных сетей, за которыми может следить только один или несколько сотрудников компании. Электронная почта также является инструментом, который ежедневно используют пожилые сотрудники. Кроме того, электронная почта может стать источником угрозы для всех в организации, включая генерального директора и финансового директора. Но вредоносные электронные письма требуют наличия двух триггеров. Первый — это грамотно сформулированная тема, которая вызовет любопытство получателя и заставит его открыть письмо.
Некоторые из наиболее эффективных тем часто бывают невинными и простыми, как те, что я видел, нацеленные на организацию всего за последние две недели:
- Специальное приглашение: был открыт доступ к вашему онлайн-файлу
- Отметьте маму в это воскресенье с изысканный 29 долларов.96 букет
- Будьте замечены и наблюдайте за своей карьерой
- Узнайте о арфе
- Букеты ко Дню матери с ДИЗАЙНЕРСКИМИ ВАЗами
- Отмена услуги 10 мая
- ДОКУМЕНТ ОТПРАВКИ / ПОДТВЕРЖДЕНИЕ BL
- Добро пожаловать в Who’s Who Connection
- Подтвердите доставку
- Подтвердите перевод 3K до понедельника
- Письмо с уведомлением ФБР [код 210]
- Входящий факс
- Я думаю, вам это понравится
- Новые законы о реформе здравоохранения находятся в
- Нет проценты за первый год
- Уведомление о платеже
- Считайте срочным и верните мне
- Ваша установка
- Ваш номер телефона
После того, как получатель откроет электронное письмо, оно должно быть достаточно убедительным, чтобы вызвать щелчок ссылки или прикрепленного файла, чтобы инициировать или провести атаку.Многие инженерные стратегии оказались очень успешными, в том числе:
- Электронные письма с очень профессиональным внешним видом и презентацией. Эти электронные письма могут содержать поддельные адреса электронной почты законных компаний или, казалось бы, невинные сообщения, такие как продажа цветов ко Дню матери.
- Электронные письма, которые очень короткие и по существу, часто ссылаясь на поддельный счет, заблокированный платеж, доставку или факс.
- Электронные письма, предназначенные для запугивания кликов, например, электронное письмо, которое выглядит так, будто оно отправлено ФБР, банковским учреждением или IRS.
К сожалению, большинство компаний, похоже, вкладывают все усилия в защиту программного и аппаратного обеспечения, чтобы эти угрозы никогда не доходили до сотрудников. Использование этого подхода ошибочно, поскольку сотрудники подключаются к Интернету через электронную почту, Facebook, LinkedIn, Twitter и веб-страницы из дома, с мобильных устройств и с работы. Немногие компании также включают обучение сотрудников. Я обнаружил, что информирование сотрудников об угрозах, нацеленных на них, более важно, чем защита оборудования и программного обеспечения.И нетрудно научить сотрудников простым методам распознавания угроз, таким как навыки наведения указателя мыши и понимание анатомии адреса электронной почты или доменного имени.
Кертис Петерсон
@SmartFile
Кертис Петерсон — менеджер по цифровому маркетингу SmartFile. Петерсон отвечает за стратегию и выполнение стратегии SmartFile в отношении содержания, электронной почты, поиска и социальных сетей. SmartFile предоставляет ИТ-администраторам экономящие время инструменты управления файлами и пользователями, которые позволяют сотрудникам, не являющимся ИТ-специалистами, безопасно получать доступ к файлам и обмениваться ими.Масштабируемое облачное или локальное хранилище доступно для предприятий любого размера, которые регулярно отправляют, получают и архивируют файлы.
С точки зрения выявления и предотвращения атак социальной инженерии …
Очевидно, Эдвард Сноуден был инициатором атак социальной инженерии. Он либо подружился с людьми, либо попросил их пароли и логины, сказав, что они необходимы для его роли администратора компьютерной системы. Предлог, создание вымышленного образа или использование своей роли ненадлежащим образом — довольно популярны для атак социальной инженерии.
Суть в том, что 63% утечек данных происходят из внутренних источников: из-за контроля, ошибок или мошенничества. В 2013 году кража данных принесла 143 миллиарда долларов (обе статистические данные можно найти на isyourdatasafe.com).
Социальную инженерию трудно предотвратить. Это сложная часть. Многочисленные меры предосторожности можно найти благодаря передовым методам соблюдения нормативных требований в области ИТ. Но все же, даже в случае с Эдвардом Сноуденом, как вы можете определить, что происходит что-то плохое, если он выглядит как пользователь с допущенным уровнем допуска? Мы рекомендуем тщательный мониторинг и аналитику, чтобы попытаться понять, когда это происходит.Например, если у вас есть несколько очень важных файлов, вы должны отслеживать, когда они загружаются / передаются. ИТ-администратор также должен получать мгновенные уведомления, когда эти действия выполняются с конфиденциальными файлами. Наконец, должны быть журналы, которые регулярно анализируются, чтобы понять ненормальное поведение пользователя. Например, если файл загружается в нерабочее время, это должен быть красный флаг. Или, если загружено несколько конфиденциальных файлов от одного и того же пользователя, их следует идентифицировать и изучить.
Джереми Шонеман
Джереми Шонеман — специалист по информационной безопасности, специализирующийся на социальной инженерии. Он проработал в SecureState более года и регулярно занимается социальной инженерией в рамках тестов на проникновение клиентов.
Наиболее распространенные методы социальной инженерии, используемые сегодня, включают …
Сегодня существует множество способов, которыми злоумышленник попытается взломать корпоративную сеть, но, в конце концов, человек подвергается наибольшему риску атаки.Злоумышленники воспользуются любыми средствами, необходимыми для взлома сети и кражи информации, и наиболее популярным и наиболее успешным является метод социальной инженерии. Социальная инженерия ответственна за многие недавние крупные атаки, от Sony до Белого дома. По сути, существует два очень популярных типа атак: фишинг и вишинг (голосовой фишинг).
Фишинговые атаки — наиболее распространенный способ получения информации или доступа в сеть. Человек откроет, казалось бы, безобидное электронное письмо, либо щелкнет ссылку, которая ведет на вредоносный сайт, либо загрузит вложение, содержащее вредоносный код, и поставит под угрозу систему.Фишинг становится все более успешным, потому что злоумышленники создают более легитимные электронные письма, а атаки являются более изощренными. Благодаря распространению социальных сетей злоумышленник может найти все, что ему нужно знать о человеке и его интересах, создать электронное письмо, специально предназначенное для этого человека, и отправить что-то напрямую ему, что увеличивает вероятность того, что этот человек нажмет.
Вишинг — это, по сути, фишинг по телефону. Злоумышленник позвонит кому-нибудь, например, в службу поддержки ИТ, и, имея небольшую информацию о человеке (например, имя и дату рождения), получит либо учетные данные для входа, либо дополнительную информацию о человеке, например номер социального страхования. .
Защита компании от этих атак начинается с обучения. Обучение людей, на что обращать внимание при получении электронного письма или телефонного звонка от кого-то, кто запрашивает информацию или нажимает на что-либо, снижает вероятность успешной атаки. Фактически, глядя на адрес отправителя, наводя курсор на ссылки и проверяя URL-адрес, и никогда не загружая вложения, если вы не знаете, откуда приходит электронное письмо, резко снизит вероятность успешной атаки на компанию.Когда человеку звонят с просьбой предоставить информацию, важно установить его личность, не давая подсказок. Помните: информацию о людях легко найти в Интернете. Хорошие вопросы по безопасности на уровне службы поддержки ИТ — отличный способ защититься от этих атак. Что-то вроде: в какой средней школе вы ходили, или какая у вас была первая машина, в тысячу раз лучше, чем ваш день рождения.
Пьерлуиджи Паганини
@InfosecEdu
Пьерлуиджи Паганини — исследователь безопасности в Институте информационной безопасности и имеет более чем 20-летний опыт работы в этой области.
Вот несколько основных правил для защиты цифровой идентичности пользователей от атак социальной инженерии …
- Помните о спаме и примите особые меры предосторожности для электронной почты, которая:
- запрашивает подтверждение личной или финансовой информации с высокой срочностью .
- требует быстрых действий, угрожая пользователю пугающей информацией.
- отправлено неизвестными отправителями.
- Регулярно отслеживайте онлайн-аккаунты, чтобы гарантировать отсутствие несанкционированных транзакций.
- Никогда не разглашайте личную информацию по телефону или на незащищенных веб-сайтах.
- Не переходите по ссылкам, не загружайте файлы и не открывайте вложения электронной почты от неизвестных отправителей.
- Обязательно совершайте онлайн-транзакции только на сайтах, которые используют протокол https. Найдите знак, указывающий на безопасность сайта (например, замок в адресной строке).
- Остерегайтесь телефонного фишинга; никогда не сообщайте личную информацию по телефону, если вам звонят. Остерегайтесь электронных писем, в которых пользователя просят связаться с определенным номером телефона, чтобы обновить информацию о пользователе.
- Никогда не разглашайте личную или финансовую информацию по электронной почте.
- Остерегайтесь ссылок на веб-формы, которые запрашивают личную информацию, даже если электронное письмо пришло из законного источника. Фишинговые веб-сайты часто являются точными копиями законных веб-сайтов.
- Остерегайтесь всплывающих окон; никогда не вводите личную информацию во всплывающем экране и не нажимайте на него.
- Установите надлежащие системы защиты, такие как фильтры спама, антивирусное программное обеспечение и брандмауэр, и постоянно обновляйте все системы.
- Для пользователя социальной сети принципиально важно никому не доверять и раскрывать только ограниченный объем информации. Никогда не публикуйте личную информацию, например расписание отпусков и домашние фотографии. Никогда не переходите по ссылкам и видео из неизвестного происхождения и никогда не загружайте несертифицированные приложения.
Кейт Кейси
@CaseySoftware
Кейт Кейси в настоящее время является директором по продукту в Clarify.io, работая над упрощением, большей согласованностью API и решением реальных проблем.Ранее, будучи проповедником разработчиков в Twilio, он работал, чтобы передать хорошие технологии в руки хороших людей, чтобы они делали великие дела. В свободное время он работает над созданием и поддержкой технологического сообщества Остина, иногда ведет блоги на CaseySoftware.com и полностью очарован обезьянами. Кейт также является соавтором книги Leanpub «Практический подход к проектированию API».
Самыми распространенными атаками социальной инженерии на сегодняшний день являются …
«Мне просто нужно.«Обычно кто-то звонит в компанию, утверждая, что представляет телефонную компанию, интернет-провайдера и т. Д., И начинает задавать вопросы. Они утверждают, что у них простая проблема, или знают о проблеме, которую можно быстро решить, но им нужна всего одна мелочь. Это может быть так же безобидно, как запрос имени пользователя или чьего-то расписания, или столь же вопиющим, как запрос пароля. Как только злоумышленник получает эту информацию, он звонит кому-то еще в компании и использует новую информацию для уточнения своей атаки. повторить.
После нескольких звонков они часто могут выдать себя за сотрудников — часто помощников кого-то значительного — и прямо сейчас попросить доступ или более подробную информацию. Ничего не подозревающий сотрудник не хочет раздражать значимого человека, поэтому он отвечает и помогает, прежде чем у них будет возможность подумать. На этом этапе почти тривиально получить доступ к учетным записям электронной почты, телефонным записям, маршрутам путешествий и т. Д.
Единственное решение — никогда не доверять тому, кто вам звонит.Вместо того, чтобы сразу предоставлять запрашиваемую информацию, получите номер телефона человека из справочника компании и предложите перезвонить ему по этому номеру. Честный человек может рассердиться, но это сработает. Злоумышленник сдастся и попробует кого-нибудь другого. Кроме того, никогда не спрашивайте у человека его номер телефона, обратитесь к известному безопасному источнику, например, в справочнике компании, чтобы получить информацию.
То же самое относится к эмитенту вашей кредитной карты. Никогда не сообщайте конфиденциальную информацию тем, кто вам звонит.Используйте номер телефона на вашей карте и перезвоните им.
Джо Феррара
@WombatSecurity
Джо Феррара — президент и генеральный директор Wombat Security Technologies. Присоединившись к Wombat в 2011 году, Джо привнес 20-летний опыт в технологический маркетинг, операции и управление в качестве президента и генерального директора. Недавно Джо стал финалистом конкурса EY «Предприниматель года» в Западной Пенсильвании и Западной Вирджинии и получил награду «Генеральный директор года» от CEO World. Джо выступал с комментариями экспертов и выступал на многочисленных мероприятиях индустрии информационной безопасности, включая RSA Europe, форум руководителей CISO, ISSA International и региональные конференции по информационной безопасности.
Мой совет компаниям, связанным с растущим распространением атак социальной инженерии: …
Обычно определяется как искусство использования человеческой психологии для получения доступа к зданиям, системам или данным, социальная инженерия развивается так быстро, что Сами по себе технологические решения, политики безопасности и рабочие процедуры не могут защитить критически важные ресурсы. Недавний опрос, спонсируемый Check Point, показал, что 43% опрошенных ИТ-специалистов заявили, что они стали жертвами схем социальной инженерии.Опрос также показал, что новые сотрудники наиболее подвержены атакам: 60% опрошенных указали, что недавние сотрудники подвергаются высокому риску социальной инженерии.
Компаниям следует:
- Провести базовую оценку понимания сотрудниками.
- Помогите сотрудникам понять, почему их конфиденциальность имеет жизненно важное значение для здоровья компании.
- Создайте целевую программу обучения, которая в первую очередь адресована наиболее опасным сотрудникам и / или распространенным моделям поведения.
- Предоставьте сотрудникам возможность распознавать потенциальные угрозы и самостоятельно принимать правильные решения в области безопасности.
- Повысьте эффективность удержания знаний с помощью коротких интерактивных учебных занятий, которые легко вписываются в напряженный график сотрудников и содержат проверенные эффективные научные принципы обучения.
- Отслеживайте выполнение сотрудниками заданий и автоматически напоминания о сроках обучения.
- Покажите измеримое улучшение знаний с течением времени с помощью удобных для чтения отчетов для исполнительного руководства.
Компаниям следует продвигать культуру безопасности, ориентированную на людей, которая предусматривает постоянное обучение для постоянного информирования сотрудников о последних угрозах безопасности.Чтобы противостоять атакам на человеческий разум, необходимы изменения в поведении, а не технологии защиты.
Компаниям следует использовать комбинированный подход моделирования атак социальной инженерии в сочетании с интерактивными обучающими модулями для достижения наилучшего результата. Внедрение методологии непрерывного обучения может стать разницей между утечкой данных с пятью сигналами тревоги и тихой ночью в офисе.
Санджай Рамнат
@Barracuda
Санджай Рамнат — старший директор по управлению продуктами Barracuda, поставщика мощных, простых в использовании и доступных ИТ-решений для обеспечения безопасности и хранения данных.
Когда дело доходит до социальной инженерии, я советую компаниям …
Социальные сети — неизбежное зло. Компании должны осознавать ценность этих сайтов для использования в бизнесе и не могут просто заблокировать эти сайты в сети.
Однако есть несколько способов помочь снизить риски, разрешив использование социальных сетей. Что касается обучения, убедитесь, что вы можете провести курс для новых и пожилых сотрудников, чтобы показать им, что можно и чего нельзя делать, чтобы лучше защитить себя от угроз; тем не менее, большая часть этого общеизвестна, и ее трудно обеспечить.
BYOD действительно заставил сетевых администраторов защитить сеть от мобильных устройств пользователей.
Социальные сети — это среда с нулевым доверием. Социальные сети настолько просты в использовании, что часто люди теряют бдительность. Друг, которого вы хорошо знаете, может отправить вам ссылку на альбом о недавно совершенной поездке, чтобы вы щелкнули по нему, чтобы просмотреть или загрузить. Вы, конечно, видите фотографию своего друга рядом со ссылкой или получаете электронное письмо с его адреса электронной почты, нажимаете на нее, потому что предполагаете, что это безопасно, не зная, что они были взломаны, и теперь изображения, которые, как вы думаете, вы загружаете, являются фактически загружает вредоносное ПО на ваш компьютер.
Компаниям необходимо рассмотреть возможность защиты всех векторов угроз и внедрения специализированных решений для удовлетворения любых потребностей. В таких случаях, как социальная инженерия, когда жертвы подвергаются целевым фишинговым атакам, фишинговым атакам, вредоносным электронным письмам и взломанным сайтам, хорошо иметь брандмауэр спама и веб-фильтр для смягчения этих угроз до того, как они достигнут сети.
Наличие безопасного веб-браузера или решения для управления мобильными устройствами для решения BYOD как в сети компании, так и за ее пределами — это то, что им также следует учитывать для защиты информации компании и сотрудников.
Алекс Марковиц
@ChelseaTech
Алекс Марковиц (Alex Markowitz) — системный инженер в Chelsea Technologies, компании, предоставляющей управляемые ИТ-услуги, которая предоставляет услуги по проектированию, внедрению, хостингу и поддержке для мировой финансовой индустрии. Алекс имеет более 10 лет опыта работы в сфере ИТ в финансовом секторе.
Мое главное предложение для компаний по предотвращению атак социальной инженерии:
Сила №
Google — самые популярные атаки социальной инженерии.Что вы получаете? Истории о троянских конях, фишинговых атаках, инъекциях вредоносных программ, перенаправлениях, спаме и людях, отдающих слишком много личной информации на общедоступных веб-сайтах. Поверхность для атак социальной инженерии такая же, как и у всех сотрудников и пользователей вашей корпорации. Лучшая атака социальной инженерии не будет включать ничего, кроме незамеченной оплошности или ошибки одного пользователя. Я собираюсь обратиться к очень конкретному аспекту внутренней безопасности и оставлю вам следующее: самая важная защита, которая вам нужна в вашей компании, — это способность сказать: «Нет.«
Знание истории этих атак полезно, но в целом оно не защитит вас. Злоумышленники всегда опережают тех из нас, кто защищает нашу информацию. Социальный инженер всегда найдет новый способ сделать то, что они делают. Тот, кто хочет нацелиться на вашу компанию, считается нескончаемым источником творчества и должен рассматриваться как таковой. Имейте в виду, что технологии всегда меняются, но люди, использующие эту технологию, не меняются. Вы можете защитить себя всеми возможными способами. технологии, которые вам нужны, но всего одна человеческая ошибка может распахнуть двери вашей компании.Люди — это поверхность атаки, по которой наносит удар социальный инженер.
Таким образом, наша проблема, как ИТ-специалистов, заключается в том, чтобы не дать извечным человеческим недостаткам вызвать технологическую атаку. Ниже приводится вездесущий человеческий недостаток, на который я хотел бы обратить особое внимание: я работал во многих финансовых учреждениях. В каждом учреждении всегда есть множество руководителей, менеджеров и им подобных, которые хотят, чтобы к ним относились по-особенному. Им нужен доступ к сети на своем личном ноутбуке.Они хотят иметь доступ к сети на своем iPad, но также позволяют своим детям играть с этим iPad. Им нужен доступ, когда и где они не должны быть, и они занимают влиятельные позиции, что затрудняет их рассуждение.
Им нужны вещи, которые сделают их профессиональную жизнь еще проще, чем мы, в ИТ, изо всех сил пытаемся это сделать. К сожалению, в ИТ мы привыкли говорить «да». Я видел, как директора и технические директора создавали специальные исключения для других высокопоставленных пользователей, чтобы завоевать расположение и популярность, а также потому, что они боятся своего положения.Это лениво; это высокомерно; это глупо, но это, прежде всего, по-человечески. Мы, человеческие существа, являемся системой, атакованной социальной инженерией, а затем мы оставляем себя открытыми, становясь жертвами нашей незащищенности, давая злоумышленнику приглашение штурмовать наши ворота. Все ИТ-специалисты должны научиться говорить «нет», а ИТ-менеджмент должен быть сильным и упорным на благо компании. Один из лучших способов защитить вашу компанию от социальных инженеров — это научиться говорить «нет». Держите политику и подъем по служебной лестнице подальше от ИТ-безопасности.
Я знаю, что обращаюсь к очень специфическому аспекту ИТ, но один из лучших способов уменьшить поверхность атаки — это научиться говорить «Нет». От ИТ-менеджмента требуется твердое лидерство и решимость, чтобы обеспечить оптимальную защиту. Только после того, как наша защита будет оптимизирована, мы сможем точно обучить наших пользователей и создать безопасную инфраструктуру. Каждое отдельное исключение открывает ящик Пандоры, который социальные инженеры могут найти (или даже просто наткнуться) и использовать.
Роберт Харроу
@robert_harrow
Роберт Харроу — исследователь-аналитик компании ValuePenguin.com, где он освещает различные вертикали личных финансов, включая кредитные карты, страхование жилья и медицинское страхование. Его интерес к безопасности в основном связан с изучением утечек данных о кредитных картах и медицинском страховании.
Самая большая угроза социальной инженерии для компаний сегодня — это …
Фишинг-мошенничество — самая большая угроза и наиболее распространенное средство социальной инженерии. Согласно последнему отчету EMC, только в 2013 году из-за фишинговых атак было понесено 5,9 миллиарда долларов убытков — это почти 450 000 атак.
Спам-фильтры могут помочь сотрудникам избежать этих атак. Однако они терпят неудачу при так называемом целевом фишинге. Эти атаки реже, но в большей степени нацелены на конкретных важных лиц — вероятно, генеральных директоров, финансовых директоров и других людей с высокоуровневым доступом в их компании. Эти атаки обычно не улавливаются спам-фильтрами, и их гораздо труднее обнаружить.
Очень важно информировать сотрудников об опасностях фишинга и внимательно относиться ко всем получаемым ими электронным письмам.
Стивен Дж. Дж. Вайсман, эсквайр.
@ Assessment Centre
Стивен Дж. Дж. Вайсман, эсквайр. — юрист, профессор колледжа Университета Бентли, где он преподает преступления против белых воротничков, и один из ведущих экспертов страны в области мошенничества, кражи личных данных и киберпреступлений. Вайсман ведет блог Scamicide.com, где он ежедневно предоставляет обновленную информацию о последних мошенничествах и схемах кражи личных данных.
Что касается атак социальной инженерии и способов их предотвращения, я советую…
Серьезные утечки данных и взломы крупных компаний, таких как Target, Sony или даже Государственный департамент, как правило, имеют одну общую черту: несмотря на сложность вредоносного ПО, используемого для сбора информации, это вредоносное ПО должно могут быть загружены на компьютеры целевой компании или агентства, и это делается, как правило, с помощью тактики социальной инженерии, которая заставляет сотрудников нажимать на ссылки или загружать вложения, которые непреднамеренно загружают вредоносное ПО.
Так как же убедить сотрудников щелкнуть ссылки и загрузить вложения?
- Они создают впечатление, что письмо пришло от друга, чью электронную почту они взломали.
- Они создают впечатление, что электронное письмо пришло от кого-то в компании, чье имя и адрес электронной почты могли быть получены из множества доступных баз данных, включая LinkedIn.
- Они собирают информацию о целевом сотруднике через социальные сети, где сотрудник мог обнародовать личную информацию, что позволяет опытному хакеру использовать эту информацию, чтобы обманом заставить сотрудника щелкнуть ссылку, касающуюся того, что его интересует.
- Ссылка на бесплатную порнографию.
- Ссылка предназначена для предоставления фотографий знаменитостей или сплетен.
- Ссылка предназначена для предоставления сенсационных фотографий или видеороликов важного и интересного новостного события.
- Судя по всему, он исходит от специалиста по ИТ-безопасности компании, информирующего сотрудника о чрезвычайной ситуации.
Это лишь некоторые из наиболее распространенных тактик социальной инженерии, используемых хакерами.
Итак, что можно сделать, чтобы их остановить?
Обучайте сотрудников моему девизу: «Поверьте мне, вы не можете никому доверять.«Никто никогда не должен предоставлять личную информацию кому-либо в ответ на запрос до тех пор, пока он не проверит, что запрос является законным. Никто никогда не должен переходить по какой-либо ссылке, не подтвердив, что она законна.
Обучайте сотрудников скептически относиться к будьте начеку в отношении распространенных схем фишинга и целевого фишинга.
Устанавливайте и поддерживайте новейшее и постоянно обновляемое антивирусное и антивирусное программное обеспечение, понимая, что последние обновления всегда отстают от хакеров как минимум на месяц.
Ограничьте доступ сотрудников к информации только той информации, к которой они должны иметь доступ.
Используйте двухфакторную аутентификацию вместе с надежными паролями, которые регулярно меняются.
Аурелиан Неагу
@HeimdalSecurity
Технический писатель с 6-летним опытом работы в области кибербезопасности в Bitdefender & Heimdal Security, Аврелиан Неагу пытается обнаружить и понять, как технологии меняют отношения между людьми в обществе и изменяют социальное восприятие мир.
Атаки социальной инженерии на компании …
Могут исходить как внутри, так и за пределами организации.
Социальная инженерия, осуществляемая злоумышленниками-инсайдерами
Согласно 18-му ежегодному глобальному опросу руководителей компаний PwC, проведенному в 2015 году, 21% нынешних или бывших сотрудников используют социальную инженерию для получения финансовой выгоды, из мести, из любопытства или ради развлечения.
Методы социальной инженерии, используемые внутри организации, могут включать:
- Извлечение информации о компании (такой как пароли, учетные данные) изнутри и передача ее третьим лицам.
- Использование конфиденциальной информации в качестве рычага для поиска новой работы или достижения лучшего положения в компании.
- Выход из организации с регистрационными данными и конфиденциальной информацией и использование ее в злонамеренных целях.
Социальная инженерия, осуществляемая злоумышленниками со стороны
- Злоумышленники со стороны очень часто выдают себя за подрядчиков компании, чтобы получить конфиденциальную информацию от доверчивых сотрудников. Они могут сделать это либо по телефону, либо по электронной почте, либо физически получив доступ к помещениям компании.
- Социальная инженерия часто полагается на сильную уверенность, которой обладают киберпреступники, и на доверие, которое обычно вызывается внешними подрядчиками, особенно если они происходят из известных компаний, таких как Cisco или IBM.
- Информация о сотрудниках, найденная на сайтах социальных сетей, также может быть способом завоевать доверие жертвы и получить от нее конфиденциальную информацию.
- Вредоносные посторонние могут также использовать вредоносные программы или исполняемые файлы, скрытые во вложениях электронной почты.Попав внутрь компьютера сотрудника, такой троянец может действовать различными способами, например отправлять копии документов или слежку за компьютерной деятельностью сотрудника.
- Фишинг — еще один метод, используемый киберпреступниками. Сюда входит использование электронных писем, которые, как представляется, исходят из надежного источника, чтобы обманом заставить сотрудника ввести действительные учетные данные на поддельном веб-сайте.
Социальная инженерия может использоваться либо для извлечения информации, либо для проникновения в систему защиты компании с целью внедрения вредоносного ПО, которое может распространяться по организации и причинять огромный ущерб, как это произошло в случае взлома Target в 2013 году.
Еще один пример целевой фишинг-атаки, нацеленной на датские архитектурные компании в марте 2015 года.
Как можно предотвратить атаки социальной инженерии
- Самый важный совет для компаний — инвестировать в обучение своих сотрудников вопросам кибербезопасности. Если сотрудники узнают, как защитить свои данные и конфиденциальные данные компании, они смогут обнаружить попытку социальной инженерии и смягчить ее последствия. Кроме того, они могут стать более бдительными и сами стать столь необходимым уровнем безопасности.
- Периодические оценки кибербезопасности также необходимы, потому что компании развиваются, они растут, они меняются, а также меняется информационный поток внутри организации. Следовательно, тестирование на проникновение должно проводиться на регулярной основе и приводить к практическим рекомендациям, которые могут улучшить безопасность данных во всей организации.
- Кроме того, я всегда рекомендую компаниям, которые еще этого не сделали, разработать и внедрить тщательную политику безопасности. Это тот тип политики, в который стоит инвестировать, потому что он может оказать огромное влияние на организацию и предотвратить кибератаки, которые могут привести к серьезным последствиям.
Шобха Малларапу
@anvayasolutions
Шобха Малларапу — президент и генеральный директор Anvaya Solutions, Inc., компании по кибербезопасности. Она была представлена в статьях Business Journal о безопасности и обучила сотни предприятий кибербезопасности. Anvaya Solutions, Inc. обучила тысячи сотрудников вопросам безопасности в различных организациях.
Распространенные атаки социальной инженерии на компании включают …
1.Фишинг: Это одна из наиболее распространенных атак, побуждающая сотрудников раскрыть информацию. Электронное письмо выдает себя за компанию или правительственную организацию, чтобы извлечь логин и пароль пользователя для конфиденциальной учетной записи внутри компании, или перехватывает известную электронную почту и отправляет ссылки, при нажатии которых на компьютер Пользователь. Затем хакеры берут власть в свои руки.
Подобные атаки по телефону, когда звонящий заявляет, что является надежным источником или уполномоченной организацией, также могут привести к раскрытию сотрудниками информации, которая может нанести ущерб чистой прибыли компании или ее репутации.
2. Обмен информацией: Обмен слишком большим объемом информации в социальных сетях может позволить злоумышленникам угадывать пароли или извлекать конфиденциальную информацию компании через сообщения сотрудников. Осведомленность о безопасности — ключ к предотвращению таких инцидентов. Разработка политик, обучение сотрудников и реализация мер, таких как предупреждения или другие дисциплинарные меры в случае повторных или серьезных инцидентов, снизят риск атак социальной инженерии.
Если вы не ждете электронного письма, введите адрес ссылки вместо того, чтобы нажимать на нее.Или позвоните человеку, чтобы подтвердить, что письмо пришло от него. Те же принципы применимы и к телефонным фишинговым атакам. Скажите им, что вы перезвоните и получите их номер. Прежде чем звонить, убедитесь, что номер принадлежит действующей организации, воспользовавшись функцией поиска по телефону.
Элвис Морленд
Элвис Морленд, CISSP-ISSEP, CGEIT, CISM, NSA IEM-IAM, CNSS 4012-4015-4016, является руководителем отдела информационных технологий журнала Computerworld Premier 100 и главным специалистом по информационной безопасности (CISO).
Одна из самых распространенных сегодня атак социальной инженерии…
Атака Spear Phishing. Это электронное письмо, которое доставляет вредоносный контент через веб-ссылку или вложение в электронном письме.
Контрмера (и):
1. Никогда не открывайте ссылки или вложения из неизвестных источников. Если сомневаетесь, сообщите об этом!
2. Если кажется, что письмо пришло из обычного источника, спросите себя: «Зачем им нужно, чтобы я открывал эту ссылку или вложение? Это нормальное поведение?» Если нет, сообщите об этом!
3. В случае сомнений дважды проверьте источник, контент и / или обратитесь за помощью в свой отдел ИТ-безопасности или кибербезопасности.
4. В корпоративных условиях ваш бизнес должен быть защищен с помощью одного из различных, если не нескольких комбинированных, архитектурных устройств сетевой безопасности или средств противодействия, таких как шлюз SMTP со сканированием и / или каким-либо механизмом фильтрации, который поможет вам пометить или удалить сомнительные почтовые кампании и контент.
5. Никогда не полагайтесь исключительно на антивирус или брандмауэры для защиты от таких сложных атак. Они прибывают с вариантами вредоносного контента, которые нельзя обнаружить только с помощью черных списков или контрмер на основе сигнатур (антивирусные программы или брандмауэры), потому что они просто не успевают.
Грег Манкузи-Унгаро
@BrandProtect
Грег Манкузи-Унгаро отвечает за разработку и реализацию рынка BrandProtect, маркетинг и стратегию выхода на рынок. Страстный проповедник новых технологий, бизнес-практик и клиентоориентированности, Грег руководит и консультирует маркетинговые инициативы мирового уровня, команды и организации более двадцати пяти лет. До прихода в BrandProtect Грег занимал руководящие должности в маркетинге в ActiveRisk, Savi Technologies, Sepaton, Deltek, Novell и Ximian, создавая прорывные продукты и ускоряя рост бизнеса.Он является соучредителем проекта openSUSE, одной из ведущих мировых инициатив с открытым исходным кодом.
Распространенные схемы социальной инженерии с быстрым захватом денег обычно включают …
Варианты мошенничества с застрявшим путешественником. В этом типе мошенничества социальный инженер отправляет своей цели электронное письмо, которое, похоже, исходит из личной учетной записи электронной почты доверенного коллеги. После быстрого объяснения того, почему они не могут использовать систему электронной почты компании, например, потерянный / сломанный компьютер, проблемы с подключением к VPN или забытый домен доступа к Outlook в Интернете, они заявляют, что они застряли в отдаленном месте и нуждаются в проводных деньгах. им.Поскольку этот социальный инженер имеет доступ к вашей электронной почте, он знает, кто ваши коллеги, и может создать довольно убедительную историю.
Другой распространенный класс атак социальной инженерии происходит за пределами бизнес-среды, в социальных сетях и других социальных сетях. Там социальные инженеры скопируют профили, подставят снимки в голову и буквально украдут всю онлайн-личность, которую они затем могут использовать, чтобы дружить с другими в вашей фирме или в других учреждениях, превращая украденную личность в серию, казалось бы, законных онлайн-дружеских отношений.С этого момента следующий запрос социальной инженерии станет лишь вопросом времени.
Однако гораздо более серьезными являются схемы социальной инженерии, в которых запрос на добавление в друзья предполагает использование сети компании. Например, коллега отправляет вам электронное письмо поздно вечером и утверждает, что забыл код доступа к VPN — это подозрительное электронное письмо, которое можно получить, и, вероятно, атака социальной инженерии. В качестве второго примера — и еще более изощренного подхода: представьте, что друг из социальной сети отправляет вам электронное письмо с сопроводительным письмом и резюме и просит вас переслать его своему менеджеру по найму.В электронном письме может быть имя менеджера по найму или название открытой вакансии, но в любом случае это очень эффективный подход. Между тем, за кулисами социальный инженер надеется, что вы нажмете на любой документ, неосознанно установив вредоносное ПО на свой компьютер и проникнув в сеть вашей компании.
Как только социальный инженер получит надежную личность или будет принят в круг доверенных коллег, он будет использовать это доверие для получения доступа к другим людям, сетям, IP-адресам или корпоративным активам.Социальные инженеры обычно обращают внимание на нечто большее, чем их ничего не подозревающие цели; невинные жертвы — это просто удобный и простой способ для киберпреступников получить более крупный приз.
Итак, как предотвратить успех социальных инженеров?
Для компании самый простой способ — это тщательно отслеживать несанкционированные электронные письма, в которых используется ваш бренд, и подтверждать, что профили социальных доменов, которые содержат ваш бренд, принадлежат лицам, которые имеют на это право.Например, недавно клиент BrandProtect обнаружил, что более половины его фирменных онлайн-агентов на самом деле не были авторизованными агентами. Некоторые из этих действий были невиновными — некоторые бывшие агенты забыли удалить логотип — но некоторые из них были маскировкой и кражей личных данных!
Для индивидуума самый простой способ уменьшить воздействие социальной инженерии — это всегда быть уверенным в том, с кем вы общаетесь. Если есть хоть малейшие сомнения, объясните, что вы не можете помочь с входящим запросом.Если они утверждают, что они ваши друзья, есть дополнительные способы мягко подтвердить чью-то личность. Например, вместо этого они могут позвонить вам на мобильный телефон или отправить электронное письмо в личный кабинет. В конце концов, если они те, кем себя называют, они легко смогут связаться с вами с помощью других форм связи.
Большая часть личной защиты от социальной инженерии может показаться здравым смыслом, но компаниям следует инвестировать в обучение сотрудников этим и другим рискам в сети. Простое повышение осведомленности об этих опасных атаках позволит снизить значительный корпоративный риск.
Дэвид Ховард
Дэвид Ховард является сертифицированным этическим хакером с 2009 года и с тех пор работает в сегменте безопасности ИТ. Недавно Дэвид основал PPL HACK, компанию из Цинциннати, которая предлагает бесплатные семинары по всей стране, включая демонстрации хакерских атак в реальном времени, чтобы помочь малым и средним предприятиям обучить своих сотрудников, чтобы лучше подготовиться к защите данных компании.
Самыми распространенными типами атак социальной инженерии являются …
Как сертифицированный этический хакер и основатель PPL HACK, я предпринял множество попыток вторжений, и социальная инженерия является самым забавным и наиболее распространенным вектором атак на данные компании.Фишинговая электронная почта, безусловно, является методом номер один, когда в компанию наводняется электронная почта, которая выглядит законной, но заставляет вас щелкнуть ссылку, открыть файл или установить программу, имеющую гнусные намерения. Вы также найдете клонированные и поддельные веб-сайты, предназначенные для кражи вашего логина или финансовой информации для последующего использования. В некоторых случаях ваш компьютер подвергается атаке только потому, что его можно использовать в качестве бота в более крупной сети, которая может делать много вещей. Ботнеты для атак на сайты являются обычным явлением, но все более распространенным становится захват мощности вашего компьютера для работы в более крупной сети, добывающей биткойны и другие альтернативные монеты для финансовой выгоды других.
Еще одна из наиболее распространенных атак — злоумышленник посередине. Именно здесь точка беспроводного доступа, находящаяся под контролем хакера, размещается в вашей среде, так что весь ваш логин и трафик данных направляется через точку управления, которая может быть зарегистрирована и доступна. Использование общедоступного / открытого Wi-Fi в отелях, кофейнях и т. Д. Также ставит ваши данные в опасное положение. Как остановить эти атаки — постоянный вопрос, но есть шаги, которые вы можете использовать для их смягчения.Не используйте одни и те же пароли снова и снова. Используйте парольные фразы, такие как I W3nt to h @ wa11 4 phun, вместо слов, которые можно угадать с помощью словарных атак. VPN, а не бесплатные, которые часто сами по себе являются мошенничеством, следует использовать на любом беспроводном устройстве, используемом в сети, находящейся вне вашего контроля. При правильном использовании VPN данные между вами и посещаемыми вами веб-сайтами шифруются от посторонних глаз.
Орен Кедем
@BioCatch
Орен Кедем обладает более чем 15-летним опытом управления продуктами в областях обнаружения веб-мошенничества и безопасности предприятия.До BioCatch Орен занимал должность директора по маркетингу продуктов в Trusteer (ныне часть IBM) и руководил разработкой решения по борьбе с мошенничеством для электронной коммерции в RSA (теперь часть EMC). Орен также занимал различные должности по маркетингу и управлению продуктами в BMC, занимаясь решениями для управления идентификацией и доступом и системного управления. Орен имеет степени MBA и BSc. Имеет степень бакалавра промышленной инженерии Израильского технологического института (Технион).
Наиболее распространенными атаками на организации являются …
Именуются Advanced Persistent Threats (APT).Эти атаки состоят из двух основных фаз: разведки и атаки. Социальная инженерия играет роль в обоих. На этапе атаки подробные данные организации, бизнеса и внутренних процессов используются, чтобы убедить сотрудников выполнить действие, направленное на извлечение конфиденциальных документов или выполнение действия (например, одобрить транзакцию во внутренней системе).
Атаки используют простые средства связи, такие как телефонные звонки и сообщения электронной почты, которые, как представляется, исходят из надежного источника — например, звонок из банка или электронное письмо от клиента или партнера.Во время этого общения сотрудников просят выполнить действия, которые соответствуют нормам деловой жизни (например, не могли бы вы одобрить эту транзакцию? Не могли бы вы отправить мне контракт для подписания?).
Эти атаки очень эффективны, если преступник выполнил свою домашнюю работу и обладает всей необходимой информацией. Откуда преступники в первую очередь берут информацию? Что ж … вот здесь и вступает в игру фаза разведки. На этом этапе, который может занять от нескольких месяцев до года (отсюда и постоянство в APT), преступник обычно заражает несколько компьютеров организации шпионским ПО и терпеливо анализирует информацию и учетные данные.
Социальная инженерия используется, чтобы убедить сотрудников установить вредоносное программное обеспечение или открыть веб-страницу или документ, содержащий вредоносный код эксплойта (т. Е. Код, который умеет устанавливать программное обеспечение автоматически). В одном печально известном случае — взломе RSA — администратор отдела кадров открыл лист Excel, который был прикреплен к электронному письму (предположительно, со статистикой по кадрам), и заразил свой компьютер вредоносным ПО. Несколько месяцев спустя код был украден из RSA, а позже этот код был использован для атаки на Lockheed Martin в сочетании с другими телефонами и электронными письмами, использующими методы социальной инженерии.
Итак, что могут сделать организации?
Обучайте сотрудников следовать нескольким простым правилам:
Правило № 1: НИКОГДА не отвечайте на незапрашиваемые сообщения (электронная почта / телефон), не подтвердив личность человека на другой стороне. Самый простой способ подтвердить это — сообщить человеку, что вы перезвоните ему по проверенному телефону.
Правило № 2: НИКОГДА не открывайте вложения или не обращайтесь к сайту из ненадежных / недействительных источников. Многие организации настроили небезопасные компьютеры в отделах для доступа к любому документу или сайту (физическому или удаленному).Эти компьютеры часто выходят из строя и никогда не должны хранить конфиденциальные данные.
Правило № 3: Изменяйте пароль и доступ часто (каждые несколько месяцев) и время от времени (нельзя предсказуемо, когда меняются пароли, чтобы мошенники не планировали заранее).
Правило № 4: Образование, образование, образование. Делитесь с сотрудниками «историями войны» и отраслевым опытом. Они не могут быть осторожными, если не знают об угрозах.
Роберто Родригес
@HumanFirewalls
Роберто А.Родригес — руководитель HumanFirewall в HumanFirewalls LLC. HumanFirewalls — это организация, расположенная в Делавэре, которая гордится тем, что предлагает лучшие услуги безопасности, такие как осведомленность о безопасности, анализ угроз, мониторинг сетевой безопасности, управление соответствием, управление уязвимостями и контроль целостности. Humanfirewalls понимает, что малые / средние компании редко имеют собственный опыт, время или бюджет для внедрения правильных мер безопасности, которые могли бы защитить их организации от угроз, которые теперь способны избежать обнаружения и обойти традиционные меры безопасности.
Наиболее распространенными атаками социальной инженерии на компании являются …
Фишинг и копирование фишинга
Фишинговое электронное письмо — это созданное электронное письмо, которое якобы отправлено из известного надежного источника и может обмануть пользователя. загрузить вложение, щелкнуть вредоносную ссылку или просто сотрудничать, чтобы предоставить конфиденциальную информацию, такую как ваши пароли. Эти электронные письма, например, могут быть отправлены всей организации без таргетинга на конкретных людей в компании.С другой стороны, электронные письма Spear Phishing — это электронные письма, созданные специально для нескольких человек в организации, которые могут иметь ценную информацию для злоумышленника.
В целом фишинг в течение последних двух лет активно использовался киберпреступниками для проникновения в организации. Заняв 3-е место в отчете Verizon за 2014 год, стало ясно, что киберпреступники уделяют больше внимания человеческому фактору, а не существующим технологиям, потому что создание фишинговых писем обходится недорого.Существуют инструменты с открытым исходным кодом, такие как SET (набор инструментов социальной инженерии), которые могут помочь злоумышленнику обойти передовые технологии. Спам-фильтры хороши, но в конечном итоге они становятся фундаментальным уровнем безопасности для организации, если злоумышленник знает, как заставить пользователя сотрудничать, не заставляя его или ее щелкать ссылку. Прекрасным примером может служить получение электронного письма от вашего банка с просьбой позвонить по номеру, указанному в электронном письме, чтобы изменить PIN-код банкомата. Киберпреступник предоставляет номер, по которому он ожидает пересылки сообщения в реальный банк, но зеркалирует / перехватывает / анализирует трафик или разговор, которому пользователь доверяет номер в электронном письме.
Как это предотвратить?
Компании должны подходить к обеспечению безопасности с упреждающими мерами безопасности, учитывающими человеческий фактор. Программы обучения по вопросам безопасности действительно полезны для снижения риска взлома и повышения уровня осведомленности в организации.
Вишинг (голосовая связь и фишинг)
Эта социальная атака обманом заставляет пользователя по телефону раскрыть конфиденциальную информацию об организации. Это очень распространено в отделах обслуживания клиентов, где они пытаются удовлетворить клиента по телефону и в конечном итоге предоставляют информацию, которую можно использовать для взлома сети.Информация различается и может включать имена возможных целей, часы работы, финансовую или личную информацию и даже сброс пароля.
Как это предотвратить?
Расширенное обучение по вопросам безопасности, чтобы убедиться, что пользователь понимает, какой тип информации им разрешено раскрывать. Кроме того, различные технологии в местах, такие как решения NAC, которые ограничивают доступ к данным, которые не могут быть переданы без авторизации.
Tailgating or Piggybacking
Это социальная атака, в которой задействованы злоумышленник без авторизованного доступа и сотрудник с низким уровнем осведомленности.Это работает, когда неосведомленный пользователь сотрудничает и предоставляет неавторизованному лицу доступ в ограниченную зону. Это обычное дело во многих организациях, потому что всегда есть люди, например, курьеры из разных учреждений, которые бросают посылки и взаимодействуют с неосведомленными пользователями, создавая определенный уровень комфорта и делая это рутиной. Опять же, такие технологии, как использование карточек для входа в лифты или открытия дверей в крупных организациях, не всегда работают, и это потому, что все, что нужно, это: «Я забыл свой бейдж и опаздываю на встречу.Не могли бы вы? », Чтобы обмануть пользователя и получить доступ.
Как это предотвратить?
Еще раз, тренинг по безопасности, где пользователь изучает различные политики безопасности, применяемые в организации, и может определить определенные модели поведения, которые могли подвергнуть свою организацию риску в прошлом.
Jayson Street
@JaysonStreet
Джейсон — рейнджер информационной службы Pwnie Express, известный спикер конференции и автор книги «Dissecting the hack: The F0rb1dd3n Network» .«Pwnie Express обеспечивает непрерывную видимость во всем проводном / беспроводном / радиочастотном спектре, во всех физических точках, включая удаленные узлы и филиалы, обнаруживая« заведомо плохие », неавторизованные, уязвимые и подозрительные устройства.
Вот некоторые из наиболее распространенных атак социальной инженерии …
Общее решение для всех — повышение осведомленности и обучение сотрудников. Компаниям необходимо включать методы обеспечения безопасности в свои должностные инструкции и должным образом обучать сотрудников критически мыслить и надлежащим образом реагировать на подозрительные действия.Как смягчить атаки:
1. Spearphishing: Вопреки широко распространенному мнению, сегодняшние Spearphishing атаки тщательно рассчитаны и тщательно продуманы, чтобы быть актуальными и не тревожить пользователя. Распознать подделку не так просто, как думает большинство людей, поэтому сотрудников необходимо научить задавать вопросы и проверять непредоставленные ссылки, звоня отправителю, отправляя отдельное дополнительное электронное письмо или проверяя через такие службы, как https: //www.virustotal. com /.
2. Техник-мошенник: Под видом техников или курьеров незаметные социальные инженеры проникают прямо в организации и могут физически взломать сеть.Сотрудники должны соблюдать базовые тренинги по «опасности незнакомцев» и следить за тем, чтобы каждый, кто входит в здание, имел встречу или заранее установленную цель.
3. Вредоносные веб-сайты: Часто вредоносные веб-сайты маскируются под корпоративные или партнерские сайты и предлагают посетителям обновить java / Adobe или установить специальный плагин. Пользователи всегда должны закрывать браузер и открывать новый, чтобы напрямую обновлять java или Adobe со своих официальных сайтов. Если пользователям предлагается указать конкретную программу или отсутствующий подключаемый модуль, им следует закрыть браузер и отправить электронное письмо на веб-сайт с вопросом о конкретной проблеме конфигурации.
Патрисия Титус
@RUSecur
Обладая более чем 20-летним опытом управления безопасностью на нескольких вертикальных рынках, Патрисия Титус отвечает за разработку и внедрение надежных программ информационной безопасности, обеспечивающих постоянную защиту конфиденциальной корпоративной, клиентской и личной информации ее различные позиции.
Совсем недавно Титус занимал должность вице-президента и главного директора по информационной безопасности в Freddie Mac и играл стратегическую роль в защите и целостности информационных активов Freddie Mac, трансформировав программу информационной безопасности, включая программу управления идентификацией и доступом.Титус также является членом Консультативного совета по визуальной конфиденциальности.
Хотя существует несколько технических решений для предотвращения атак социальной инженерии, самым слабым звеном часто является …
Человек. Только с помощью тщательной подготовки, обучения и тестирования вы сможете успешно справиться с этой растущей проблемой.
Распространенные методы цифровой социальной инженерии — это методы, которые обманом или обманом заставляют наших сотрудников предоставлять информацию, которая ведет к информационному расследованию, получению доступа к системам или преступному поведению, включая мошенничество.
Чтобы предотвратить атаки социальной инженерии, начните с обращения к людям, процессам и технологиям и примите во внимание следующие шаги:
Люди
- Разработайте и внедрите целевую программу повышения осведомленности о безопасности, основанную на социальной инженерии. Сделайте его интересным и интерактивным.
- Создайте в компании маркетинговую кампанию по повышению осведомленности о безопасности в области социальной инженерии, чтобы помочь сотрудникам понять, как компания решает проблему.Информируйте сотрудников, партнеров, поставщиков и т. Д. Об угрозе и их ответственности за ее предотвращение.
- Создайте структуру и программу для высоконадежных или привилегированных сотрудников.
- Этим сотрудникам разрешено обрабатывать наиболее конфиденциальную информацию.
- У них повышенная подготовка и тестирование.
- Компания регулярно проводит расширенную проверку биографических данных, включая выборочную проверку на наркотики и проверку кредитоспособности.
Процесс
- Определите ваши критически важные данные или данные, которые могут нанести наибольший вред при использовании социальной инженерии.Обратитесь к третьей стороне для оценки рисков, чтобы определить любые возможные бреши в безопасности.
- Установите правила или политику обработки критически важных данных.
- Сообщите руководству или, возможно, совету директоров о результатах ваших тестов социальной инженерии, как положительных, так и отрицательных.
- Проведите случайные и запланированные тесты для всех сотрудников, используя методы социальной инженерии.
Технологии
Выбор технологий очень разнообразен и зависит от данных, которые необходимо защитить от социальной инженерии.Он может включать следующие технологические программы или проекты, но не ограничивается ими:
- Управление идентификацией и доступом
- Система управления инцидентами и событиями безопасности
- Технология вредоносного ПО без сигнатур
- Прокси-сервер, блокирующий как белые, так и черные списки
- Мониторинг входящей и исходящей связи
Грег Скотт
@DGregScott
Грег Скотт — ветеран бурной ИТ-индустрии. Проработав консультантом в Digital Equipment Corporation, крупной компьютерной компании в свое время, Скотт в 1994 году разветвился самостоятельно и основал Scott Consulting.Более крупная фирма купила Scott Consulting в 1999 году, когда крах доткомов опустошил индустрию ИТ-услуг. В конце 1999 года Скотт снова ушел сам по себе и основал Infrasupport Corporation, на этот раз сфокусировавшись на инфраструктуре и безопасности. В настоящее время он живет в Миннеаполисе / Сент. Пол метро с женой, дочерью и двумя внуками. Он имеет несколько сертификатов ИТ-индустрии, в том числе номер CISSP 358671.
Самыми распространенными атаками социальной инженерии, которые я видел, являются самые распространенные атаки социальной инженерии…
Фишинговые письма. Я должен получать их 200 или больше каждый божий день. Каждый раз, когда я участвую в другом форуме технической поддержки, кто-то должен продать мой адрес электронной почты новому спамеру / фишеру. Наиболее распространенными из них в последнее время являются электронные письма, якобы пришедшие от Amazon, с просьбой открыть файл .zip или .doc с последним обновлением. Я получаю несколько просьб указать номер для отслеживания товаров, которые я предположительно отправил. Иногда требуя их — просто нажмите на этот документ, чтобы увидеть счет, который я якобы отправил.Иногда имена в электронных письмах совпадают с именами людей, которых я знаю, поэтому они меня заставляют открывать электронные письма. Но не вложения.
Старомодные телефонные звонки возвращаются. У некоторых плохих парней в наши дни есть IP-телефоны с номерами вызывающих абонентов в моем коде города, что побуждает меня отвечать, когда они звонят. Я взял один сегодня утром у дамы с сильным акцентом. Она хотела отправить мою подарочную карту на 100 долларов, которую я попросил у кого-то на прошлой неделе. Когда я спросил, кто это был, она ответила, что не знает, что ее компания выполняет заказы от многих клиентов, и у нее нет возможности узнать, какой это клиент.Я не сказал ей «спасибо».
И еще всегда есть поддельные телефонные звонки в службу поддержки.
Как от этого защититься? Я ничего не могу поделать с входящими электронными письмами. Фильтрация спама избавляет от некоторых из них, но ничто не может заменить здравый смысл, и никакая автоматизация не будет эффективна на 100 процентов. Всякий раз, когда я думаю, что электронное письмо может быть законным, я проверяю заголовок электронного письма, чтобы узнать, откуда оно пришло. Лучшая защита от этого — старомодная человеческая бдительность.То же самое и с телефонными схемами.
Ондрей Крехель
@lifarsllc
Ондрей Крехель, CISSP, CEH, CEI, EnCE, является основателем и руководителем LIFARS LLC, международной фирмы по кибербезопасности и цифровой криминалистике. Он бывший директор по информационной безопасности службы 911 по краже личных данных, ведущей национальной службы по восстановлению кражи личных данных и управлению утечками данных. Ранее он проводил судебно-медицинские расследования и руководил отделом кибербезопасности в Stroz Friedberg и Loews Corporation.Обладая двадцатилетним опытом в области компьютерной безопасности и цифровой криминалистики, он начал расследования по широкому кругу вопросов ИТ-безопасности, от хакерских атак до утечки данных и кражи интеллектуальной собственности. Его работа привлекла внимание CNN, Reuters, The Wall Street Journal и New York Times, а также многих других.
Некоторые из распространенных типов тактики социальной инженерии включают …
Фишинг — популярный способ получения конфиденциальной информации и учетных данных от пользователей путем рассылки массовых электронных писем, которые имитируют дизайн и форму, например, электронное письмо от банка, страховой компании и т. д.в надежде обманом заставить пользователей отказаться от информации. Эта информация впоследствии может быть использована для открытия мошеннических кредитных карт или получения доступа к различным онлайн-счетам.
Spear Phishing — более изощренная форма фишинга. Злоумышленники, стоящие за целевыми фишинговыми кампаниями, обычно знают больше информации о жертвах и нацелены именно на них. Например, в недавнем случае взлома LastPass были украдены адреса электронной почты (вместе с другой информацией). Скорее всего, ими будут злоупотреблять, и злоумышленники отправят владельцам этих почтовых ящиков электронное письмо, которое будет напоминать официальное электронное письмо LastPass, которое будет рекомендовать пользователям изменить свои пароли, но когда пользователи это сделают, они фактически отправят его на киберпреступники.Точно так же целевой фишинг — один из наиболее эффективных способов взлома сети. Жертвы обычно получают поддельное электронное письмо от кого-то в компании с важным документом, который обычно устанавливает вредоносное ПО или какой-либо тип трояна, который будет использоваться для взлома их компьютера. Этот первоначальный вектор атаки оказался чрезвычайно эффективным и часто используется в кампаниях кибершпионажа высокого уровня.
Другой часто используемой формой социальной инженерии являются телефонные звонки. Это может произойти как часть более крупного мошенничества или как отдельное мошенничество.
Часть более крупного мошенничества:
Представьте себе, что учетные данные банковского счета человека украдены хакерами. Они не смогут отправлять деньги без ввода уникального кода, который отправляется на телефон жертвы. Известно, что мошенники связываются с жертвой до того, как переводят деньги со счета и лгут, чтобы жертва сообщила уникальный код. Они могут сказать что-нибудь вроде «Привет». Мы наблюдаем подозрительную активность в вашем аккаунте. Чтобы проверить рассматриваемую активность, нам нужно будет подтвердить, что вы действительно являетесь владельцем учетной записи.Вскоре вы получите подтверждающее SMS. Как только вы его получите, прочтите код мне, и мы продолжим рассмотрение. — Это очень эффективно.
Как отдельная афера:
Вам звонит человек, утверждающий, что он сотрудник службы технической поддержки Microsoft, которому поручено связаться с вами по поводу ошибки, которую он получает от вашего компьютера. Чтобы исправить ошибку, он попросит вас установить одну небольшую программу, которую он использует для диагностики проблемы. Эта программа обычно является вредоносной.Часто с регистратором ключей и трояном удаленного доступа, которым они могут злоупотребить, чтобы украсть ваши банковские данные, а также все, что им заблагорассудится. Они также часто просят вас оплатить услугу кредитной картой — и, к сожалению, многие люди на нее попадают. Это всего лишь несколько примеров того, как социальную инженерию в цифровой сфере можно использовать для совершения преступлений и преследования невинных людей.
Амихай Шульман
@Imperva
Амихай Шульман — соучредитель и технический директор Imperva.Амичай курирует исследовательскую группу компании по безопасности и соответствию, Центр защиты приложений (ADC). ADC приписывают обнаружение уязвимостей в коммерческих веб-приложениях и продуктах баз данных, включая Oracle, IBM и Microsoft. Он также был техническим директором InfoWorld в 2006 году.
Когда дело доходит до атак социальной инженерии, компании должны понимать …
Социальная инженерия — один из самых мощных инструментов, используемых злоумышленниками, и, вероятно, лежит в основе каждого серьезного нарушения.Существует множество неправильных представлений о том, как в основном используется социальная инженерия, но реальность гораздо менее гламурна, чем восприятие, и часто возникает по электронной почте.
Большая часть киберпреступности связана с массовыми инфекционными кампаниями, основанными на массовой социальной инженерии. При распространении в достаточно большом количестве эти сообщения обязательно найдут свою целевую группу жертв и станут эффективными. При осторожном распределении (например, выбирая адреса типа [email protected], hr @ someorg.com), эти кампании становятся еще более эффективными с меньшими списками рассылки (что также затрудняет их обнаружение как спам).
Вот два очень распространенных метода электронной почты, которые я получил только за последние несколько недель:
1. Соответствие электронной почты целевой аудитории
Нередко можно получать электронные письма, которые кажутся совершенно нормальными и могут быть от компании, которую вы работали с ранее, но на самом деле заражены. Например, я получил электронное письмо от юридической фирмы, с которой я работал.Я заметил, что в список получателей включены все контакты из списка юристов, и я смог сказать, что это было сделано с помощью средств автоматизации. Я уверен, что других в списке обманули, так как они, вероятно, ждали информации от этого самого адвоката и не подозревали, что подверглись нападению. Если ваши электронные письма выглядят законными и актуальными, многие люди не будут дважды задумываться о полученном письме.
2. Спуфинг
Мне недавно прислали электронное письмо от туристического агентства, в котором я забронировал поездку, и мне отправили стандартное электронное письмо из отдельной учетной записи, которая выдавала себя за адрес отправителя.Я предполагаю, что большинство людей станут жертвами этой атаки, поскольку письмо выглядит так, как будто оно пришло с доверенного адреса. При этом часто злоумышленники получают информацию от своей жертвы просто из ответа. Что мы можем сделать?
Хотя обучение сотрудников необходимо, заражение неизбежно. Будут нажиматься ссылки, а вложения загружаться, открываться и выполняться, потому что это работа среднего сотрудника. Организации должны сосредоточиться на создании пакета безопасности, который быстро обнаруживает скомпрометированный компьютер или учетную запись, а затем быстро и автоматически применяет карантин к тому, что было скомпрометировано, предотвращая дальнейший доступ к конфиденциальным корпоративным данным.
Кен Симпсон
@ttul
Кен Симпсон — соучредитель и генеральный директор MailChannels. Кен впервые испытал азарт и магию программного обеспечения, когда его отец принес домой один из первых компьютеров IBM в 1980 году и научил его писать простые программы на BASIC. С тех пор он объединил свою страсть к программному обеспечению с предпринимательством, основав или участвуя в качестве начального сотрудника в четырех успешных стартапах в широком спектре технических областей, включая передачу голоса по IP, беспроводной Интернет и, конечно же, борьбу со спамом.Кен имеет диплом с отличием в области компьютерной инженерии в Университете Саймона Фрейзера и Университете Санта-Клары. В Рабочей группе по борьбе с злоупотреблениями в обмене сообщениями (MAAWG) Кен делит свое время, управляя подкомитетами по ботнетам и веб-злоупотреблениям, а также помогая в работе подкомитета исходящих нарушений.
Социальная инженерия обычно используется для …
Расширение уже существующей утечки информации. Так, например, злоумышленник может иметь определенную информацию о сотрудниках в компании, и он использует эту информацию, чтобы узнать что-то новое — например, пароль для внутренней системы.Существует заблуждение, что социальная инженерия — это одноразовая сделка: один фальшивый звонок от кабельной компании, и внезапно украдены миллионы номеров кредитных карт. Профессиональные киберпреступники извлекают по одному фрагменту за раз, медленно проникая в глубь организации.
Например, RSA была взломана с помощью социальной инженерии, чтобы получить доступ к инфраструктуре SecurID. Первым шагом было отправка двух фишинговых сообщений двум группам сотрудников относительно низкого уровня.Тема была «Рекрутинг 2011», и сообщения содержали вредоносную программу Excel, которая провела атаку нулевого дня на компьютеры сотрудников. Несмотря на то, что файл Excel был помещен в нежелательную папку, по крайней мере один сотрудник извлек его из нежелательной почты и открыл, запустив вредоносное ПО и поставив под угрозу свою машину. До фишинговых сообщений предполагалось, что злоумышленник использовал социальные сети, такие как LinkedIn, для сопоставления целей компании по имени и что они угадывали адреса электронной почты, используя знакомый шаблон, такой как первый[email protected]. После установки вредоносного ПО злоумышленник просматривал файлы в целевой системе и обращался к внутренним веб-сайтам RSA для определения более ценных целей. Обладая этой информацией, они двинулись к более важным целям и, в конечном итоге, к данным, которые они искали.
Вообще говоря, наиболее распространенная атака социальной инженерии в наши дни — это целенаправленная фишинговая атака. При целевом фишинге, таком как случай RSA, описанный выше, злоумышленник нацеливается на очень конкретных сотрудников с сообщением, которое они могут интерпретировать как подлинное.На целевое фишинговое сообщение либо поступает ответ, содержащий информацию, которая позволяет злоумышленнику глубже зондировать, либо он напрямую приводит к установке вредоносного ПО. В любом случае, следующий шаг — продвинуться дальше в организацию либо в электронном виде через уязвимости, либо через дополнительные целевые фишинговые электронные письма другим в организации, расположенные через внутренние каталоги.
Курт Симионе
@TechnologySeed
Курт основал Technology Seed, LLC в июне 2000 года.Курт участвует в большинстве аспектов бизнеса, включая работу «закатывая рукава». По своей сути он умеет устранять неполадки и с удовольствием справляется с проблемами, возникающими при работе с ИТ. Курт, как известно, время от времени играл со своими детьми в игру Bruin’s.
Наиболее распространенные типы атак социальной инженерии, осуществляемые против компаний, включают …
Мошенничество по электронной почте, хотя ничего нового не происходит от случайных рассылок электронной почты до сотен тысяч целей и до целевых, преднамеренных атак по электронной почте.Электронные мошенники умело используют следующую социальную инженерию:
1. Изучите и выберите целевую компанию.
а. Это существенное отличие от исторических атак, которые были случайными.
2. Приобретите необходимые инструменты атаки (доменное имя практически идентичное имени целевой компании).
а. Это существенное изменение, поскольку эта атака фактически стоит денег мошеннику.
3. Выберите соответствующих руководителей целевой компании.
4.Придумайте мошенничество, которое обычно включает в себя хорошо написанное электронное письмо, предназначенное для использования доверия руководителей высшего звена, которые слишком заняты, чтобы должным образом проверять свои электронные письма.
В I.T. world, мы обнаруживаем, что независимо от того, какие шаги мы предпринимаем, какую бы технологию мы ни внедряли, обучение конечных пользователей является лучшей защитой от этих типов (и большинства типов) мошенничества. Поднимите бровь на все, что кажется странным, кажется вам неправильным или чего вы не ожидали. Если вы не уверены, возьмите трубку и позвоните в надежный ресурс.
Луис А. Чапетти
@CudaSecurity
Луис А. Чапетти, инженер-программист и специалист по данным, Barracuda. Луис является частью центральной разведывательной группы Barracuda, где он носит различные шляпы, связанные с системами защиты IP-репутации, базами данных Spydef и другими основными средствами безопасности в системе защиты Barracuda Real-time.
Когда дело доходит до социальной инженерии и предотвращения подобных атак против вашей компании, я рекомендую …
Когда-то хакеры и спамеры полагались на рассылку спама / фишинговых писем как можно большему количеству глаз. доступ к конфиденциальной информации через вредоносные вложения или ссылки.Попытки спама / фишинга превратились в чрезвычайно специфические и, по сути, самые продвинутые постоянные угрозы, наблюдаемые на сегодняшний день. Используя тактику социальных сетей, чтобы найти кого угодно, злоумышленники отлично умеют персонализировать фишинговые письма.
LinkedIn предоставил обширную информацию о сотрудниках практически любой компании. Facebook может помочь злоумышленнику, найдя не только руководителей высшего звена, но и членов семьи, которые могут иметь доступ к мобильному устройству или машинам, подключенным к сети.
Это два часто используемых элемента в социальной инженерии, в целях безопасности мы рекомендуем следующее:
- Используйте систему управления мобильными устройствами, обеспечивающую тот же высокий уровень безопасности, который вы ожидаете увидеть в своей штаб-квартире, куда бы вы ни пошли.
- Сегментировать уровень доступа. Убедитесь, что только люди, имеющие доступ к конфиденциальным данным, имеют определенные учетные данные для этих данных.
- Используйте мощный фильтр электронной почты. Таким образом почти все успешные атаки получают какую-либо информацию или заражают машины.
- LinkedIn и Facebook следует использовать для связи только с теми, кого вы знаете или с которыми ведете бизнес. Относитесь к нему как к таковому и помните, что это не конкурс популярности, в конце концов, это может дорого обойтись.
- Обучите своих сотрудников и убедитесь, что они осведомлены о потенциальном риске подобных атак социальной инженерии. Чем больше они узнают, тем лучше будут ваши сотрудники и компания.
Натан Максвелл
@CCI_team
Натан Максвелл (Nathan Maxwell) — консультант по кибербезопасности, помогающий организациям получать доступ к рискам / снижать риски и делать себя немного сложнее для компрометации, чем в соседней компании.
Социальная инженерия продолжает оставаться широко распространенным способом для злоумышленников закрепиться в организации …
Самым слабым звеном в компании по-прежнему остаются работающие там сотрудники.
Методы атак настолько же распространены, насколько и утомительны. Иногда они используют данные, полученные в результате массовых утечек корпоративной информации. Эти электронные письма созданы так, чтобы находить отклик у получателя. Чтобы иметь степень достоверности: «Они уже знают это обо мне …»
В творческих электронных письмах заглавная I будет заменена строчной l.Они будут использовать международные символы, например, é vs è vs ė vs e. Все они предназначены для того, чтобы обмануть получателя относительно того, кто на самом деле отправил письмо.
Хотя есть несколько способов использовать технологии для защиты от социальной инженерии, наиболее эффективным является обучение сотрудников. Простые инструкции, такие как «Не нажимайте на ссылки», имеют большое значение. Если письмо пришло от Dropbox, удалите сообщение, откройте вкладку браузера, введите www.dropbox.com и соответствующим образом взаимодействуйте с веб-сайтом.
Кроме того, использование службы электронной почты, которая проверяет каждый веб-адрес при нажатии на него, является отличным временным решением.
Kamyar Shah
@kshahwork
Kamyar Shah — консультант по малому бизнесу, помогающий компаниям повысить прибыльность и производительность, предлагая услуги удаленного CMO и удаленного COO.
Слишком много разных способов назвать их все; однако у наиболее успешных атак с помощью социальной инженерии есть несколько общих черт …
Источником обычно является авторитетный объект, такой как банк или правительство, и создание ощущения безотлагательности посредством потенциальной выгоды или потенциального вреда. / штрафы.
Хотя существует несколько сложных инструментов, которые могут помочь в минимизации воздействия таких атак, два наиболее эффективных из них включают обучение и резервное копирование. Непрерывное обучение и обучение конечных пользователей поможет снизить общее количество успешных атак, а резервное копирование послужит страховкой в случае успеха атаки.
Ян Макрей
@encomputers
Ян Макрей — президент E-N Computers, Inc. Ян всю свою жизнь увлечен технологиями.Он предоставляет ИТ-услуги в Вашингтоне и Вирджинии с 1997 года. Ему нравится решать проблемы, знать, что возможно, и сочетать правильное сочетание людей, процессов и технологий, чтобы немного облегчить жизнь.
Я вижу три категории атак социальной инженерии …
1. Прямой запрос денег или информации о кредитной карте в электронном виде.
Избежать этого может быть сложнее, чем вы думаете. Хорошо помнить, что если кто-то просит вас предоставить информацию или отправить электронную форму денег, и это немного необычно, притормозите и уточните у них, используя дополнительный метод.Например, если вы получили электронное письмо от начальника с просьбой приобрести коды подарочных сертификатов Apple iTunes и отправить ему по электронной почте, позвоните ему на его мобильный телефон и сделайте голосовое подтверждение перед выполнением запроса.
2. Запрос доступа к вашим учетным записям или паролям, который обычно выполняется путем нажатия на ссылку и перехода на веб-сайт, на котором будет запрашиваться ваша информация.
Я вижу, что многие из них охотятся на новых пользователей, которые изображают из себя популярные веб-системы, такие как DropBox или Office 365.Хотя эти системы небезопасны, злоумышленники используют свои логотипы и охотятся на пользователей, которые еще не до конца понимают, чего ожидать от новых технологий. Например, придет электронное письмо с сообщением, что у вас есть новый факс Office 365, и если вы нажмете на ссылку, им действительно может понадобиться ваш пароль или доступ для установки программного обеспечения на ваши компьютеры. Как только доступ и информация предоставлены, злоумышленники могут получить другие учетные данные, такие как доступ к банковским счетам, деловая информация, информация о кредитной карте, с которой вы можете регулярно работать в Интернете.
3. Выкуп.
Вы можете получить электронное письмо с сообщением: «У нас есть ваш пароль и компрометирующее видео с вашим участием, заплатите нам или иначе». Есть много способов предотвратить подобное с вами. Во-первых, когда вы получаете новое программное обеспечение или систему, вам необходимо пройти обучение, а не только тому, как использовать их в первый раз. Обучение должно быть непрерывным. Образование — лучший способ уберечь этих преступников от страха перед технологиями. Например, одна из используемых нами мер — симуляторы фишинга, которые помогают людям распознавать злонамеренные попытки.
Для предприятий еще один способ предотвращения этого — открытые линии связи со службой ИТ-поддержки, если она у вас есть. Мы обнаружили, что если вы этого не сделаете и у вас есть поставщик услуг с почасовой оплатой, это может помешать пользователям брать трубку. Это общение имеет первостепенное значение в борьбе с атаками социальной инженерии. Ваши сотрудники должны чувствовать себя комфортно, поднимая трубку и спрашивая о странном электронном или текстовом сообщении. Кроме того, конечно, предприятиям необходимы надежный контроль паролей и безопасность.
Аднан Раджа
@AtlanticNet
Аднан Раджа — вице-президент по маркетингу компании Atlantic.Net, решение для веб-хостинга, которое обеспечивает HIPAA-совместимый, управляемый и выделенный облачный хостинг.
Атаки социальной инженерии очень распространены на современном цифровом рабочем месте …
По сути, сотрудники компании становятся жертвами и часто обманом заставляют непреднамеренно раскрыть конфиденциальную информацию. Часто это происходит по электронной почте или по телефону. Целями могут быть все: от генерального директора до коллег по службе поддержки.
Распространенные атаки включают фишинг, когда третья сторона пытается выдать себя за подлинный источник и отправлять мошеннические сообщения с целью извлечения конфиденциальных данных.Типичный пример — выдача себя за банки, страховых брокеров или юридических фирм. Фишинговые электронные письма маскируются под подлинно выглядящие бренды компании, публикующие фальшивые объявления компании.
Другая распространенная атака — производная фишинга, известная как китобойный промысел. Это когда высокопоставленный исполнительный персонал, такой как генеральный директор, директора или высокопоставленный персонал, преследуется целью получения информации. Хакеры часто охотятся на людей с большим оттоком учетных записей электронной почты, когда более вероятно случайное открытие фальшивых вложений.Такие угрозы, как поддельные счета-фактуры, содержащие вредоносный макрокод, могут внедряться в компьютер и добывать данные или нажатия чувствительных клавиш.
Аутсорсинг ИТ-операций поставщику, имеющему хорошую репутацию в области безопасности, является одним из вариантов, который можно рассмотреть для предотвращения атак социальной инженерии. Эти поставщики управляемых услуг могут предложить уровень аппаратной защиты для бизнес-ИТ-систем, а также упреждающе отслеживать подозрительную активность и обнаруживать угрозы.
Брэндон Шрот
@gwdatarecovery
Брэндон Шрот — цифровой менеджер Gillware Data Recovery, компании мирового класса по восстановлению данных и лаборатории цифровой криминалистики.
Персонал службы поддержки может получать телефонные звонки от людей, подделывающих информацию …
Возможен сброс пароля или попытки получить доступ к конфиденциальной информации, такой как информация о банковском счете. Колл-центр может стать целью, когда хакер имеет некоторую общую информацию о цели, и он будет использовать упорство для извлечения дополнительной информации из колл-центра. Регулярное обучение персонала имеет первостепенное значение для сотрудников, чтобы они могли изучить методы атак социальной инженерии и убедиться, что они всегда следуют лучшим практикам безопасности.
Владимир Мурашка
@ScienceSoft
Владимир Мурашка — сертифицированный этический хакер в ScienceSoft с более чем 6-летним опытом тестирования на проникновение. Сферы компетенции Владислава включают реверс-инжиниринг, тестирование на проникновение в веб-приложениях и мобильных приложениях с использованием черного, белого и серого ящиков, поиск ошибок и исследовательскую работу в области информационной безопасности.
Атаки социальной инженерии, такие как фишинговые электронные письма и кража личных данных, являются наиболее распространенными киберугрозами, с которыми сталкиваются компании…
Чтобы быть менее уязвимыми для таких атак, компании должны обучать своих сотрудников использованию сложных паролей и не входить на сторонние веб-сайты с корпоративными адресами электронной почты.
Теги: Социальная инженерия, Фишинг
Социальная инженерия | KnowBe4
Примеры из реального мира
Фишинг
Классическим примером является афера с техподдержкой, которая бывает разных видов и уровней сложности.
За последние несколько лет поставщики онлайн-услуг активно обменивались сообщениями с клиентами, когда они обнаруживали необычную активность в учетных записях своих пользователей.Неудивительно, что плохие парни использовали эту тенденцию в своих интересах. Многие электронные письма плохо спроектированы из-за плохой грамматики и т. Д., Но другие выглядят достаточно законными, чтобы кто-то нажал на них, если бы не обратил на них пристального внимания.
Считайте это поддельным уведомлением о безопасности Paypal, предупреждающим о потенциальных отметках «необычной активности при входе в систему» на их счетах:
Наведение указателя мыши на ссылки было бы явным признаком того, что это фишинговое письмо, но достаточное количество целевых пользователей щелкают, не задумываясь, и подобные мошенничества продолжаются.
Копье-фишинг
При целевой фишинговой атаке злоумышленники используют глубокие знания потенциальных жертв для нацеливания на них, и этот подход позволяет им адаптировать атаку. Эти электронные письма более убедительны и их труднее обнаружить, чем обычные фишинговые письма. Злоумышленник точно знает, на кого и что он нацелен.
В отличие от массовых фишинговых электронных писем, которые могут быть попытками распространения программ-вымогателей или сбора индивидуальных учетных данных для быстрого заработка, целевые фишеры обычно ищут конфиденциальную информацию, коммерческие секреты и т. Д.
Мошенничество с генеральным директором
Вот пример попытки мошенничества генерального директора, направленной на клиента KnowBe4. Она получила электронное письмо от человека, который якобы был президентом компании. Сотрудница сначала ответила, затем вспомнила о своем обучении и отправила электронное письмо с помощью кнопки уведомления о фишинге, предупредив свой ИТ-отдел о попытке мошенничества.
Когда сотрудница не смогла продолжить банковский перевод, она получила еще одно электронное письмо от плохих парней, которые, вероятно, думали, что обманули ее:
Благодаря тому, что эта служащая прошла надлежащую подготовку по вопросам безопасности, она смогла уберечь свою компанию от заголовков.Однако это был близкий вызов, и не всем так повезло!
Социальные сети
Киберпреступники создают поддельные профили в социальных сетях и пытаются вас обмануть. Они будут изображать знаменитость, одного из ваших друзей или коллег. Эти профили очень похожи на настоящие, и их легко обмануть. Они пытаются изобразить знаменитость, которую плохие парни уже знают, что вам очень нравится.
Допустим, вас обманом заставили поверить в поддельный профиль в социальной сети.Следующим шагом является то, что они пытаются заставить вас щелкнуть ссылку или установить вредоносное программное обеспечение, часто что-то для просмотра видео или просмотра фотографий. Если вы нажмете кнопку или выполните эту установку, весьма вероятно, что вы заразите свой компьютер вредоносным ПО, которое позволит злоумышленнику захватить ваш компьютер.
Что такое социальная инженерия? | Определение
Социальная инженерия Определение
Социальная инженерия — это метод манипуляции, который использует человеческий фактор для получения личной информации, доступа или ценностей.В киберпреступности эти мошеннические действия с «взломом человека», как правило, склоняют ничего не подозревающих пользователей к раскрытию данных, распространению вредоносных программ или предоставлению доступа к системам с ограниченным доступом. Атаки могут происходить в Интернете, при личном контакте и при других взаимодействиях.
Мошенничество, основанное на социальной инженерии, строится на том, как люди думают и действуют. Таким образом, атаки социальной инженерии особенно полезны для манипулирования поведением пользователя. Как только злоумышленник понимает, что мотивирует действия пользователя, он может эффективно обмануть пользователя и манипулировать им.
Кроме того, хакеры пытаются использовать незнание пользователя. Благодаря скорости развития технологий многие потребители и сотрудники не подозревают об определенных угрозах, например о косвенных загрузках. Пользователи также могут не осознавать всю ценность личных данных, таких как номер телефона. В результате многие пользователи не знают, как лучше всего защитить себя и свою информацию.
Обычно злоумышленники с социальной инженерией преследуют одну из двух целей:
- Саботаж: нарушение или повреждение данных с целью причинения вреда или неудобств.
- Кража: Получение ценностей, таких как информация, доступ или деньги.
Это определение социальной инженерии можно расширить, если точно знать, как оно работает.
Как работает социальная инженерия?
Большинство атак социальной инженерии основаны на реальном общении между злоумышленниками и жертвами. Злоумышленник склонен побуждать пользователя к компрометации, а не использовать методы грубой силы для взлома ваших данных.
Цикл атаки дает этим преступникам надежный способ обмануть вас.Шаги для цикла атаки социальной инженерии обычно следующие:
- Подготовьте , собрав справочную информацию о вас или более крупной группе, частью которой вы являетесь.
- Проникнуть в , установив отношения или инициируя взаимодействие, начавшееся с установления доверия.
- Эксплуатировать жертву , как только будет установлено доверие и слабость для продвижения атаки.
- Отключите , как только пользователь выполнит желаемое действие.
Этот процесс может происходить в одном электронном письме или в течение нескольких месяцев в серии чатов в социальных сетях. Это может быть даже личное общение. Но в конечном итоге это завершается действием, которое вы предпринимаете, например, делитесь своей информацией или подвергаете себя воздействию вредоносного ПО.
Важно остерегаться социальной инженерии как средства запутывания. Многие сотрудники и потребители не понимают, что всего несколько фрагментов информации могут дать хакерам доступ к нескольким сетям и учетным записям.
Под видом законных пользователей персоналу ИТ-поддержки они получают ваши личные данные, такие как имя, дату рождения или адрес. Оттуда можно легко сбросить пароли и получить практически неограниченный доступ. Они могут красть деньги, распространять вредоносные программы социальной инженерии и многое другое.
Особенности атак социальной инженерии
Атаки социальной инженерии основаны на использовании злоумышленником убеждения и уверенности. Когда вы столкнетесь с этой тактикой, вы с большей вероятностью предпримете действия, которые в противном случае не совершили бы.
Среди большинства атак вы обнаружите, что вас вводят в заблуждение, вводя в заблуждение следующее поведение:
Повышенные эмоции : эмоциональные манипуляции дают злоумышленникам преимущество при любом взаимодействии. Вы гораздо чаще совершаете иррациональные или рискованные действия, когда находитесь в усиленном эмоциональном состоянии. Следующие ниже эмоции используются в равной мере, чтобы убедить вас.
- Страх
- Волнение
- Любопытство
- Гнев
- Вина
- Печаль
Срочность: Срочные возможности или просьбы — еще один надежный инструмент в арсенале злоумышленника.У вас может быть мотивация пойти на компромисс под видом серьезной проблемы, требующей немедленного внимания. Кроме того, вы можете получить приз или награду, которая может исчезнуть, если вы не будете действовать быстро. Любой подход отменяет вашу способность критического мышления.
Доверие: Правдоподобность бесценна и необходима для атаки социальной инженерии. Поскольку злоумышленник в конечном итоге лжет вам, здесь важную роль играет уверенность. Они провели достаточно исследований, чтобы составить повествование, в которое легко поверить и которое вряд ли вызовет подозрения.
Есть некоторые исключения из этих признаков. В некоторых случаях злоумышленники используют более упрощенные методы социальной инженерии для получения доступа к сети или компьютеру. Например, хакер может часто посещать общественный ресторанный дворик в большом офисном здании и заниматься серфингом по плечу пользователей, работающих на своих планшетах или ноутбуках. Это может привести к появлению большого количества паролей и имен пользователей без отправки электронного письма или написания строчки кода вируса.
Теперь, когда вы понимаете основную концепцию, вы, вероятно, задаетесь вопросом: «Что такое атака социальной инженерии и как ее обнаружить?»
Типы атак социальной инженерии
Практически каждый тип атак кибербезопасности содержит какую-либо социальную инженерию.Например, классическая электронная почта и вирусное мошенничество имеют социальную окраску.
Социальная инженерия может воздействовать на вас в цифровом виде не только с настольных устройств, но и с помощью мобильных атак. Однако с такой же легкостью вы можете столкнуться с угрозой лично. Эти атаки могут накладываться друг на друга и накладываться друг на друга, создавая мошенничество.
Вот несколько распространенных методов, используемых злоумышленниками с помощью социальной инженерии:
Фишинговые атаки
Фишинговые злоумышленники притворяются доверенным лицом или учреждением, пытаясь убедить вас раскрыть личные данные и другие ценности.
Атаки с использованием фишинга могут быть нацелены одним из двух способов:
- Спам-фишинг, или массовый фишинг — это широко распространенная атака, нацеленная на многих пользователей. Эти атаки не являются персонализированными и пытаются поймать любого ничего не подозревающего человека.
- Spear phishing и, соответственно, whaling , используют персонализированную информацию для нацеливания на определенных пользователей. Нападения китобойного промысла нацелены на такие важные цели, как знаменитости, высшее руководство и высокопоставленные государственные чиновники.
Будь то прямое общение или через поддельную форму веб-сайта, все, чем вы делитесь, попадает прямо в карман мошенника. Вас могут даже обмануть, загрузив вредоносное ПО, содержащее следующий этап фишинг-атаки. Каждый из методов, используемых в фишинге, имеет уникальные способы доставки, включая, помимо прочего:
Голосовой фишинг (вишинг) телефонных звонков могут быть автоматизированными системами сообщений, записывающими все ваши входные данные. Иногда живой человек может поговорить с вами, чтобы повысить доверие и срочность.
SMS-фишинг (smishing) текстов или сообщений мобильного приложения может включать в себя веб-ссылку или подсказку с помощью мошеннического электронного письма или номера телефона.
Электронный фишинг — самый традиционный способ фишинга, использующий электронное письмо с призывом ответить или принять дальнейшие меры другими способами. Можно использовать веб-ссылки, номера телефонов или вложения вредоносных программ.
Angler phishing происходит в социальных сетях, где злоумышленник имитирует службу поддержки клиентов надежной компании.Они перехватывают ваше общение с брендом, чтобы перехватить и перенаправить ваш разговор в личные сообщения, где затем продвигают атаку.
Фишинг поисковой системы пытается разместить ссылки на поддельные веб-сайты в верхней части результатов поиска. Это может быть платная реклама или использование законных методов оптимизации для управления рейтингом в поисковой сети.
URL-фишинг ссылок соблазняют вас перейти на фишинговые сайты. Эти ссылки обычно доставляются в электронных письмах, текстах, сообщениях в социальных сетях и онлайн-рекламе.Атаки скрывают ссылки в тексте или кнопках с гиперссылками, используя инструменты сокращения ссылок, или вводимые в заблуждение URL-адреса.
Фишинг во время сеанса отображается как прерывание вашего обычного просмотра веб-страниц. Например, вы можете видеть всплывающие окна с фальшивым входом для страниц, которые вы сейчас посещаете.
Приманка к атаке
Приманка злоупотребляет вашим естественным любопытством, чтобы вынудить вас раскрыться перед злоумышленником. Как правило, возможность чего-то бесплатного или эксклюзивного — это манипуляции, используемые для вашей эксплуатации.Атака обычно связана с заражением вас вредоносным ПО.
Популярные методы травли включают:
- USB-накопителей, оставленных в общественных местах, например в библиотеках и на парковках.
- Вложения электронной почты, включая подробную информацию о бесплатном предложении или мошенническом бесплатном программном обеспечении.
Физические взломы
Физические взломы вовлекают злоумышленников, которые появляются лично, выдавая себя за кого-то законного, чтобы получить доступ к иным неавторизованным областям или информации.
Атаки такого рода наиболее распространены в корпоративных средах, таких как правительства, предприятия или другие организации. Злоумышленники могут выдать себя за представителя известного поставщика, которому доверяют. Некоторые злоумышленники могут быть даже недавно уволенными сотрудниками из-за мести своему бывшему работодателю.
Они скрывают свою личность, но достаточно правдоподобны, чтобы избежать вопросов. Это требует небольшого исследования со стороны злоумышленника и сопряжено с высоким риском. Итак, если кто-то пытается использовать этот метод, он обнаружил явный потенциал для очень ценной награды в случае успеха.
Pretexting Attacks
Pretexting использует обманчивую личность в качестве «предлога» для установления доверия, такого как прямое выдвижение себя за продавца или сотрудника предприятия. Такой подход требует от злоумышленника более активного взаимодействия с вами. Эксплойт следует, как только они убедят вас, что они законны.
Атаки с перехватом доступа
Перекрытие с кодом или совмещение — это процесс слежки за авторизованным сотрудником в зоне с ограниченным доступом.Злоумышленники могут проявить вежливость, чтобы заставить вас придержать за них дверь или убедить вас, что они также имеют право находиться в этом районе. Претекст также может сыграть свою роль.
Quid Pro Quo Attacks
Quid pro quo — это термин, примерно означающий «услугу за услугу», что в контексте фишинга означает обмен вашей личной информации на вознаграждение или другую компенсацию. Подарки или предложения принять участие в исследованиях могут подвергнуть вас атаке такого типа.
Эксплуатация заключается в том, чтобы вдохновить вас на что-то ценное, что требует небольших вложений с вашей стороны. Однако злоумышленник просто забирает ваши данные без вознаграждения.
Атаки с использованием спуфинга DNS и отравления кеша
Спуфинг DNS манипулирует вашим браузером и веб-серверами для перехода на вредоносные веб-сайты, когда вы вводите законный URL. После заражения этим эксплойтом перенаправление продолжится до тех пор, пока из задействованных систем не будут удалены неточные данные маршрутизации.
Атаки с отравлением кэша DNS специально заражают ваше устройство инструкциями по маршрутизации для законного URL-адреса или нескольких URL-адресов для подключения к мошенническим веб-сайтам.
Scareware Attacks
Scareware — это разновидность вредоносного ПО, используемого для того, чтобы запугать вас и побудить к действию. Это обманчивое вредоносное ПО использует тревожные предупреждения, в которых сообщается о поддельном заражении вредоносным ПО или утверждается, что одна из ваших учетных записей была взломана.
В результате вредоносное ПО подталкивает вас к покупке мошеннического программного обеспечения для обеспечения кибербезопасности или к разглашению личных данных, таких как учетные данные вашей учетной записи.
Атаки Watering Hole
Атаки Watering Hole заражают популярные веб-страницы вредоносными программами, поражая одновременно множество пользователей. От злоумышленника требуется тщательное планирование, чтобы найти слабые места на определенных сайтах. Они ищут существующие уязвимости, которые не известны и не исправлены — такими уязвимостями считаются эксплойтов нулевого дня .
В других случаях они могут обнаружить, что сайт не обновил свою инфраструктуру для устранения известных проблем. Владельцы веб-сайтов могут отложить обновления программного обеспечения, чтобы версии программного обеспечения, которые, как им известно, оставались стабильными.Они перейдут на новый уровень, как только более новая версия зарекомендует себя в области стабильности системы. Хакеры злоупотребляют этим поведением, чтобы атаковать недавно исправленные уязвимости.
Необычные методы социальной инженерии
В некоторых случаях киберпреступники использовали сложные методы для завершения своих кибератак, в том числе:
- Фишинг по факсу: Когда клиенты одного банка получили поддельное электронное письмо, которое якобы было отправлено банком — просить клиента подтвердить свои коды доступа — метод подтверждения был не через обычные маршруты электронной почты / Интернета.Вместо этого клиента попросили распечатать форму в электронном письме, затем заполнить свои данные и отправить форму по факсу на номер телефона киберпреступника.
- Традиционное распространение вредоносных программ по почте: В Японии киберпреступники использовали службу доставки на дом для распространения компакт-дисков, зараженных троянскими шпионскими программами. Диски доставлены клиентам японского банка. Адреса клиентов ранее были украдены из базы данных банка.
Примеры атак социальной инженерии
Атаки вредоносных программ заслуживают особого внимания, поскольку они распространены и имеют длительные последствия.
Когда создатели вредоносных программ используют методы социальной инженерии, они могут соблазнить неосторожного пользователя запустить зараженный файл или открыть ссылку на зараженный веб-сайт. Многие почтовые черви и другие вредоносные программы используют эти методы. Без комплексного программного обеспечения безопасности для мобильных и настольных устройств вы, скорее всего, подвергнете себя заражению.
Атаки червя
Киберпреступник стремится привлечь внимание пользователя к ссылке или зараженному файлу, а затем заставить пользователя щелкнуть по ней.
Примеры атак этого типа включают:
- Червь LoveLetter , который в 2000 году перегрузил почтовые серверы многих компаний. Жертвы получили электронное письмо, в котором им предлагалось открыть прикрепленное любовное письмо. Когда они открыли прикрепленный файл, червь скопировал себя на все контакты в адресной книге жертвы. Этот червь до сих пор считается одним из самых разрушительных с точки зрения нанесенного им финансового ущерба.
- Электронный червь Mydoom , появившийся в Интернете в январе 2004 года, использовал тексты, имитирующие технические сообщения, отправляемые почтовым сервером.
- Червь Swen выдавал себя за сообщение, отправленное от Microsoft. Он утверждал, что вложение представляет собой патч, который устраняет уязвимости Windows. Неудивительно, что многие люди серьезно отнеслись к этому заявлению и попытались установить фиктивное исправление безопасности, хотя на самом деле это был червь.
Каналы доставки ссылок на вредоносное ПО
Ссылки на зараженные сайты могут быть отправлены по электронной почте, ICQ и другим системам обмена мгновенными сообщениями — или даже через Интернет-чаты IRC.Мобильные вирусы часто доставляются с помощью SMS-сообщений.
Какой бы метод доставки ни использовался, сообщение обычно будет содержать привлекательные или интригующие слова, которые побуждают ничего не подозревающего пользователя щелкнуть ссылку. Этот метод проникновения в систему может позволить вредоносной программе обойти антивирусные фильтры почтового сервера.
Одноранговые (P2P) сетевые атаки
P2P-сети также используются для распространения вредоносных программ. Червь или троянский вирус появится в сети P2P, но будет назван так, чтобы привлечь внимание и побудить пользователей загрузить и запустить файл.Например:
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- Эмулятор Play Station crack.exe
Пристыдить зараженных пользователей, не сообщающих об атаке
В некоторых случаях , создатели и распространители вредоносных программ принимают меры, которые снижают вероятность того, что жертвы сообщат о заражении:
Жертвы могут ответить на поддельное предложение бесплатной утилиты или руководства, обещающего незаконные выгоды, например:
- Бесплатный доступ в Интернет или мобильную связь.
- Возможность скачать генератор номеров кредитных карт.
- Способ увеличения баланса онлайн-аккаунта жертвы.
В этих случаях, когда загрузка оказывается троянским вирусом, жертва старается не раскрывать свои собственные незаконные намерения. Следовательно, жертва, вероятно, не будет сообщать о заражении в правоохранительные органы.
В качестве примера этого метода можно привести троянский вирус, который однажды был отправлен на адреса электронной почты, взятые с веб-сайта по найму.Люди, которые зарегистрировались на сайте, получали поддельные предложения о работе, но в предложениях содержался троянский вирус. Атака в основном была нацелена на корпоративные адреса электронной почты. Киберпреступники знали, что сотрудники, получившие троян, не захотят сообщать своим работодателям о том, что они были заражены, пока они ищут альтернативную работу.
Как обнаружить атаки социальной инженерии
Защита от социальной инженерии требует от вас практики самосознания. Всегда замедляйтесь и думайте, прежде чем что-либо делать или отвечать.
Злоумышленники ожидают, что вы примете меры, прежде чем рассматривать риски, а это значит, что вам следует сделать обратное. Чтобы помочь вам, вот несколько вопросов, которые следует задать себе, если вы подозреваете нападение:
- Мои эмоции усилились? Когда вы особенно любопытны, напуганы или взволнованы, вы с меньшей вероятностью оцените последствия своих действий. Фактически, вы, вероятно, не будете рассматривать правомерность представленной вам ситуации. Считайте это красным флажком, если ваше эмоциональное состояние повышено.
- Это сообщение пришло от законного отправителя? Тщательно проверяйте адреса электронной почты и профили в социальных сетях при получении подозрительного сообщения. Могут быть символы, имитирующие другие, например «[email protected]» вместо «[email protected]». Также распространены поддельные профили в социальных сетях, которые дублируют фотографию вашего друга и другие детали.
- Мой друг действительно отправил мне это сообщение? Всегда полезно спросить отправителя, были ли они истинными отправителями рассматриваемого сообщения.Был ли это ваш коллега или другой человек в вашей жизни, спросите его лично или по телефону, если это возможно. Они могут быть взломаны и не знать, или кто-то может выдавать себя за их учетные записи.
- Есть ли странные сведения о веб-сайте, на котором я работаю? Нарушения в URL-адресе, низкое качество изображения, старые или неправильные логотипы компании и опечатки на веб-страницах могут быть тревожным сигналом мошенничества на веб-сайте. Если вы зашли на поддельный веб-сайт, обязательно немедленно покиньте его.
- Звучит слишком хорошо, чтобы быть правдой? В случае бесплатных раздач или других методов таргетинга предложения являются сильной мотивацией для продвижения атаки социальной инженерии.Вы должны подумать, почему кто-то предлагает вам что-то ценное за небольшую выгоду с их стороны. Всегда будьте осторожны, потому что даже базовые данные, такие как ваш адрес электронной почты, могут быть собраны и проданы сомнительным рекламодателям.
- Вложения или ссылки подозрительны? Если ссылка или имя файла в сообщении выглядят нечетко или нечетко, проверьте подлинность всего сообщения. Кроме того, подумайте, не было ли само сообщение отправлено в нечетном контексте, в какое-то время или вызывает какие-либо другие красные флажки.
- Может ли этот человек подтвердить свою личность? Если вы не можете заставить этого человека подтвердить свою личность в организации, которую он утверждает, что является ее частью, не давайте ему доступ, о котором они просят.Это применимо как при личном общении, так и в Интернете, поскольку для физических нарушений необходимо не обращать внимания на личность злоумышленника.
Как предотвратить атаки социальной инженерии
Помимо обнаружения атаки, вы также можете позаботиться о своей конфиденциальности и безопасности. Знание того, как предотвратить атаки социальной инженерии, невероятно важно для всех пользователей мобильных устройств и компьютеров.
Вот несколько важных способов защиты от всех типов кибератак:
Привычки безопасного общения и управления учетными записями
Общение в Интернете — это то место, где вы особенно уязвимы.Социальные сети, электронная почта, текстовые сообщения — общие цели, но вы также захотите учитывать личное общение.
Никогда не переходите по ссылкам в электронных письмах или сообщениях . Вам нужно всегда вручную вводить URL-адрес в адресную строку, независимо от отправителя. Тем не менее, сделайте дополнительный шаг в поисках официальной версии рассматриваемого URL-адреса. Никогда не используйте какой-либо URL-адрес, который вы не подтвердили как официальный или законный.
Использовать многофакторную аутентификацию.Учетные записи Online намного безопаснее, если для их защиты используется не только пароль. Многофакторная аутентификация добавляет дополнительные уровни для проверки вашей личности при входе в учетную запись. Эти «факторы» могут включать биометрические данные, такие как отпечаток пальца или распознавание лица, или временные коды доступа, отправленные в текстовом сообщении.
Используйте надежные пароли (и менеджер паролей). Каждый из ваших паролей должен быть уникальным и сложным. Старайтесь использовать разные типы символов, включая прописные буквы, числа и символы.Кроме того, вы, вероятно, захотите по возможности использовать более длинные пароли. Чтобы помочь вам управлять всеми своими пользовательскими паролями, вы можете использовать диспетчер паролей для безопасного хранения и запоминания их.
Не сообщайте названия вашей школы, домашних животных, места рождения или другие личные данные. Вы можете неосознанно раскрывать ответы на свои секретные вопросы или части своего пароля. Если вы зададите контрольные вопросы, которые будут запоминающимися, но неточными, то преступнику будет сложнее взломать ваш аккаунт.Если бы вашей первой машиной была «Тойота», то написание лжи, как «машина клоуна», могло бы полностью отпугнуть любых любопытных хакеров.
Будьте очень осторожны, завязывая дружеские отношения только через Интернет. Хотя Интернет может быть отличным способом связи с людьми во всем мире, это распространенный метод атак социальной инженерии. Следите за подсказками и красными флажками, которые указывают на манипуляции или явное злоупотребление доверием.
Привычки безопасного использования сети
Взломанные онлайн-сети могут быть еще одной уязвимой точкой, используемой для фоновых исследований.Чтобы ваши данные не использовались против вас, примите меры защиты для любой сети, к которой вы подключены.
Никогда не позволяйте посторонним подключаться к вашей основной сети Wi-Fi. Дома или на рабочем месте должен быть доступен гостевой доступ к Wi-Fi. Это позволяет вашему основному зашифрованному и защищенному паролем соединению оставаться безопасным и защищенным от перехвата. Если кто-то решит «подслушать» информацию, он не сможет получить доступ к действиям, которые вы и другие люди хотели бы сохранить в тайне.
Используйте VPN . В случае, если кто-то в вашей основной сети — проводной, беспроводной или даже сотовой — найдет способ перехватить трафик, виртуальная частная сеть (VPN) может не допустить его. VPN — это сервисы, которые предоставляют вам частный зашифрованный «туннель» для любого используемого вами интернет-соединения. Ваше соединение не только защищено от посторонних глаз, но и ваши данные анонимны, поэтому их нельзя отследить до вас с помощью файлов cookie или других средств.
Обеспечьте безопасность всех подключенных к сети устройств и служб. Многие люди знают о методах интернет-безопасности для мобильных и традиционных компьютерных устройств. Однако не менее важна защита самой сети, а также всех ваших интеллектуальных устройств и облачных сервисов. Обязательно защитите устройства, на которые часто не обращают внимания, например, автомобильные информационно-развлекательные системы и маршрутизаторы домашней сети. Утечки данных на этих устройствах могут привести к персонализации для аферы социальной инженерии.
Привычки безопасного использования устройств
Сохранение самих устройств так же важно, как и все другие виды вашего цифрового поведения.Защитите свой мобильный телефон, планшет и другие компьютерные устройства с помощью следующих советов:
Используйте комплексное программное обеспечение для обеспечения безопасности в Интернете. В случае успеха социальной тактики заражение вредоносным ПО становится обычным явлением. Для борьбы с руткитами, троянами и другими ботами критически важно использовать высококачественное решение для обеспечения безопасности в Интернете, которое может одновременно устранять заражения и отслеживать их источник.
Никогда не оставляйте свои устройства незащищенными в общественных местах. Всегда блокируйте компьютер и мобильные устройства, особенно на работе.При использовании устройств в общественных местах, таких как аэропорты и кафе, всегда держите их при себе.
Обновляйте все свое программное обеспечение, как только оно станет доступным. Немедленные обновления содержат важные исправления безопасности для вашего программного обеспечения. Когда вы пропускаете или откладываете обновления своей операционной системы или приложений, вы оставляете известные дыры в безопасности открытыми для хакеров. Поскольку они знают, что это поведение многих пользователей компьютеров и мобильных устройств, вы становитесь главной целью атак вредоносного ПО, созданного с помощью социальной инженерии.
Проверьте наличие известных утечек данных в ваших учетных записях в Интернете. Сервисы, такие как Kaspersky Security Cloud, активно отслеживают новые и существующие утечки данных для ваших адресов электронной почты. Если ваши аккаунты попадают в состав скомпрометированных данных, вы получите уведомление с советами о том, как действовать.
Защита от социальной инженерии начинается с образования. Если все пользователи будут осведомлены об угрозах, наша безопасность как коллективного общества улучшится. Обязательно повышайте осведомленность об этих рисках, рассказывая о том, что вы узнали, своим коллегам, семье и друзьям.
Статьи по теме:
Социальная инженерия — Искусство взлома людей
Социальная инженерия — это акт манипулирования кем-либо с целью разглашения информации или выполнения чего-то, что обычно не в их интересах. В этой статье мы рассмотрим несколько распространенных способов, которыми социальные инженеры пытаются вами манипулировать.
Отказ от ответственности: Мои статьи носят чисто образовательный характер. Если вы читаете их и причиняете кому-то вред, это ваша ответственность.Я не поощряю злонамеренные действия или методы черной шляпы. Прочтите этический кодекс здесь.
Один из распространенных видов мошенничества — испанский заключенный, который восходит к 18 веку и имеет множество современных воплощений.
Обычно это касается кого-то, кто попал в беду и нуждается в вашей помощи, чтобы получить доступ к своему состоянию. Вам просто нужно перевести несколько тысяч долларов, и они вернут вам десять раз больше. Но вы можете догадаться, чем это закончится.
В Интернете распространяются похожие виды мошенничества: мошенничество с IRS, мошенничество с лотереями и так далее.В целом они классифицируются как мошенничество с предварительным предложением. Вас что-то ждет, но вам нужно заплатить аванс, чтобы получить это.
Обычному человеку эти атаки покажутся плохо выполненными. Но из-за этих афер тысячи людей потеряли свои кровно заработанные деньги. В некоторых случаях их сбережения жизни.
Это все примеры социальной инженерии в действии.
Идея социальной инженерии состоит в том, чтобы воспользоваться естественными склонностями и эмоциональными реакциями потенциальной жертвы.Страх и жадность — самые уязвимые эмоции, которыми обычно пользуются социальные инженеры.
Ниже приведен отличный пример реальной атаки социальной инженерии.
Типы атак социальной инженерии
Социальную инженерию можно в целом разделить на пять типов атак в зависимости от типа подхода, используемого для манипулирования целью. Давайте пройдемся по каждому из них.
Спам (электронная почта, текст, Whatsapp)
Спам включает рассылку сообщений большим группам людей, контактная информация которых обычно получается гнусными методами.Спам — это общий термин, используемый для определения рассылки как вредоносных, так и не вредоносных сообщений.
Невредоносный спам используется рекламодателями, которые пытаются продвигать свои продукты среди случайных незнакомцев, рассылая им массовые электронные письма. Их мотив — не причинение вреда, а попытка заставить людей покупать их товары или продвигать их услуги.
Вредоносный спам включает сообщения, которые пытаются заманить пользователей на веб-сайт злоумышленника для разглашения личной информации. Эта информация затем используется для создания целевых фишинговых / вишинговых атак на потенциальную жертву.
Фишинг (и Вишинг)
Когда злоумышленник использует текстовые сообщения, электронную почту или голосовой вызов (голосовой фишинг = вишинг), это называется фишингом.
Фишинг используется для того, чтобы заставить цель поверить в то, что ее вызывает законное учреждение или организация с целью получения ценной информации от цели.
Если кто-то позвонит в вашу компанию, выдав себя за поставщика принтера, он может получить конкретную информацию о принтере — модель, IP-адрес (при подключении к Интернету) и т. Д.
И как только эта информация будет предоставлена, принтер может быть атакован, чтобы получить доступ к вашей внутренней сети.
Фишинговые атаки по электронной почте также распространены. Злоумышленник может отправить электронное письмо кому-нибудь из вашей компании, выдавая себя за Facebook. Как только член команды щелкает ссылку, он попадает на страницу, похожую на Facebook, с просьбой ввести данные для входа. Эта информация для входа будет отправлена на сервер злоумышленника, после чего он получит полный доступ к учетной записи жертвы в Facebook.
Основное различие между фишингом и мошенничеством состоит в том, что фишинговые атаки имеют высокую цель. Злоумышленник знает, кого он хочет атаковать и какую информацию ищет.
Наживка
Наживка включает создание ловушки и ожидание, пока потенциальная жертва попадет в ловушку. В качестве простого примера: если злоумышленник бросит несколько USB-накопителей на парковку вашей компании, скорее всего, один из ваших сотрудников попытается подключить их к своему компьютеру, чтобы проверить содержимое USB-накопителя.
Это может показаться глупым, но было множество случаев, когда простые уловки социальных инженеров приводили к массовым утечкам корпоративных данных. Обычно людей легко обмануть с помощью мошенничества, такого как мошенничество с предложением Advance, которое все еще распространяется в Интернете, питаясь легковерными людьми.
Другой распространенный тип приманки встречается в пиратском программном обеспечении. Злоумышленник встроит вредоносное ПО в популярную операционную систему или в фильм, чтобы жертва могла скачать его.Как только жертва загружает и запускает программное обеспечение, вредоносный код запускается в системе жертвы, и злоумышленник получает полный доступ к машине жертвы.
PiggyBacking
PiggyBacking означает использование кого-то другого для нападения на потенциальную жертву. Злоумышленник будет использовать стороннее лицо (обычно невиновное), имеющее доступ к жертве, для совершения совмещающей атаки.
Есть много вариантов совмещения. Если злоумышленник следует за вашим сотрудником в ваш офис с помощью карты доступа, это одна из форм совмещения, которая называется «слежение за хвостом».
Было много случаев совершения атак, особенно в отношении секретной информации. Компании-поставщики, которые поставляют аппаратное и программное обеспечение правительственным организациям, обычно становятся целью совмещенных атак.
Как только эти поставщики скомпрометированы, можно легко атаковать целевое учреждение, поскольку у поставщика уже есть определенный уровень доступа к целевому объекту.
Совмещение также связано с некоторыми формами активного прослушивания телефонных разговоров. Злоумышленник будет использовать законное соединение жертвы для подслушивания в сети.
Недавно я написал статью о Wireshark, которая может вас заинтересовать.
Water Holing
Water Holing учитывает стандартные действия цели и использование одного из этих действий для получения несанкционированного доступа. Например, злоумышленник найдет веб-сайты, которые цель использует ежедневно, и попытается установить вредоносное ПО на один из этих веб-сайтов.
Название «Water Holing» происходит от того факта, что хищники в дикой природе часто ждут свою добычу возле своих общих водопоев.
Примером может служить кампания Holy Water 2019 года, нацеленная на азиатские религиозные и благотворительные группы. Веб-сайт был взломан, после чего посетителей попросили установить Adobe Flash в своих браузерах.
Поскольку Adobe Flash имеет ряд уязвимостей, злоумышленникам было легко выполнить вредоносный код на машинах жертвы. Атаки на водопой встречаются редко, но представляют значительную угрозу, поскольку их очень трудно обнаружить.
Как защитить себя от социальной инженерии
Теперь, когда мы увидели различные типы подходов, используемых социальными инженерами, давайте посмотрим, как мы можем защитить себя и нашу организацию от атак социальной инженерии.
Установите фильтры электронной почты и спама
Хотя спам-фильтры не могут отловить целенаправленные атаки, они предотвратят попадание большей части спама и вредоносных писем в вашу учетную запись.
Обновляйте антивирус и брандмауэр
Подобно фильтрам спама, обновленное антивирусное программное обеспечение защищает от большинства распространенных вирусов, троянов и вредоносных программ.
Запросить подтверждение
Всегда запрашивайте подтверждение, когда кто-то звонит вам, утверждая, что представляет организацию, например, ваш банк.Никогда не сообщайте конфиденциальные данные, такие как номера кредитных карт или пароли, по телефону или электронной почте.
Повышение осведомленности
Лучший способ предотвратить использование вашей организации — это создание программ повышения осведомленности о безопасности. Обучение ваших сотрудников — это отличное долгосрочное вложение для обеспечения безопасности вашей компании.
Если это кажется слишком хорошим, чтобы быть правдой, это
Наконец, если что-то звучит слишком хорошо, чтобы быть правдой, обычно это так. Никогда не доверяйте незнакомцам, обещающим быстро разбогатеть.Как кто-то однажды сказал, «попытка быстро разбогатеть — это самый быстрый способ потерять все свои деньги».
Заключение
Социальные инженеры — мастера манипуляции. Если сотрудники компании не обучены навыкам социальной инженерии, им очень трудно избежать попадания в ловушку социального инженера.
Социальные инженеры работают с эмоциями людей, обычно со страхом и жадностью. Поэтому всякий раз, когда вы выполняете действие, основанное на этих двух эмоциях, вы можете сделать шаг назад и посмотреть, не манипулируют ли вами.
Есть известная лекция на TED, где кто-то начал разговор со спамером. Смотрите полное видео здесь.
Вы можете получить резюме моих статей и видео, которые будут отправляться на вашу электронную почту каждый понедельник утром. Вы также можете узнать больше обо мне здесь.
Что такое атаки социальной инженерии?
Что такое социальная инженерия?
Социальная инженерия — это вектор атаки, который в значительной степени зависит от взаимодействия человека и часто включает в себя манипулирование людьми с целью нарушения обычных процедур безопасности и передовых методов с целью получения несанкционированного доступа к системам, сетям или физическим объектам или для получения финансовой выгоды.
Злоумышленники используют методы социальной инженерии, чтобы скрыть свою истинную личность и мотивы, выдавая себя за доверенных лиц или источников информации. Цель состоит в том, чтобы повлиять, манипулировать или обманом заставить пользователей раскрыть конфиденциальную информацию или получить доступ внутри организации. Многие методы социальной инженерии полагаются на готовность людей быть полезными или боязнь наказания. Например, злоумышленник может притвориться сотрудником, у которого возникла неотложная проблема, требующая доступа к дополнительным сетевым ресурсам.
Социальная инженерия — популярная тактика среди злоумышленников, потому что часто проще эксплуатировать людей, чем найти уязвимости в сети или программном обеспечении. Хакеры часто используют тактику социальной инженерии в качестве первого шага в более крупной кампании по проникновению в систему или сеть и кражи конфиденциальных данных или распространению вредоносного ПО.
Социальная инженерия — это вектор атаки, во многом зависящий от человеческого взаимодействия.
Как работает социальная инженерия?
Социальные инженеры используют различные тактики для проведения атак.
Первым шагом в большинстве атак социальной инженерии является проведение злоумышленником исследования и разведки цели. Если целью является, например, предприятие, хакер может собирать информацию об организационной структуре, внутренних операциях, общепринятом жаргоне, используемом в отрасли, и возможных деловых партнерах, среди другой информации.
Одна из распространенных тактик социальных инженеров — сосредоточиться на поведении и моделях сотрудников, имеющих низкоуровневый, но начальный доступ, таких как охранник или администратор; злоумышленники могут сканировать профили в социальных сетях в поисках личной информации и изучать их поведение в Интернете и лично.
Оттуда социальный инженер может спланировать атаку на основе собранной информации и использовать слабые места, обнаруженные на этапе разведки.
Если атака успешна, злоумышленник получает доступ к конфиденциальной информации, такой как номера социального страхования и данные кредитной карты или банковского счета; зарабатывает деньги не по назначению; или получает доступ к защищенным системам или сетям.
Типы атак социальной инженерии
Популярные типы атак социальной инженерии включают следующие методы:
- Наживка. Злоумышленник оставляет зараженное вредоносным ПО физическое устройство, такое как флэш-накопитель с универсальной последовательной шиной, в месте, где его обязательно можно найти. Затем цель берет устройство и вставляет его в свой компьютер, непреднамеренно устанавливая вредоносное ПО.
- Фишинг . Когда злоумышленник отправляет мошенническое электронное письмо, замаскированное под законное электронное письмо, часто якобы отправленное из надежного источника. Сообщение предназначено для того, чтобы обманом заставить получателя поделиться финансовой или личной информацией или щелкнуть ссылку, по которой устанавливается вредоносное ПО.
- Спар-фишинг . Это похоже на фишинг, но атака рассчитана на конкретного человека или организацию.
- Вишинг . Также известный как голосовой фишинг , вишинг включает использование социальной инженерии по телефону для сбора финансовой или личной информации от цели.
- Китобойный промысел . Особый тип фишинг-атаки, китобойная атака нацелена на высокопоставленных сотрудников, таких как финансовый директор или главный исполнительный директор, чтобы обманом заставить целевого сотрудника раскрыть конфиденциальную информацию. Эти три типа фишинговых атак подпадают под более широкое понятие социальной инженерии.
- Предварительный текст. Одна сторона лжет другой, чтобы получить доступ к конфиденциальным данным. Например, мошенничество с предлогом может включать злоумышленника, который притворяется, что ему нужны финансовые или личные данные для подтверждения личности получателя.
- Scareware . Это включает в себя обман жертвы, заставляя ее думать, что ее компьютер заражен вредоносным ПО или случайно загрузил нелегальный контент.Затем злоумышленник предлагает жертве решение, которое устранит фиктивную проблему; на самом деле жертву просто обманом заставляют загрузить и установить вредоносное ПО злоумышленника.
- Поливочная лунка. Злоумышленник пытается скомпрометировать определенную группу людей, заражая веб-сайты, которые они, как известно, посещают и которым доверяют, с целью получения доступа к сети.
- Утечка кражи. В этом типе атаки социальные инженеры обманом заставляют службу доставки или курьерскую компанию пойти не в то место получения или возврата, таким образом перехватывая транзакцию.
- Quid pro quo. Это атака, при которой социальный инженер делает вид, что предоставляет что-то в обмен на информацию или помощь цели. Например, хакер вызывает набор случайных чисел в организации и притворяется специалистом технической поддержки, отвечая на запрос. В конце концов, хакер найдет кого-то, у кого есть законная техническая проблема, и он будет притворяться, что ему помогает. Благодаря этому взаимодействию хакер может указать тип цели в командах для запуска вредоносного ПО или может собирать информацию о пароле.
- Ловушка для меда. В этой атаке социальный инженер притворяется привлекательным человеком, чтобы взаимодействовать с человеком в сети, имитировать отношения в сети и собирать конфиденциальную информацию через эти отношения.
- Tailgating. Иногда называется , совмещая , «хвост» — это когда хакер входит в охраняемое здание, следуя за кем-то с авторизованной картой доступа. Эта атака предполагает, что человек, имеющий законный доступ в здание, достаточно вежлив, чтобы держать дверь открытой для человека, стоящего за ним, предполагая, что ему разрешено там находиться.
- Незаконное программное обеспечение безопасности. Это тип вредоносного ПО, которое обманом заставляет жертв платить за поддельное удаление вредоносного ПО.
- Погружение в мусорную корзину. Это атака социальной инженерии, при которой человек ищет в мусоре компании информацию, такую как пароли или коды доступа, написанные на стикерах или клочках бумаги, которые могут быть использованы для проникновения в сеть организации.
- Фарминг. При этом типе онлайн-мошенничества киберпреступник устанавливает вредоносный код на компьютер или сервер, который автоматически направляет пользователя на поддельный веб-сайт, где пользователь может быть обманут, чтобы предоставить личную информацию.
Погружение в мусорное ведро — это разновидность атаки социальной инженерии.
Примеры атак социальной инженерии
Пожалуй, самый известный пример атаки социальной инженерии — это легендарная Троянская война, в которой греки смогли проникнуть в город Трою и выиграть войну, спрятавшись внутри гигантского деревянного коня, который был представлен троянской армии как троянская армия. символ мира.
В наше время Фрэнк Абигнейл считается одним из ведущих экспертов в области методов социальной инженерии.В 1960-х годах он использовал различные тактики, чтобы выдать себя за как минимум восемь человек, включая пилота авиалинии, врача и юриста. В то время Абигнейл также подделывал чеки. После заключения он стал консультантом по безопасности Федерального бюро расследований и начал свою собственную консультацию по финансовому мошенничеству. Его опыт молодого мошенника стал известен благодаря его бестселлеру « Поймай меня, если сможешь » и экранизации оскароносного режиссера Стивена Спилберга.
Когда-то известный как «самый разыскиваемый хакер в мире», Кевин Митник убедил сотрудника Motorola передать ему исходный код MicroTAC Ultra Lite, нового раскладного телефона компании. Это был 1992 год, и Митник, который бежал от полиции, жил в Денвере под вымышленным именем. В то время он был обеспокоен тем, что федеральное правительство его отслеживает. Чтобы скрыть свое местонахождение от властей, Митник использовал исходный код для взлома Motorola MicroTAC Ultra Lite, а затем попытался изменить идентификационные данные телефона или отключить возможность подключения вышек сотовой связи к телефону.
Чтобы получить исходный код устройства, Митник позвонил в Motorola и был связан с отделом, работающим над этим устройством. Затем он убедил сотрудника Motorola в том, что он коллега, и убедил этого сотрудника прислать ему исходный код. В конечном итоге Митник был арестован и отсидел пять лет за взлом. Сегодня он мультимиллионер и автор ряда книг по взлому и безопасности. Востребованный спикер, Митник также руководит компанией по кибербезопасности Mitnick Security.
Более свежим примером успешной атаки социальной инженерии была утечка данных компании RSA, занимающаяся безопасностью, в 2011 году.Злоумышленник отправил два разных фишинговых письма в течение двух дней небольшим группам сотрудников RSA. В письмах была тема «План набора на 2011 год» и вложения в виде файла Excel. Таблица содержала вредоносный код, который при открытии файла устанавливал бэкдор через уязвимость Adobe Flash. Хотя никогда не было ясно, какая именно информация была украдена, если таковая была, система двухфакторной аутентификации (2FA) RSA SecurID была скомпрометирована, и компания потратила около 66 миллионов долларов на восстановление после атаки.
В 2013 году Сирийская электронная армия смогла получить доступ к аккаунту Associated Press (AP) в Twitter, включив вредоносную ссылку в фишинговое письмо. Электронное письмо было отправлено сотрудникам AP под видом коллеги. Затем хакеры опубликовали в Твиттере фальшивую новость из аккаунта AP, в которой говорилось, что в Белом доме прогремели два взрыва и был ранен тогдашний президент Барак Обама. Это вызвало такую значительную реакцию, что промышленный индекс Доу-Джонса упал на 150 пунктов менее чем за 5 минут.
Также в 2013 году фишинговая афера привела к массовой утечке данных Target. Фишинговое письмо было отправлено субподрядчику по отоплению, вентиляции и кондиционированию воздуха, который был одним из деловых партнеров Target. В электронном письме содержался троян Citadel, который позволил злоумышленникам проникнуть в системы точек продаж Target и украсть информацию о 40 миллионах кредитных и дебетовых карт клиентов. В том же году Министерство труда США подверглось атаке водяного пара, и его веб-сайты были заражены вредоносным ПО через уязвимость в Internet Explorer, которая установила троян для удаленного доступа под названием Poison Ivy.
В 2015 году киберпреступники получили доступ к личной учетной записи электронной почты AOL Джона Бреннана, тогдашнего директора Центрального разведывательного управления. Один из хакеров объяснил СМИ, как он использовал методы социальной инженерии, чтобы выдать себя за технического специалиста Verizon и запросить информацию об учетной записи Бреннана в Verizon. Получив данные учетной записи Verizon Бреннана, хакеры связались с AOL и использовали эту информацию, чтобы правильно ответить на контрольные вопросы для учетной записи электронной почты Бреннана.
Предотвращение социальной инженерии
Существует ряд стратегий, которые компании могут использовать для предотвращения атак социальной инженерии, в том числе следующие:
- Убедитесь, что отделы информационных технологий регулярно проводят тестирование на проникновение с использованием методов социальной инженерии. Это поможет администраторам узнать, какие типы пользователей представляют наибольший риск для определенных типов атак, а также определить, каким сотрудникам требуется дополнительное обучение.
- Запустите программу обучения навыкам безопасности, которая поможет предотвратить атаки социальной инженерии. Если пользователи знают, как выглядят атаки социальной инженерии, они с меньшей вероятностью станут жертвами.
- Внедрить безопасную электронную почту и веб-шлюзы для сканирования электронной почты на предмет вредоносных ссылок и их фильтрации, тем самым уменьшая вероятность того, что сотрудник нажмет на одну из них.
- Регулярно обновляйте антивредоносное и антивирусное ПО, чтобы предотвратить установку вредоносных программ из фишинговых писем.
- Будьте в курсе обновлений программного обеспечения и прошивки на конечных точках.
Фишинг, социальная инженерия, гигиена паролей и безопасная удаленная работа — важные темы обучения кибербезопасности. - Отслеживайте сотрудников, которые обрабатывают конфиденциальную информацию, и активируйте для них расширенные меры аутентификации.
- Внедрите 2FA для доступа к ключевым учетным записям, например, код подтверждения через текстовое сообщение или распознавание голоса.
- Убедитесь, что сотрудники не используют повторно одни и те же пароли для личных и рабочих учетных записей.Если хакер, совершающий атаку социальной инженерии, получает пароль от учетной записи сотрудника в социальной сети, хакер также может получить доступ к рабочим учетным записям сотрудника.
- Внедрите фильтры спама, чтобы определить, какие электронные письма могут быть спамом. Спам-фильтр может иметь черный список подозрительных адресов Интернет-протокола или идентификаторов отправителей, или они могут обнаруживать подозрительные файлы или ссылки, а также анализировать содержимое электронных писем, чтобы определить, какие из них могут быть поддельными.
.